Tuần này bắt đầu với những sự kiện nhỏ lẻ.
Một token bị rò rỉ. Một gói phần mềm độc hại lọt vào hệ thống. Một mánh khóe đăng nhập thành công. Một công cụ cũ xuất hiện trở lại. Lúc đầu, nó có vẻ giống như một mớ hỗn độn thông thường. Nhưng sau đó bạn sẽ thấy một mô hình chung: những kẻ tấn công không phải lúc nào cũng cố gắng phá cửa xông vào. Chúng đang sử dụng chính những thứ mà chúng ta tin tưởng.
Đó là điều đáng lo ngại. Mối nguy hiểm hiện diện trong những thứ bình thường - các bản cập nhật, ứng dụng, các nút bấm trên đám mây, hội thoại hỗ trợ, và các tài khoản đáng tin cậy. AI không làm cho các cuộc tấn công trở nên kỳ ảo. Nó chỉ giúp con người thử nghiệm nhiều thứ hơn với tốc độ nhanh hơn.
Dưới đây là những gì đã xảy ra trong tuần này.
Tiêu điểm An ninh mạng
1. Phát hiện 47 lỗ hổng 0-Day tại Pwn2Own Berlin 2026
Cuộc thi hack Pwn2Own Berlin 2026 đã kết thúc, các nhà nghiên cứu bảo mật đã thu về 1.298.250 USD tiền thưởng sau khi khai thác 47 lỗ hổng Zero-Day trong các sản phẩm của Windows, Linux, VMware và NVIDIA. DEVCORE đã giành chiến thắng chung cuộc với 50,5 điểm Master of Pwn và 505.000 USD tiền thưởng sau khi hack thành công Microsoft SharePoint, Microsoft Exchange, Microsoft Edge và Windows 11.
2. NCSC Vương quốc Anh đưa ra hướng dẫn sử dụng AI có trách nhiệm
Trung tâm An ninh mạng Quốc gia Vương quốc Anh (NCSC) đã phát hành hướng dẫn mới cho các tổ chức nhằm triển khai các biện pháp kiểm soát bảo mật đầy đủ khi áp dụng các công cụ Agentic AI trong môi trường doanh nghiệp. NCSC cảnh báo: "Nếu một AI agent được cấp quá nhiều đặc quyền hoặc được thiết kế kém, một lỗi nhỏ có thể nhanh chóng trở thành một sự cố nghiêm trọng. Do đó, việc cân nhắc kỹ trước khi triển khai là vô cùng quan trọng."
3. Ba Lan thúc đẩy giải pháp thay thế Signal nội địa
Chính phủ Ba Lan đang kêu gọi các quan chức công và các đơn vị trong Hệ thống An ninh mạng Quốc gia ngừng sử dụng Signal. Thay vào đó, họ được hướng dẫn sử dụng một ứng dụng nhắn tin mã hóa có tên là mSzyfr do một tổ chức nghiên cứu hàng đầu của Ba Lan phát triển, nhằm đối phó với các cuộc tấn công kỹ thuật xã hội (social engineering) do các nhóm APT thực hiện.
4. Cảnh sát Hà Lan lật tẩy các nghi phạm lừa đảo
Cảnh sát Hà Lan cho biết danh tính của 74 trong số 100 nghi phạm đã bị bại lộ sau khi triển khai sáng kiến "Game Over?!". Sáng kiến này hiển thị ảnh làm mờ của 100 nghi phạm lừa đảo trên bảng quảng cáo và truyền hình, cho họ hai tuần để đầu thú trước khi hình ảnh được công khai rõ nét. Nghi phạm trẻ nhất chỉ mới 14 tuổi.
5. Tổng thống Trump thừa nhận Hoa Kỳ do thám Trung Quốc
Tổng thống Mỹ Donald Trump cho biết ông và Chủ tịch Trung Quốc Tập Cận Bình đã thảo luận về các cuộc tấn công mạng và hoạt động gián điệp của cả hai nước. "Họ nói về việc do thám. Ồ, chúng tôi cũng làm vậy," ông Trump nói và thêm rằng Hoa Kỳ cũng thực hiện rất nhiều hoạt động gián điệp đối với Trung Quốc.
6. Ransomware Gunra tấn công Hàn Quốc
Dòng Ransomware Gunra đã nhắm mục tiêu vào 5 công ty Hàn Quốc kể từ khi được phát hiện vào tháng 4 năm 2025. Ban đầu sử dụng mã nguồn Conti, nhóm này sau đó đã chuyển sang mô hình RaaS (Ransomware-as-a-Service) và tự phát triển mã độc riêng. Tính đến tháng 3 năm 2026, nhóm này đã tuyên bố có 32 nạn nhân.
