Từ 2024 đến nửa đầu 2025, nhiều nhóm tin tặc APT tại khu vực APAC đẩy mạnh hoạt động gián điệp mạng, nhắm vào chính phủ, ngoại giao và cả nhà máy hạt nhân, buộc các tổ chức phải nâng cấp khả năng phòng thủ an ninh mạng.
Kaspersky cho biết, từ năm 2024 đến nửa đầu 2025, các nhóm tin tặc có chủ đích (APT) tại khu vực châu Á – Thái Bình Dương (APAC) vẫn duy trì động cơ chính là thu thập tình báo, với mục tiêu xâm nhập vào cơ quan chính phủ, hồ sơ ngoại giao, thậm chí cả nhà máy điện hạt nhân.
Trong một sự kiện chuyên sâu, bà Noushin Shabab – Trưởng nhóm Nghiên cứu thuộc GReAT (Global Research and Analysis Team) của Kaspersky – nhấn mạnh: “APAC vốn là khu vực nhạy cảm về địa chính trị, cộng thêm tốc độ số hóa nhanh đã tạo môi trường thuận lợi cho các chiến dịch gián điệp mạng quy mô lớn. Các nhóm APT đang gia tăng hoạt động nhằm tiếp cận dữ liệu mật, hạ tầng trọng yếu và cả cá nhân cấp cao.”
Hiện tại, đội ngũ GReAT của Kaspersky theo dõi hơn 900 nhóm và chiến dịch APT trên toàn cầu. Riêng tại APAC, nhiều nhóm tấn công đang hoạt động mạnh mẽ:
- SideWinder: được mệnh danh “hung hăng nhất khu vực”, chuyên khai thác email giả mạo để tấn công chính phủ, quân đội và cơ quan ngoại giao. Gần đây, nhóm còn gia tăng nhắm vào lĩnh vực năng lượng và các nhà máy hạt nhân ở Nam Á.
- Spring Dragon (Lotus Blossom): chủ yếu nhắm đến Việt Nam, Đài Loan và Philippines, sử dụng spear-phishing, exploit và watering hole. Trong một thập kỷ, nhóm này đã tung hơn 1.000 biến thể mã độc.
- Tetris Phantom: nổi bật nhờ tấn công vào thiết bị USB bảo mật. Từ 2024, nhóm mở rộng công cụ với BoostPlug và DeviceCync, cho phép cài đặt các mã độc như ShadowPad và Ghost RAT.
- HoneyMyte: tập trung đánh cắp dữ liệu chính trị và chiến lược tại Myanmar và Philippines, hiện khai thác mã độc ToneShell.
- ToddyCat: từ 2020 đến nay chủ yếu nhắm vào mục tiêu cấp cao ở Malaysia, phát triển mã độc dựa trên mã nguồn công khai để tránh bị phát hiện.
- Lazarus: khét tiếng toàn cầu, ngoài các chiến dịch tài chính còn tiến hành gián điệp. Năm 2025, nhóm triển khai “Operation SyncHole”, khai thác lỗ hổng phần mềm để tấn công doanh nghiệp Hàn Quốc, đồng thời phát hiện zero-day trên Innorix Agent.
- Mysterious Elephant: lần đầu lộ diện 2023, chuyên cài backdoor mới để chiếm quyền kiểm soát hệ thống. Trong 2025, nhóm mở rộng công cụ nhắm vào Pakistan, Sri Lanka và Bangladesh.
Theo Kaspersky, điểm khác biệt giữa các nhóm APT và tội phạm mạng thông thường là động cơ: thay vì tài chính, chúng hướng đến lợi ích chính trị – chiến lược, có khả năng được “chống lưng” bởi các quốc gia.
Khuyến nghị từ Kaspersky
Để ứng phó với nguy cơ ngày càng gia tăng, doanh nghiệp và tổ chức cần:
- Luôn cập nhật phần mềm nhằm giảm thiểu lỗ hổng bị khai thác.
- Rà soát hệ thống để phát hiện và vá kịp thời các điểm yếu bảo mật.
- Triển khai giải pháp Kaspersky Next với khả năng bảo vệ thời gian thực, giám sát và phản hồi ở cấp EDR/XDR.
- Tận dụng Kaspersky Threat Intelligence để có bức tranh toàn diện về mối đe dọa, hỗ trợ xử lý sự cố hiệu quả.
“Những cuộc tấn công này không chỉ là đánh cắp dữ liệu, mà còn nhằm tạo ra lợi thế địa chính trị. Do đó, việc đầu tư vào năng lực phòng thủ, giám sát và phân tích mối đe dọa là tối quan trọng đối với mọi tổ chức trong khu vực,” bà Shabab nhấn mạnh.
