Mạng lưới 5.000 tên miền độc hại: Ai đang nhắm vào người dùng nói tiếng Trung?

[Duy Linh]

DomainTools Investigations vừa công bố báo cáo mới, phơi bày sự mở rộng nhanh chóng của một mạng lưới phát tán phần mềm độc hại nhắm vào người dùng nói tiếng Trung trên toàn cầu. Cụm hạ tầng này hoạt động từ tháng 6/2023 và đã phát triển đến khoảng 5.000 tên miền. Riêng từ tháng 5 đến tháng 11/2025, các nhà nghiên cứu ghi nhận thêm hơn 1.900 tên miền mới.

Phân tích dựa trên trí tuệ nhân tạo vạch trần hoạt động phần mềm độc hại quy mô lớn của Trung Quốc với hơn 5.000 tên miền.
Cuộc điều tra cũng đánh dấu bước tiến quan trọng trong năng lực phòng thủ mạng khi hệ thống AI tác nhân mới đạt tốc độ phân tích nhanh hơn gấp 10 lần so với quy trình thủ công trước đây. Nhóm tin tặc điều hành “siêu cụm máy chủ” cho thấy mức độ kiên trì và khả năng thích ứng lớn. Dù trước đây chủ yếu tận dụng hạ tầng tập trung trên Alibaba Cloud Hong Kong, các phân tích gần đây cho thấy họ đã chuyển sang mô hình phân mảnh để giảm rủi ro bị phát hiện.

Từ tháng 8/2025, nhóm này rời khỏi mô hình lưu trữ tập trung và chuyển sang dùng các nhà đăng ký tên miền nội địa Trung Quốc cùng phương pháp đặt tên miền ngẫu nhiên nhằm cải thiện OPSEC. Dù vậy, họ vẫn để lộ những điểm yếu cho phép chuyên gia liên kết các chiến dịch khác nhau.

Nhờ các mẫu lặp lại trong email SOA, ID theo dõi SEO và tên người đăng ký duy nhất, các nhà phân tích đã kết nối hơn 1.900 tên miền mới vào cụm hạ tầng lớn hơn. Hiện cơ sở hạ tầng này trải rộng tại 5 quốc gia và sử dụng 8 nhà đăng ký khác nhau, tăng đáng kể so với 3 đơn vị ghi nhận hồi đầu 2025.

Agent AI thay đổi cuộc chơi săn lùng mối đe dọa​

Để đối phó với khối lượng cơ sở hạ tầng độc hại khổng lồ, các nhà nghiên cứu triển khai hệ thống “trí tuệ nhân tạo tác nhân” thử nghiệm. Thay vì các kịch bản tự động cứng nhắc, hệ thống dùng kiến trúc hai lớp gồm một tác nhân điều phối và nhiều tác nhân phụ chuyên xử lý từng nhiệm vụ như phân tích mã hoặc truy xuất dữ liệu nhị phân.

Kết quả vượt xa kỳ vọng: hệ thống AI phân tích hơn 1.900 trang web phát tán mã độc chỉ trong thời gian tương đương 200–400 cuộc điều tra thủ công trước đây. Trong một thử nghiệm xử lý hàng loạt, ba tác nhân AI phân tích 2.000 tên miền trong khoảng 10 giờ, với thời gian trung bình 1–10 phút mỗi tên miền tùy mức độ phức tạp.

Tổng quan về phân tích nhị phân .
Hệ thống cũng xử lý hiệu quả các trang web chứa JavaScript chống tự động hóa và cơ chế phát hiện bot những yếu tố thường làm chậm các công cụ quét truyền thống. Không chỉ phát hiện mã độc và thu hồi phần mềm độc hại, các tác nhân còn tự động tạo quy tắc YARA, cải thiện đáng kể tương quan giữa chi phí và hiệu quả phòng thủ.

Luồng điều phối tác nhân .
Phân tích 2.393 tên miền gần đây tiếp tục cho thấy nhóm tấn công tập trung vào người dùng nói tiếng Trung, sử dụng kỹ thuật giả mạo phần mềm phổ biến để phát tán Trojan và mã độc đánh cắp thông tin đăng nhập. Các tệp độc hại có dung lượng lớn (100–250MB) nhằm vượt qua giới hạn quét của nhiều phần mềm antivirus.

Các loại ứng dụng bị giả mạo phổ biến nhất (5–11/2025):

Loại	Số lượng tên miền	Tỷ lệ	Thương hiệu bị mạo danh
Công cụ giao tiếp	391	24,2%	WhatsApp, WhatsApp Web
Dịch vụ VPN	363	22,4%	LetsVPN (Kuailian), biến thể Kuailian
Năng suất	229	14,2%	Google Services, Youdao, WPS Office
Trình duyệt	109	6,7%	Google Chrome
Tiền điện tử & tài chính	105	6,5%	ImToken, AICoin

Sự bền bỉ của nhóm này cùng việc chuyển sang hạ tầng nội địa và kỹ thuật né tránh nâng cao cho thấy họ đang phát triển thành một mô hình “dịch vụ” nơi các chi nhánh có thể gắn phần mềm độc hại riêng. Tuy nhiên, thành công của Agent AI chứng minh rằng lực lượng phòng thủ đã có năng lực đối phó ở quy mô tương đương, xoay chuyển thế trận trước các chiến dịch mở rộng nhanh chóng.

Nguồn: gbhackers​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview