Bởi (MobileWorld.vn) – Từ năm 2024 đến nửa đầu 2025, các nhóm tấn công mạng có chủ đích (APT) tại khu vực châu Á – Thái Bình Dương (APAC) tiếp tục gia tăng hoạt động, với động cơ chính là khai thác thông tin tình báo, nhắm vào bí mật quốc gia, hồ sơ ngoại giao, cơ quan chính phủ và cả cơ sở hạ tầng trọng yếu như nhà máy điện hạt nhân. Theo Kaspersky, bối cảnh địa chính trị căng thẳng kết hợp tốc độ số hóa nhanh khiến khu vực này trở thành điểm nóng gián điệp mạng toàn cầu. Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky hiện đang theo dõi hơn 900 nhóm và chiến dịch APT, trong đó nhiều nhóm tập trung mạnh vào APAC.
Nổi bật là SideWinder, được đánh giá là “hung hăng nhất” trong khu vực. Nhóm này thường sử dụng email lừa đảo tinh vi để tấn công chính phủ, quân đội, cơ quan ngoại giao, đặc biệt quan tâm đến lĩnh vực hàng hải và logistics tại Bangladesh, Campuchia, Việt Nam, Trung Quốc, Ấn Độ và Maldives. Từ tháng 3/2025, SideWinder mở rộng mục tiêu sang cơ sở năng lượng và nhà máy hạt nhân Nam Á. Các email giả mạo quy định, vận hành nhà máy có thể chứa mã độc, cho phép truy cập dữ liệu vận hành nhạy cảm, tài liệu nghiên cứu và thông tin nhân sự. Nhóm này còn nhắm đến Sri Lanka, Nepal, Myanmar, Indonesia và Philippines.
Spring Dragon (Lotus Blossom) là nhóm hoạt động lâu năm, thường xuyên nhắm vào Việt Nam, Đài Loan và Philippines. Với kỹ thuật spear-phishing, khai thác lỗ hổng và tấn công watering hole, nhóm đã triển khai hơn 1.000 mã độc trong một thập kỷ qua để xâm nhập cơ quan chính phủ Đông Nam Á.
Tetris Phantom, phát hiện từ năm 2023, đặc biệt khi tấn công qua loại USB bảo mật chuyên dụng. Đến 2025, nhóm này bổ sung hai công cụ mới: BoostPlug – nền tảng plugin tấn công, và DeviceCync – cho phép cài cắm mã độc như ShadowPad, PhantomNet và Ghost RAT.
HoneyMyte chủ yếu đánh cắp dữ liệu chính trị, ngoại giao tại Đông Nam Á, đặc biệt Myanmar và Philippines, hiện đang triển khai mã độc ToneShell thông qua nhiều trình tải khác nhau.
ToddyCat, hoạt động mạnh từ năm 2020, tập trung vào Malaysia. Nhóm này phát triển công cụ dựa trên mã nguồn công khai, có khả năng vượt qua phần mềm bảo mật hợp pháp để duy trì quyền truy cập bí mật.
Lazarus, nhóm khét tiếng từng đứng sau vụ tấn công ngân hàng Bangladesh, tiếp tục gây lo ngại lớn trong khu vực. Đầu 2025, nhóm khởi động chiến dịch “Operation SyncHole” kết hợp watering hole và khai thác lỗ hổng phần mềm bên thứ ba để tấn công nhiều tổ chức Hàn Quốc. Các nhà nghiên cứu Kaspersky còn phát hiện lỗ hổng zero-day trong phần mềm Innorix Agent, khiến ít nhất sáu doanh nghiệp trọng yếu Hàn Quốc bị ảnh hưởng.
Mysterious Elephant, phát hiện năm 2023, sử dụng backdoor có thể thực thi lệnh và xử lý tệp tin âm thầm. Nhóm này có kỹ thuật vừa riêng biệt vừa giao thoa với nhiều nhóm khác như Dropping Elephant, Bitter hay Confucius. Năm 2025, chúng mở rộng vũ khí tấn công sang Pakistan, Sri Lanka và Bangladesh.
Theo bà Noushin Shabab – Trưởng nhóm Nghiên cứu bảo mật GReAT tại Kaspersky – khác với tội phạm mạng thông thường vốn bị chi phối bởi tài chính, các nhóm APT thường được hậu thuẫn bởi quốc gia, nhằm đạt lợi thế địa chính trị. Những chiến dịch này không đơn thuần là đánh cắp dữ liệu, mà còn nhắm tới thông tin chiến lược và quân sự, ảnh hưởng trực tiếp đến an ninh khu vực.
Trước bức tranh phức tạp đó, Kaspersky khuyến nghị các tổ chức cần xây dựng chiến lược phòng thủ chủ động. Trọng tâm là phát hiện chính xác, phản ứng nhanh trước chiến thuật quen thuộc và xử lý triệt để các lỗ hổng bảo mật. Một số biện pháp gồm: luôn cập nhật phần mềm trên mọi thiết bị; tiến hành rà soát an ninh toàn diện cho hạ tầng số; triển khai giải pháp Kaspersky Next với khả năng bảo vệ thời gian thực, giám sát và điều tra – phản hồi ở cấp độ EDR và XDR; đồng thời trang bị cho đội ngũ InfoSec cái nhìn sâu rộng thông qua giải pháp Threat Intelligence nhằm nhận diện sớm và ứng phó hiệu quả trước mối đe dọa.
Nhìn chung, châu Á – Thái Bình Dương đang trở thành chiến trường mạng phức tạp, nơi các nhóm APT quốc tế không ngừng mở rộng quy mô, gia tăng mức độ tinh vi và nhắm thẳng vào các mục tiêu chiến lược. Điều này đặt ra yêu cầu cấp thiết cho chính phủ và doanh nghiệp trong khu vực phải nâng cao năng lực phòng thủ, đầu tư công nghệ bảo mật tiên tiến và tăng cường hợp tác quốc tế để đối phó với mối đe dọa mạng ngày càng gia tăng.
