Cơ quan Bảo vệ Thông tin và Truyền thông Đặc biệt của Ukraine (SSSCIP) cho biết việc các hacker Nga áp dụng trí tuệ nhân tạo (AI) trong các cuộc tấn công mạng nhằm vào Ukraine đã đạt đến một cấp độ mới trong nửa đầu năm 2025 (H1 2025).
"Hiện nay, tin tặc không chỉ sử dụng nó để tạo ra các tin nhắn phishing, mà một số mẫu malware chúng tôi đã phân tích cũng cho thấy những dấu hiệu rõ ràng được tạo ra bằng AI – và chắc chắn những kẻ tấn công sẽ không dừng lại ở đó," cơ quan này cho biết trong một báo cáo công bố vào thứ Tư.
SSSCIP cho biết 3.018 sự cố mạng đã được ghi nhận trong khoảng thời gian này, tăng từ 2.575 sự cố trong nửa cuối năm 2024 (H2 2024). Các cơ quan chức năng và thực thể quân sự địa phương chứng kiến sự gia tăng các cuộc tấn công so với H2 2024, trong khi các cuộc tấn công nhằm vào chính phủ và lĩnh vực năng lượng lại giảm.
Một cuộc tấn công đáng chú ý được ghi nhận liên quan đến việc UAC-0219 sử dụng malware có tên WRECKSTEEL trong các cuộc tấn công nhắm vào các cơ quan hành chính nhà nước và các cơ sở hạ tầng quan trọng của đất nước. Có bằng chứng cho thấy malware đánh cắp dữ liệu PowerShell này đã được phát triển bằng các công cụ AI.
Các chiến dịch tấn công khác được ghi nhận
Một số chiến dịch khác được ghi nhận chống lại Ukraine bao gồm:
- Các chiến dịch phishing do UAC-0218 tổ chức nhắm vào lực lượng quốc phòng để phát tán HOMESTEEL bằng cách sử dụng các tệp lưu trữ RAR chứa mã độc.
- Các chiến dịch phishing do UAC-0226 tổ chức nhắm vào các tổ chức tham gia phát triển đổi mới trong lĩnh vực công nghiệp quốc phòng, các cơ quan chính quyền địa phương, các đơn vị quân đội và các cơ quan thực thi pháp luật để phân phối một stealer có tên GIFTEDCROOK.
- Các chiến dịch phishing do UAC-0227 tổ chức nhắm vào chính quyền địa phương, các cơ sở hạ tầng quan trọng, và các Trung tâm Tuyển dụng và Hỗ trợ Xã hội Lãnh thổ (TRCs và SSCs) sử dụng các chiến thuật kiểu ClickFix hoặc các tệp đính kèm SVG để phân phối các stealer như Amatera Stealer và Strela Stealer.
- Các chiến dịch phishing do UAC-0125, một nhóm con có liên hệ với Sandworm, gửi các tin nhắn email chứa liên kết đến một trang web mạo danh ESET để phân phối một backdoor dựa trên C# có tên Kalambur (còn gọi là SUMBUR) dưới vỏ bọc một chương trình loại bỏ mối đe dọa.
Khai thác lỗ hổng webmail và chiến tranh hỗn hợp
SSSCIP cũng cho biết họ đã quan sát thấy các tác nhân APT28 (còn gọi là UAC-0001) có liên hệ với Nga đã vũ khí hóa các lỗ hổng cross-site scripting trong phần mềm webmail Roundcube ( CVE-2023-43770, CVE-2024-37383 và CVE-2025-49113) và Zimbra (CVE-2024-27443 và CVE-2025-27915) webmail để thực hiện các cuộc tấn công zero-click.
"Khi khai thác các lỗ hổng như vậy, kẻ tấn công thường tiêm mã độc mà thông qua API của Roundcube hoặc Zimbra, chúng có quyền truy cập vào thông tin đăng nhập, danh sách liên hệ và các bộ lọc đã cấu hình để chuyển tiếp tất cả email đến các hộp thư do kẻ tấn công kiểm soát," SSSCIP cho biết.
"Một phương pháp khác để đánh cắp thông tin đăng nhập bằng cách sử dụng các lỗ hổng này là tạo các khối HTML ẩn (visibility: hidden) với các trường nhập tên đăng nhập và mật khẩu, trong đó thuộc tính autocomplete='on' được đặt. Điều này cho phép các trường được tự động điền bằng dữ liệu được lưu trữ trong trình duyệt, sau đó được trích xuất."
Cơ quan này cũng tiết lộ rằng Nga tiếp tục tham gia vào chiến tranh hỗn hợp (hybrid warfare), đồng bộ hóa các hoạt động không gian mạng của mình cùng với các cuộc tấn công động lực trên chiến trường, với nhóm Sandworm (UAC-0002) nhắm mục tiêu vào các tổ chức trong các lĩnh vực năng lượng, quốc phòng, nhà cung cấp dịch vụ internet và nghiên cứu.
Hơn nữa, một số nhóm đe dọa nhắm vào Ukraine đã lạm dụng các dịch vụ hợp pháp, như Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io, mocky.io, để lưu trữ malware hoặc các trang phishing, hoặc biến chúng thành kênh trích xuất dữ liệu.
"Việc sử dụng các tài nguyên trực tuyến hợp pháp cho các mục đích độc hại không phải là một chiến thuật mới," SSSCIP nói. "Tuy nhiên, số lượng các nền tảng như vậy bị các hacker Nga khai thác đã liên tục gia tăng trong thời gian gần đây."
