Tin tặc khai thác AI: tìm đối tượng, lên kế hoạch tấn công, tạo kịch bản lừa đảo, code cả malware
24/02/2026 12:59
Tin tặc khai thác AI: tìm đối tượng, lên kế hoạch tấn công, tạo kịch bản lừa đảo, code cả malware
Một bài blog của Đơn vị tình báo an ninh mạng của Google (GTIG) đã mô tả chi tiết cách tin tặc lạm dụng nhiều AI bao gồm cả Gemini để tấn công các cá nhân lấy thông tin quan trọng hoặc lừa nạn nhân giao thông tin. Những năng lực của AI đang được các nhóm tin tặc tận dụng để tăng tốc quá trình chuẩn bị và thực hiện các chiến dịch tấn công theo những cách mà chúng ta không thể ngờ tới.
Một trong những sức mạnh đáng sợ nhất của AI đó là khả năng đào bới Internet để tìm thông tin với chỉ vài dòng lệnh trong một thời gian ngắn. Do đó, nó có thể được dùng để tạo ra một danh sách nạn nhân cho cuộc tấn công. Theo GTIG AI có thể nhanh chóng lập hồ sơ các mục tiêu tiềm năng và cung cấp cho kẻ tấn công nhiều thông tin như người đó đang làm nghề gì, trong ngành nào và giữ chức vụ gì trong một tổ chức. Nhờ đó tin tặc có thể chuẩn bị cho cuộc tấn công nhanh hơn so với phương pháp do thám kiểu cũ - tức phải tự mình đi tìm hiểu về đối tượng tấn công vốn mất nhiều thời gian. Ngoài ra, AI còn có thể đề xuất nhiều cách tiếp cận “con mồi”.
Điển hình như UNC6418 - mã định danh do GTIG đặt cho một nhóm tin tặc chưa xác định danh tính, đã khai thác Gemini để thực hiện các cuộc tấn công nhằm vào các thành viên thuộc lực lượng phòng vệ Ukraine. Nhóm này đã dùng Gemini để quét dữ liệu công khai (OSINT) nhằm xác định mục tiêu là các quan chức, nhân viên cấp cao làm việc trong lĩnh vực quốc phòng của Ukraine, sau đó lập hồ sơ cho từng cá nhân bao gồm chức vụ, email và các mối quan hệ của họ. Với các hồ sơ này, nhóm UNC6418 đã dùng Gemini để soạn thảo các email lừa đảo với giọng văn y hệt người thật khiến nạn nhân khó nhận ra, từ đó bị dẫn dụ cung cấp thông tin nhạy cảm.
Có thể thấy AI không chỉ được dùng để phân tích và tổng hợp thông tin, nó còn được dùng để tạo ra những tin nhắn, email lừa đảo mà đọc qua rất dễ bị thuyết phục. Như chiến dịch lừa đảo tinh vi của UNC6418, AI đã tạo ra nội dung giống như người thật soạn thảo nhờ khả năng bắt chước giọng văn. Thông thường chúng ta có thể phát hiện ra email lừa đảo nhờ sự vụng về trong văn bản hay những lỗi sai rất cơ bản về ngữ pháp hay chính tả nhưng với AI, email sẽ rất thật.
Tìm mục tiêu, lên kế hoạch tấn công, tạo nội dung dẫn dụ
Một trong những sức mạnh đáng sợ nhất của AI đó là khả năng đào bới Internet để tìm thông tin với chỉ vài dòng lệnh trong một thời gian ngắn. Do đó, nó có thể được dùng để tạo ra một danh sách nạn nhân cho cuộc tấn công. Theo GTIG AI có thể nhanh chóng lập hồ sơ các mục tiêu tiềm năng và cung cấp cho kẻ tấn công nhiều thông tin như người đó đang làm nghề gì, trong ngành nào và giữ chức vụ gì trong một tổ chức. Nhờ đó tin tặc có thể chuẩn bị cho cuộc tấn công nhanh hơn so với phương pháp do thám kiểu cũ - tức phải tự mình đi tìm hiểu về đối tượng tấn công vốn mất nhiều thời gian. Ngoài ra, AI còn có thể đề xuất nhiều cách tiếp cận “con mồi”.
