Theo báo cáo phân tích mới nhất được hệ thống VNCS Threat Intelligence ghi nhận, một chiến dịch tấn công quy mô lớn có liên hệ với các nhóm APT Iran đang nhắm mục tiêu trực diện vào mạng lưới của nhiều tổ chức tại Mỹ, Israel và Canada. Chiến dịch này sử dụng các dòng mã độc mới nhằm lẩn tránh hệ thống phòng thủ, đánh dấu sự leo thang căng thẳng của các hoạt động gián điệp mạng song hành cùng xung đột địa chính trị.

1. MuddyWater: “Mũi tiên phong” của tình báo Iran trong kỷ nguyên số

Chiến tranh hiện đại luôn bắt đầu từ việc làm tê liệt thông tin của đối thủ, và nhóm tin tặc MuddyWater (Seedworm) chính là minh chứng rõ nét nhất. Với mối liên hệ mật thiết với cơ quan tình báo Iran, nhóm này đã kích hoạt các chiến dịch tấn công quy mô lớn ngay sau những biến động quân sự tại Trung Đông vào đầu tháng 2/2026.

Sau vụ việc gây rối các ngân hàng hay sân bay tại Mỹ, mục tiêu của MuddyWater đã dịch chuyển sang tính chiến lược hơn: Ngành quốc phòng và hàng không vũ trụ. Việc nhắm mục tiêu vào các chi nhánh của các công ty phần mềm quân sự tại Israel cho thấy đây là nỗ lực có tính toán nhằm thu thập tình báo kỹ thuật, phục vụ trực tiếp cho các kịch bản đối phó quân sự trên thực địa.

2. Sự xuất hiện của “Vũ khí tàng hình”: Dindoor & Fakeset

Để xuyên thủng các lớp phòng thủ nghiêm ngặt của những tổ chức chính phủ và quân sự, các nhóm APT đã vũ khí hóa các công nghệ hiện đại thành những bộ Backdoor “tàng hình” đầy tinh vi:

Thay vì sử dụng các script truyền thống dễ bị nhận diện, nhóm tấn công triển khai Dindoor Backdoor – một dòng mã độc chạy trên môi trường Deno (JavaScript runtime) hoàn toàn mới. Kỹ thuật này cho phép mã độc “trộn lẫn” vào các tác vụ xử lý dữ liệu hợp pháp của doanh nghiệp, giúp kẻ tấn công duy trì sự hiện diện lâu dài trong mạng lưới ngân hàng Mỹ mà không để lại dấu vết.

Song song với đó, dòng mã độc Fakeset (viết bằng Python) lại tận dụng hạ tầng của các nhà cung cấp dịch vụ lưu trữ đám mây uy tín tại Mỹ như Backblaze hay Wasabi. Bằng cách sử dụng công cụ Rclone để nén và đẩy dữ liệu lên các “bucket” lưu trữ sạch, MuddyWater đã biến chính những công cụ quản trị dữ liệu quen thuộc của phương Tây thành phương tiện để tuồn thông tin nhạy cảm ra ngoài, khiến các bộ lọc lưu lượng mạng truyền thống gần như bị vô hiệu hóa.

3. “Chiến tranh toàn diện”: Khi hạ tầng dân sự trở thành chiến trường, các nhóm APT và Hacktivist cùng ‘vào cuộc’

Cuộc xung đột này trở nên đặc biệt nguy hiểm khi có sự cộng hưởng giữa năng lực của các nhóm APT quốc gia và sự manh động của các liên minh Hacktivist. Những cuộc tấn công không còn mang tính đơn lẻ mà được phối hợp chặt chẽ theo nhiều tầng nấc:

  • Tình báo thời gian thực qua Camera IP: Việc khai thác hàng loạt lỗ hổng camera (như CVE-2025-34067) không đơn thuần là phá hoại, mà là cách để các nhóm như Handala Hack thu thập hình ảnh thực tế tại hiện trường, hỗ trợ việc dò tìm mục tiêu thông qua hạ tầng vệ tinh Starlink.
  • Tấn công hạ tầng công nghiệp (ICS): Sự tham gia của các liên minh như NoName057(16) hay Cyber Islamic Resistance nhằm vào các cổng thông tin chính phủ và hệ thống điều khiển công nghiệp chính là nỗ lực gây gián đoạn các dịch vụ công thiết yếu, tạo ra sự hỗn loạn trong xã hội đối phương đồng nhất với các đợt leo thang quân sự.

4. Nhận định từ chuyên gia bảo mật VNCS Global: Cảnh giác trước rủi ro đa tầng

Sự biến chuyển của xung đột Trung Đông trên không gian mạng là lời cảnh báo đắt giá: Khi biên giới giữa công nghệ sạch và mã độc trở nên mong manh, các tổ chức không thể chỉ dựa vào những “danh sách đen” (Blacklist) có sẵn. Việc tận dụng Deno, Python và các dịch vụ Cloud cho thấy tin tặc đang tiến hóa nhanh hơn các hệ thống giám sát tĩnh.

Để đối phó với những mối đe dọa mang đậm màu sắc địa chính trị này, các doanh nghiệp và cơ quan chính phủ cần thay đổi tư duy phòng vệ:

  1. Kiểm soát môi trường thực thi: Thay vì chỉ chặn file, cần sử dụng EDR/XDR để giám sát chặt chẽ các hành vi bất thường của các tiến trình như Deno hoặc Python trên các máy chủ quan trọng.
  2. Quản trị rủi ro Cloud & IoT: Rà soát và vá lỗi triệt để cho hệ thống Camera IP; đồng thời giám sát các kết nối Cloud tới những nhà cung cấp lạ không nằm trong danh mục vận hành của tổ chức.
  3. Săn tìm mối đe dọa chủ động (Threat Hunting): Thay vì chờ cảnh báo, cần chủ động truy vết các dấu hiệu nhận diện (IOCs) của dòng Dindoor và Fakeset để bóc tách các chân rết của nhóm APT ngay khi chúng vừa thâm nhập.

                                                                                                                                                                                                                                                                           Nguồn: The Hacker News