Tấn công mạng nguy hiểm: Kẻ thù AI tăng tốc đáng kinh ngạc

Trong năm 2025, các kẻ tấn công đã biến các công cụ trí tuệ nhân tạo (AI) được sử dụng rộng rãi thành vũ khí để triển khai các cuộc tấn công mạng nhanh chóng và chính xác. Báo cáo Global Threat Report 2026 của CrowdStrike chỉ ra mức tăng 89% số lượng các cuộc tấn công của kẻ tấn công sử dụng AI theo từng năm. Tội phạm mạng đã lợi dụng tự động hóa và các script do máy tạo ra để rút ngắn thời gian từ khi xâm nhập ban đầu đến khi chiếm toàn quyền kiểm soát hệ thống (full domain access) xuống dưới 30 phút.

Sự Gia Tăng Đáng Kể Về Tốc Độ Xâm Nhập Mạng

Tốc độ xâm nhập đã trở thành đặc điểm nổi bật nhất của bối cảnh mối đe dọa mạng năm 2025. Thời gian đột nhập trung bình của tội phạm mạng (eCrime breakout time) — khoảng thời gian từ khi giành được quyền truy cập ban đầu đến khi di chuyển ngang sang các hệ thống khác — đã giảm xuống còn 29 phút.

Đây là mức tăng tốc độ 65% so với năm 2024. Vụ đột nhập nhanh nhất được ghi nhận chỉ mất 27 giây. Trong một trường hợp cụ thể, việc trích xuất dữ liệu bắt đầu chỉ trong bốn phút kể từ lần truy cập đầu tiên, khiến các tổ chức gần như không có thời gian để phản ứng.

Lạm Dụng AI: Động Lực Chính Phía Sau Tốc Độ Tấn Công

Các nhà phân tích của CrowdStrike nhận định rằng các phương pháp dẫn đến sự tăng tốc này có liên quan chặt chẽ đến việc lạm dụng AI. Các kẻ tấn công không chỉ xây dựng phần mềm độc hại tùy chỉnh, mà còn chèn các lời nhắc (prompts) độc hại vào các công cụ AI hợp pháp đang chạy trong môi trường của nạn nhân.

Vào tháng 8 năm 2025, các kẻ tấn công đã nhúng JavaScript độc hại vào các gói Node Package Manager (npm). Hành vi này nhằm chiếm quyền điều khiển các công cụ AI cục bộ của nạn nhân như Claude và Gemini để đánh cắp thông tin xác thực và tài sản tiền điện tử. CrowdStrike Services và OverWatch đã phản hồi hơn 90 khách hàng bị ảnh hưởng.

Chiến Thuật Tấn Công Đặc Trưng Của Các Nhóm APT Và Tội Phạm Mạng

CHATTY SPIDER: Tấn Công Pháp Lý Qua Voice Phishing

Một trường hợp đáng chú ý liên quan đến CHATTY SPIDER, một nhóm tội phạm mạng nhắm vào một công ty luật tại Hoa Kỳ thông qua hình thức lừa đảo qua giọng nói (voice phishing). Nhóm này đã thuyết phục một nhân viên cấp quyền truy cập từ xa qua Microsoft Quick Assist.

Chỉ trong vòng bốn phút, CHATTY SPIDER đã cố gắng gửi các tệp bị đánh cắp đến cơ sở hạ tầng do kẻ tấn công kiểm soát bằng WinSCP. Khi tường lửa chặn hành vi này, kẻ tấn công đã chuyển hướng sang Google Drive. CrowdStrike OverWatch đã ngăn chặn việc trích xuất dữ liệu trước khi bất kỳ thông tin nào rời khỏi mạng.

FAMOUS CHOLLIMA: Xây Dựng Quy Trình Tấn Công Bằng AI

Ngoài các hoạt động đơn lẻ, các nhóm tấn công như FAMOUS CHOLLIMA đã xây dựng các quy trình tấn công hỗ trợ bởi AI qua nhiều giai đoạn. Chúng sử dụng các công cụ như ChatGPT, Gemini, GitHub Copilot và VSCodium để tạo danh tính giả mạo, quản lý nhiều tài khoản và thực hiện các nhiệm vụ kỹ thuật trong khi hoạt động dưới vỏ bọc gian lận.

Hoạt động của nhóm này trong năm 2025 đã tăng gấp đôi so với năm 2024, phản ánh cách AI đã giảm thiểu công sức cần thiết để thực hiện các chiến dịch lừa đảo quy mô lớn.

PUNK SPIDER: Ransomware Sử Dụng Script AI

PUNK SPIDER, kẻ tấn công ransomware hoạt động mạnh nhất năm 2025 với 198 vụ xâm nhập được ghi nhận, đã sử dụng các script do Gemini tạo để trích xuất thông tin xác thực từ cơ sở dữ liệu Veeam Backup & Replication. Nhóm này cũng có khả năng đã dựa vào các script do DeepSeek tạo để chấm dứt dịch vụ và phá hủy bằng chứng pháp y.

FANCY BEAR: Mã Độc LAMEHUG và LLM Cho Hoạt Động Do Thám

Nhóm tấn công FANCY BEAR đã triển khai mã độc LAMEHUG, sử dụng mô hình ngôn ngữ lớn (LLM) Qwen2.5-Coder-32B-Instruct của Hugging Face thông qua các lời nhắc được mã hóa cứng. Mục đích là thực hiện các hoạt động do thám và thu thập tài liệu trước khi trích xuất dữ liệu.

Cách tiếp cận này đã thay thế logic mã hóa cứng nhắc bằng các đầu ra do AI tạo ra, giúp né tránh các công cụ bảo mật tĩnh. Đáng chú ý, 82% tổng số phát hiện trong năm 2025 là không chứa phần mềm độc hại, nghĩa là hầu hết các cuộc tấn công mạng đã di chuyển qua các kênh hợp pháp thay vì phần mềm độc hại truyền thống.

Giải Pháp Phòng Ngừa và Phát Hiện Xâm Nhập Nhanh Chóng

Trước bối cảnh các kẻ tấn công sử dụng AI đang gia tăng tốc độ và tinh vi, các tổ chức cần tăng cường khả năng phát hiện xâm nhập. Việc giám sát chặt chẽ việc sử dụng các công cụ AI trên các điểm cuối là tối quan trọng.

Các nền tảng AI cần được vá lỗi kịp thời, và các phụ thuộc npm phải được kiểm toán định kỳ. Duy trì khả năng hiển thị đa miền (cross-domain visibility) trên các môi trường nhận dạng, đám mây và SaaS sẽ giúp phát hiện các cuộc xâm nhập di chuyển nhanh trước khi chúng gây ra thiệt hại nghiêm trọng.

Việc áp dụng các biện pháp an ninh mạng toàn diện, từ giám sát hành vi đến quản lý cấu hình, là yếu tố then chốt để bảo vệ tài sản số khỏi những tấn công mạng ngày càng phức tạp.