Điển hình như UNC6418 - mã định danh do GTIG đặt cho một nhóm tin tặc chưa xác định danh tính, đã khai thác Gemini để thực hiện các cuộc tấn công nhằm vào các thành viên thuộc lực lượng phòng vệ Ukraine. Nhóm này đã dùng Gemini để quét dữ liệu công khai (OSINT) nhằm xác định mục tiêu là các quan chức, nhân viên cấp cao làm việc trong lĩnh vực quốc phòng của Ukraine, sau đó lập hồ sơ cho từng cá nhân bao gồm chức vụ, email và các mối quan hệ của họ. Với các hồ sơ này, nhóm UNC6418 đã dùng Gemini để soạn thảo các email lừa đảo với giọng văn y hệt người thật khiến nạn nhân khó nhận ra, từ đó bị dẫn dụ cung cấp thông tin nhạy cảm.
Có thể thấy AI không chỉ được dùng để phân tích và tổng hợp thông tin, nó còn được dùng để tạo ra những tin nhắn, email lừa đảo mà đọc qua rất dễ bị thuyết phục. Như chiến dịch lừa đảo tinh vi của UNC6418, AI đã tạo ra nội dung giống như người thật soạn thảo nhờ khả năng bắt chước giọng văn. Thông thường chúng ta có thể phát hiện ra email lừa đảo nhờ sự vụng về trong văn bản hay những lỗi sai rất cơ bản về ngữ pháp hay chính tả nhưng với AI, email sẽ rất thật.
Tệ hơn, GTIG cho biết AI còn có thể bắt chước cách con người trò chuyện khi đối thoại với mục tiêu, từ đó tạo dựng được lòng tin với nạn nhân. Như trường hợp của UNC2970 - nhóm tin tặc được cho có liên quan đên chính phủ Triều Tiên, đã sử dụng AI để lừa các chuyên gia bảo mật, đóng vai là người tuyển dụng. Nhóm này tạo ra những tài khoản LinkedIn nhìn rất chuyên nghiệp, dùng AI để tạo các tin tuyển dụng rất thuyết phục và đóng giả làm chuyên viên tuyển dụng của các tập đoàn lớn như Boeing, Airbus hay các công ty quốc phòng để tiếp cận mục tiêu là các kỹ sư, chuyên gia bảo mật.
Tin tặc liên lạc với nạn nhân qua WhatsApp và email và sau khi có được sự tin tưởng, tin tặc sẽ gửi một file ZIP chứa một văn bản PDF, bên ngoài ghi là bản mô tả công việc nhưng thực chất chứa mã độc MISTPEN hoặc TOUCHMOVE và một bản cài đặt của phần mềm SumatraPDF đã bị chỉnh sửa mã nguồn. Một khi nạn nhân mở file PDF, mã độc sẽ tự động chạy nền và âm thầm thu thập thông tin. UNC2970 nhằm vào các quốc gia có nền kỹ thuật công nghệ phát triển như Mỹ, Anh, Đức, nạn nhân làm việc trong các ngành công nghiệp như quốc phòng, hàng không vũ trụ, năng lượng hạt nhân và an ninh mạng.
Dùng AI để tạo mã độc
Nhiều công cụ AI được thiết kế để khiến việc lập trình phần mềm trở nên dễ dàng hơn và mặc dù thông thường chúng ta không thể yêu cầu AI tạo ra mã độc nhưng vẫn có lỗ hổng cho phép làm điều này. GTIG cho biết người dùng có thể đánh lừa AI bằng cách sử dụng các khả năng của AI tự chủ (agentic AI) - hệ thống AI hoàn toàn tự động có thể tạo ra các tác vụ phức tạp, nhiều bước với sự tương tác tối thiệu của con người để phát triển phần mềm độc hại. GTIG lấy ví dụ về nhóm tin tặc UNC795 có nguồn gốc từ Trung Quốc đã bị bắt quả tang sử dụng Gemini để phân tích lỗ hổng tự động, kiểm thử và mô phỏng tấn công với các kỹ thuật như SQL Injection, vượt tường lửa ứng dụng web (WAF) và dùng AI để gợi ý, sửa lỗi và tối ưu mã độc.
Hay như HONESTCUE - một malware được GTIG phát hiện hoạt động như một backdoor, được thiết kế để tạo sự hỗn loạn nhiều lớp. Thứ khiến HONESTCUE đặc biệt là nó sử dụng Gemini để nhận mã độc va tải xuống một malware khác mà không để lại dấu vết trên ổ cứng. Đáng chú ý, HONESTCUE được phát triển bởi các lập trình viên nghiệp dư và hiện không liên quan đến bất kỳ hoạt động tấn công mạng nào. Vậy sẽ ra sao nếu một hacker chuyên nghiệp khai thác API của Gemini để làm điều tương tự?
Tin xem thêm
nội dung mới