7. Rò rỉ token GitHub Actions trong Composer
Composer, trình quản lý thư viện cho ngôn ngữ PHP, đã thúc giục người dùng cập nhật lên phiên bản 2.9.8 hoặc 2.2.28. Bản phát hành mới khắc phục lỗ hổng CVE-2026-45793 (điểm CVSS: 7.5), nơi Composer làm rò rỉ nội dung của GITHUB_TOKEN vào nhật ký (logs) của GitHub Actions.
8. Mã độc OrBit trên Linux vẫn tồn tại
Gần bốn năm sau khi được phát hiện lần đầu, các biến thể mới của Rootkit OrBit trên Linux đã được xác định. Mã độc này sử dụng các kỹ thuật lẩn trốn nâng cao, duy trì sự hiện diện bằng cách can thiệp vào các hàm quan trọng và thu thập thông tin đăng nhập SSH.
9. Sự gia tăng các cuộc xâm nhập do AI dẫn dắt
Hai chiến dịch mới mang tên SHADOW-AETHER-040 và SHADOW-AETHER-064 đã triển khai Agentic AI để thực hiện các cuộc tấn công vào các tổ chức chính phủ và tài chính tại Mỹ Latinh. Các tác nhân AI này tự động tạo ra nhiều công cụ hack và script thay vì dựa trên các công cụ có sẵn, giúp chúng vượt qua các giải pháp bảo mật truyền thống.
10. Anthropic cho phép chia sẻ thông tin về mối đe dọa mạng
Anthropic đã bắt đầu cho phép người dùng mô hình AI Mythos chia sẻ các mối đe dọa an ninh mạng với những bên khác. Cloudflare nhận định Mythos là một "bước tiến thực sự" khi có khả năng xâu chuỗi các kỹ thuật tấn công nhỏ thành một bản khai thác (exploit) hoàn chỉnh.
11. Discord triển khai mã hóa đầu cuối cho cuộc gọi
Discord thông báo mọi cuộc gọi thoại và video hiện đã được bảo vệ mặc định bằng mã hóa đầu cuối (E2EE) thông qua giao thức DAVE. Tuy nhiên, tính năng này hiện chưa được áp dụng cho tin nhắn văn bản do những thách thức về mặt kỹ thuật.
12. Storm-2949 lạm dụng tính năng đặt lại mật khẩu của Azure
Microsoft đã tiết lộ một cuộc tấn công tinh vi của nhóm Storm-2949 nhằm đánh cắp dữ liệu nhạy cảm. Kẻ tấn công đã lạm dụng quy trình Tự phục vụ đặt lại mật khẩu (SSPR) của Microsoft để lừa mục tiêu hoàn tất các yêu cầu xác thực đa yếu tố (MFA).
13. Apple chặn đứng 2,2 tỷ USD giao dịch gian lận
Apple cho biết App Store đã ngăn chặn hơn 2,2 tỷ USD giao dịch có khả năng gian lận và từ chối hơn 2 triệu ứng dụng có vấn đề trong năm 2025. Hơn 193.000 tài khoản nhà phát triển đã bị chấm dứt do lo ngại về gian lận.
14. Hai đối tượng nhận tội trong đường dây lừa đảo hỗ trợ kỹ thuật
Hai công dân Hoa Kỳ đã thừa nhận điều hành một doanh nghiệp cung cấp dịch vụ định tuyến cuộc gọi cho các đường dây lừa đảo hỗ trợ kỹ thuật quốc tế, nhắm vào các nạn nhân tại Mỹ và thu lợi bất chính hàng trăm USD mỗi vụ.
15. HP vá lỗ hổng RCE nghiêm trọng trong phần mềm in ấn Linux
HP đã phát hành bản vá cho CVE-2026-8631 (điểm CVSS: 9.3), một lỗ hổng tràn bộ đệm nghiêm trọng trong phần mềm HPLIP. Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa trên hàng triệu thiết bị Linux và máy chủ in ấn doanh nghiệp.
16. Chiến dịch Smishing chiếm đoạt tài khoản Telegram
AhnLab cảnh báo về một chiến dịch tin nhắn rác (smishing) mới nhắm vào người dùng Telegram, lừa họ nhập số điện thoại và mã đăng nhập vào các trang web giả mạo để chiếm quyền điều khiển tài khoản.
17. Gian lận cước SMS trên Android
Một chiến dịch mã độc Android mang tên Premium Deception đã bị phát hiện thực hiện hành vi gian lận cước viễn thông thông qua việc lạm dụng SMS trả phí tại khu vực Đông Nam Á và Châu Âu, sử dụng hơn 250 ứng dụng độc hại.
18. Trojan ngân hàng Banana RAT tại Brazil
Một loại Trojan ngân hàng mới có tên Banana RAT đang nhắm mục tiêu vào các tổ chức tài chính tại Brazil. Nó được viết hoàn toàn bằng PowerShell và cho phép kẻ tấn công điều khiển từ xa, theo dõi bàn phím và đánh cắp mã QR Pix.
