MinhSec
Writer
Sau loạt vụ tấn công của Mỹ và Israel vào các cơ sở quân sự và hạt nhân của Iran hồi tháng 6 năm 2025, các nhóm hacker do nhà nước Iran hậu thuẫn đã nhanh chóng gia tăng các hoạt động trên không gian mạng. Dù các xung đột vũ trang vẫn được kiểm soát, thế giới mạng lại trở thành mặt trận sôi động với những chiến dịch gián điệp, phá hoại và tuyên truyền ngày càng tinh vi.
Các nhóm tin tặc Iran, trong đó có những nhóm liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) và Bộ Tình báo Iran (MOIS), đã chuyển từ các hoạt động giám sát truyền thống sang các cuộc tấn công mạng mang tính chiến thuật. Đáng chú ý là các chiến dịch DDoS nhắm vào ngân hàng, công ty quốc phòng và hàng không vũ trụ, cũng như các nỗ lực quét lỗ hổng hệ thống công nghiệp (ICS), đánh cắp thông tin và lan truyền tuyên truyền ẩn danh trên dark web.
Một cảnh báo chung từ FBI và CISA gần đây nhấn mạnh sự gia tăng các rủi ro đối với hệ thống công nghệ vận hành (OT), đặc biệt là các lỗ hổng trong bộ điều khiển công nghiệp. Đây là dấu hiệu cho thấy các cuộc tấn công phá hoại có thể đang được lên kế hoạch.
APT35 đã tận dụng trí tuệ nhân tạo để tạo ra các chiến dịch lừa đảo vô cùng tinh vi, nhắm vào chuyên gia an ninh mạng và học giả quốc tế bằng các email giả mạo được soạn thảo cực kỳ thuyết phục. Họ tạo dựng mối quan hệ tin cậy dần theo thời gian, khiến việc phát hiện trở nên khó khăn. Chiến thuật này yêu cầu các tổ chức phải nâng cấp hệ thống phòng thủ bằng các công nghệ phát hiện hành vi bất thường và xác thực đa yếu tố.
Trong khi đó, APT33 vẫn tập trung vào các mục tiêu truyền thống như ngành năng lượng và quốc phòng, với kho công cụ độc hại có khả năng phá hoại thiết bị công nghiệp như PLC đặc biệt là các thiết bị do Israel sản xuất. Nhóm này sử dụng phần mềm xóa dữ liệu, kiểm soát từ xa và tấn công vào các điểm yếu trong chuỗi cung ứng để gây tổn hại dài hạn.
Ngoài các nhóm APT chính, các nhóm bán độc lập như CyberAv3ngers và Mr. Hamza cũng đang thực hiện nhiều cuộc tấn công DDoS vào website thành phố và tài chính phương Tây. Dù kỹ thuật còn thô sơ, các chiến dịch này giúp Iran giữ thế chủ động, vừa phủ nhận trách nhiệm vừa gây sức ép dư luận.
Chiến lược mạng của Iran đang chuyển dần từ gián điệp sang phá hoại, với các mục tiêu rõ ràng: hệ thống điều khiển giao thông, nhà máy điện, chuỗi cung ứng tài chính đặc biệt là các sàn giao dịch tiền điện tử, và lĩnh vực quốc phòng nơi các dữ liệu mật có thể bị đánh cắp phục vụ cho mục tiêu chiến lược.
gbhackers.com
Các nhóm tin tặc Iran, trong đó có những nhóm liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) và Bộ Tình báo Iran (MOIS), đã chuyển từ các hoạt động giám sát truyền thống sang các cuộc tấn công mạng mang tính chiến thuật. Đáng chú ý là các chiến dịch DDoS nhắm vào ngân hàng, công ty quốc phòng và hàng không vũ trụ, cũng như các nỗ lực quét lỗ hổng hệ thống công nghiệp (ICS), đánh cắp thông tin và lan truyền tuyên truyền ẩn danh trên dark web.
Một cảnh báo chung từ FBI và CISA gần đây nhấn mạnh sự gia tăng các rủi ro đối với hệ thống công nghệ vận hành (OT), đặc biệt là các lỗ hổng trong bộ điều khiển công nghiệp. Đây là dấu hiệu cho thấy các cuộc tấn công phá hoại có thể đang được lên kế hoạch.
APT35, APT33 và sự đột phá trong chiến tranh mạng bằng AI
Hai nhóm APT chính của Iran APT35 (còn gọi là Charming Kitten) và APT33 (Elfin) đang điều chỉnh chiến thuật để thích ứng với bối cảnh căng thẳng hiện nay.APT35 đã tận dụng trí tuệ nhân tạo để tạo ra các chiến dịch lừa đảo vô cùng tinh vi, nhắm vào chuyên gia an ninh mạng và học giả quốc tế bằng các email giả mạo được soạn thảo cực kỳ thuyết phục. Họ tạo dựng mối quan hệ tin cậy dần theo thời gian, khiến việc phát hiện trở nên khó khăn. Chiến thuật này yêu cầu các tổ chức phải nâng cấp hệ thống phòng thủ bằng các công nghệ phát hiện hành vi bất thường và xác thực đa yếu tố.
Trong khi đó, APT33 vẫn tập trung vào các mục tiêu truyền thống như ngành năng lượng và quốc phòng, với kho công cụ độc hại có khả năng phá hoại thiết bị công nghiệp như PLC đặc biệt là các thiết bị do Israel sản xuất. Nhóm này sử dụng phần mềm xóa dữ liệu, kiểm soát từ xa và tấn công vào các điểm yếu trong chuỗi cung ứng để gây tổn hại dài hạn.
Ngoài các nhóm APT chính, các nhóm bán độc lập như CyberAv3ngers và Mr. Hamza cũng đang thực hiện nhiều cuộc tấn công DDoS vào website thành phố và tài chính phương Tây. Dù kỹ thuật còn thô sơ, các chiến dịch này giúp Iran giữ thế chủ động, vừa phủ nhận trách nhiệm vừa gây sức ép dư luận.
Chiến lược mạng của Iran đang chuyển dần từ gián điệp sang phá hoại, với các mục tiêu rõ ràng: hệ thống điều khiển giao thông, nhà máy điện, chuỗi cung ứng tài chính đặc biệt là các sàn giao dịch tiền điện tử, và lĩnh vực quốc phòng nơi các dữ liệu mật có thể bị đánh cắp phục vụ cho mục tiêu chiến lược.
Iranian Threat Actors Use AI-Generated Emails to Target Cybersecurity Researchers and Academics
Iranian state-backed APT groups and their hacktivist allies have stepped up operations that could spark worldwide cyber retaliation.
gbhackers.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview