Trung tâm An ninh mạng Quốc gia (NCSC) cùng 15 đối tác quốc tế vừa đưa ra cảnh báo chung về an ninh mạng. Cảnh báo này nhấn mạnh rằng các nhóm tấn công liên kết với Trung Quốc đang che giấu hoạt động tấn công của mình thông qua mạng lưới các thiết bị Internet thông thường đã bị chiếm quyền kiểm soát.
Cảnh báo chỉ ra một sự thay đổi lớn trong chiến thuật. Các nhóm có liên hệ với Bắc Kinh đã chuyển sang sử dụng hàng trăm ngàn router gia đình và thiết bị thông minh bị chiếm quyền, thay vì dựa vào hạ tầng tấn công riêng biệt như trước đây.
Botnet hình thành từ thiết bị gia đình bị xâm nhập
Tài liệu này cho thấy một mô-típ chung trong các chiến dịch của Volt Typhoon và Flax Typhoon. Trong mọi trường hợp, lưu lượng truy cập đều đi qua các router của văn phòng nhỏ, nhà riêng đã bị chiếm quyền trước khi tới mục tiêu cuối cùng.
Những mạng lưới ngầm này giúp các nhóm hoạt động liên kết với Trung Quốc quét mục tiêu, phát tán mã độc và lấy cắp dữ liệu. Điều này cũng giúp che giấu nguồn gốc của từng cuộc tấn công.
Mạng lưới Raptor Train, theo NCSC, đã lây nhiễm hơn 200,000 thiết bị toàn cầu chỉ riêng trong năm 2024. FBI xác định mạng này được điều hành bởi Integrity Technology Group, một công ty an ninh mạng có trụ sở tại Bắc Kinh.
Nước Anh đã ban hành lệnh trừng phạt đối với công ty này vào tháng 12/2025 vì các hoạt động mạng liều lĩnh gây hại cho các đồng minh của mình.
Nhiều thiết bị bị chiếm quyền là các loại thiết bị đã hết hạn sử dụng như camera web, đầu ghi hình, tường lửa và bộ lưu trữ mạng. Các thiết bị này không còn được nhà sản xuất cập nhật bản vá bảo mật, khiến chúng trở thành mục tiêu dễ bị tấn công trên diện rộng.
Hạ tầng phương Tây đã bị cài cắm từ trước
Volt Typhoon từng sử dụng một mạng lưới ngầm khác mang tên KV Botnet. Nhóm này đã chiếm được chỗ đứng tại các hạ tầng trọng yếu quốc gia ở Mỹ và các nước đồng minh.
Các hồ sơ của Bộ Tư pháp Mỹ được nhắc đến trong báo cáo này cho thấy các hệ thống lưới điện, giao thông và mạng lưới chính phủ nằm trong danh sách mục tiêu bị tấn công.
Ông Paul Chichester, Giám đốc Vận hành của NCSC, cũng chỉ ra một vấn đề khác là việc “dấu hiệu nhận biết bị triệt tiêu”. Các dấu hiệu giúp theo dõi kẻ tấn công thường biến mất nhanh chóng ngay sau khi các nhà nghiên cứu công bố công khai.
Vấn đề này cũng phản ánh thực trạng khó khăn trong việc theo dõi các chiến dịch tấn công mạng do nhà nước đứng sau, cả trong hạ tầng trọng yếu lẫn lĩnh vực tài chính.
Trong vài năm gần đây, chúng tôi chứng kiến sự thay đổi chiến thuật rõ rệt của các nhóm tấn công có trụ sở tại Trung Quốc. Họ sử dụng các mạng lưới này để che giấu hành vi và trốn tránh trách nhiệm,” ông Paul Chichester, Giám đốc Vận hành của NCSC cho biết.
Cảnh báo khuyến nghị các tổ chức nên xác định chuẩn lưu lượng mạng thông thường, sử dụng các nguồn cảnh báo mối đe dọa cập nhật, đồng thời xếp các mạng lưới ngầm liên quan Trung Quốc vào loại mối đe dọa dai dẳng cấp cao riêng biệt.
Năm 2024 đã ghi nhận các vụ tấn công mạng làm thất thoát tài sản số trị giá hơn 2 tỷ USD trên toàn cầu. Các tháng tới sẽ là thử thách lớn cho những người phòng thủ. Trong cuộc chơi này, việc xác định danh tính kẻ tấn công đang trở thành “nạn nhân” đầu tiên.