19. Thư viện Go chứa cửa hậu qua DNS
Một module Go độc hại giả mạo thư viện phổ biến "decimal" đã bị phát hiện sử dụng các bản ghi DNS TXT làm kênh truyền lệnh (C2) để thực thi mã độc trên hệ thống của nạn nhân.
20. Gói npm art-template bị tấn công chuỗi cung ứng
Gói npm art-template với 26.000 lượt tải hàng tuần đã bị chiếm quyền điều khiển tài khoản quản trị để chèn mã độc, nhằm phát tán bộ công cụ khai thác Coruna nhắm vào người dùng iOS.
21. Steam gỡ bỏ trò chơi chứa mã độc
Valve đã gỡ bỏ một trò chơi mang tên "Beyond The Dark" khỏi nền tảng Steam sau khi phát hiện nó thu thập thông tin hệ thống của người chơi và triển khai các payload độc hại bổ sung.
22. Lỗ hổng 0-Day trên Router Huawei gây mất mạng diện rộng
Việc khai thác một lỗ hổng Zero-Day trong phần mềm Router doanh nghiệp của Huawei đã dẫn đến sự cố mất mạng viễn thông toàn quốc tại Luxembourg vào tháng 7 năm 2025, gây gián đoạn liên lạc trong hơn ba giờ.
23. Thiệt hại từ các vụ lừa đảo ATM tiền điện tử tăng vọt
FBI tiết lộ rằng người dân Mỹ đã mất hơn 388 triệu USD trong năm qua do các vụ lừa đảo sử dụng ki-ốt tiền điện tử (Bitcoin ATM). Các cuộc tấn công cưỡng đoạt vật lý nhắm vào người sở hữu tiền điện tử cũng tăng 75%.
24. Sandworm tiếp tục nhắm mục tiêu vào môi trường công nghiệp
Nozomi Networks phát hiện 29 sự kiện liên quan đến nhóm Sandworm trong các môi trường công nghệ vận hành (OT). Nhóm này vẫn dựa trên các chuỗi khai thác cũ nhưng hiệu quả như EternalBlue và WannaCry.
25. Mã độc PureLogs phát tán qua kỹ thuật giấu tin (Steganography)
Một chiến dịch phishing mới sử dụng các mồi nhử chủ đề hóa đơn để phát tán mã độc PureLogs, ẩn giấu lệnh độc hại bên trong các tệp hình ảnh để lẩn tránh sự phát hiện của các giải pháp bảo mật.
26. Rò rỉ 4,6 triệu hồ sơ thẻ tín dụng
Thị trường web tối B1ack's Stash đã công bố miễn phí 4,6 triệu hồ sơ thẻ tín dụng bị đánh cắp, bao gồm đầy đủ số thẻ, mã CVV2 và thông tin chủ thẻ, chủ yếu từ Mỹ, Anh và Malaysia.
27. Scareware khóa trình duyệt CypherLoc
Bộ công cụ scareware CypherLoc mới sử dụng các kỹ thuật thao túng tâm lý để khóa trình duyệt của nạn nhân và ép buộc họ gọi đến các số điện thoại hỗ trợ kỹ thuật giả mạo.
28. Phishing bằng AI trên quy mô lớn
Nghiên cứu mới cho thấy dữ liệu mạng xã hội công khai kết hợp với Generative AI có thể được sử dụng để tự động hóa các chiến dịch spear-phishing cá nhân hóa ở quy mô lớn với độ thuyết phục cực cao.
29. MSHTA vẫn được sử dụng trong các chiến dịch mã độc
Bitdefender cho biết những kẻ tấn công tiếp tục lạm dụng MSHTA - một tiện ích cũ trên Windows - để thực thi các chuỗi mã độc không tệp tin (fileless), từ các phần mềm đánh cắp thông tin đến các mối đe dọa nâng cao.
30. CISA vô tình để lộ bí mật GovCloud trên GitHub
Một nhà thầu của CISA đã để lộ thông tin đăng nhập của nhiều tài khoản AWS GovCloud đặc quyền trên một kho lưu trữ GitHub công khai, chứa 844 MB mật khẩu văn bản thuần túy và token của cơ quan này.
31. Theo dõi các cụm ứng dụng bị sửa đổi TamperedChef
Palo Alto Networks đã xác định hàng ngàn mẫu phần mềm năng suất bị sửa đổi (trojanized) được sử dụng để phát tán mã độc TamperedChef, hoạt động âm thầm trong nhiều tháng trước khi kích hoạt.
Đó là vấn đề của những tuần như thế này. Không có gì khiến chúng ta sốc quá năm phút, bởi vì sự việc tiếp theo đã đang chờ sẵn. Patch những gì quan trọng. Cẩn trọng với những gì bạn tin tưởng. Và đừng bỏ qua những cảnh báo nhàm chán chỉ vì chúng trông có vẻ quen thuộc. Đó thường là nơi câu chuyện thực sự bắt đầu.