Ngành Công Nghệ Trước Làn Sóng Tấn Công Mạng Mới: Góc Nhìn Từ Báo Cáo CrowdStrike 2026

Các khối xây dựng AI nền tảng — mô hình, dữ liệu đào tạo và quy trình nghiên cứu — hiện là mục tiêu chính của hoạt động gián điệp được nhà nước hậu thuẫn . Các nhóm đối thủ cụ thể của Trung Quốc bao gồm MURKY PANDA, MUSTANG PANDA, OVERCAST PANDA, SUNRISE PANDA và WARP PANDA đã được quan sát thấy nhắm mục tiêu vào lĩnh vực công nghệ nhiều hơn bất kỳ ngành công nghiệp nào khác . Báo cáo mô tả hoạt động này như một nỗ lực thu thập thông tin tình báo dài hạn được hỗ trợ bởi sự xâm phạm chuỗi cung ứng, nhằm đạt được các mục tiêu chiến lược thay vì lợi ích tài chính trước mắt .

Triều Tiên mở rộng các hoạt động truy cập tin cậy

Các tác nhân đe dọa có liên hệ với Triều Tiên đã tạo ra một hồ sơ hoạt động riêng biệt nhắm mục tiêu vào các công ty công nghệ. Thay vì chỉ dựa vào các phương pháp xâm nhập truyền thống, các nhóm liên kết với CHDCND Triều Tiên đã mở rộng phạm vi tiếp cận của họ thông qua việc cài cắm nhân viên IT — đưa các đặc vụ làm nhà thầu từ xa tại các công ty công nghệ phương Tây — và bằng cách xâm phạm chuỗi cung ứng phần mềm để có được quyền truy cập tin cậy .

Báo cáo tập trung vào công nghệ nhấn mạnh các hoạt động truy cập tin cậy này, nhưng một ấn phẩm song song của CrowdStrike, Báo cáo Toàn cảnh Mối đe dọa Dịch vụ Tài chính 2026, nhấn mạnh chiến dịch rộng lớn hơn của Triều Tiên. Báo cáo đó tiết lộ các đối thủ liên quan đến Triều Tiên đã đánh cắp hàng tỷ đô la tài sản kỹ thuật số trong năm 2025 và đã công nghiệp hóa tội phạm mạng bằng cách sử dụng công nghệ lừa đảo được hỗ trợ bởi AI . Nhóm FAMOUS CHOLLIMA, nói riêng, đã tăng gấp đôi nhịp độ hoạt động và nhóm PRESSURE CHOLLIMA đã thực hiện vụ trộm tài chính lớn nhất từng được báo cáo — 1,46 tỷ đô la tiền mã hóa — thông qua một vụ xâm phạm chuỗi cung ứng liên quan đến phần mềm bị cài mã độc .

Tội phạm mạng tăng tốc: thời gian đột phá giảm xuống còn 29 phút

Tội phạm mạng có động cơ tài chính đã leo thang hoạt động chống lại các tổ chức công nghệ, với các nhà môi giới truy cập ban đầu (Initial Access Brokers), các nhóm mã độc tống tiền và các nhóm tống tiền ưu tiên ngành này . Báo cáo Mối đe dọa Toàn cầu 2026 đi kèm ghi nhận rằng thời gian đột phá eCrime trung bình — khoảng thời gian giữa lần truy cập ban đầu và di chuyển ngang — đã giảm xuống chỉ còn 29 phút vào năm 2025, nhanh hơn 65% so với năm 2024 . Vụ xâm nhập nhanh nhất được quan sát đã chuyển từ truy cập ban đầu sang đánh cắp dữ liệu trong vòng chưa đầy hai phút, với một sự cố được ghi nhận chỉ trong 27 giây .

Các cuộc xâm nhập tương tác do con người điều khiển — thường được gọi là các cuộc tấn công "hands-on-keyboard" (tấn công thủ công) — đã tăng 43% trong hai năm qua, mang lại cho đối thủ sự linh hoạt trong hoạt động để xoay trục giữa hành vi trộm cắp, tống tiền hoặc thu thập thông tin tình báo tùy thuộc vào giá trị của mục tiêu . Sự chuyển hướng sang các chiến dịch do con người vận hành này có nghĩa là kẻ thù có thể hòa mình vào hành vi quản trị thông thường, khiến việc phát hiện trở nên khó khăn hơn đáng kể .

Chuỗi cung ứng và vấn đề khai thác lòng tin

Thay vì dựa vào phần mềm độc hại truyền thống, các đối thủ ngày càng khai thác các mối quan hệ tin cậy, thông tin xác thực hợp lệ, tích hợp SaaS và chuỗi cung ứng phần mềm . Báo cáo ghi nhận rằng 82% tất cả các phát hiện vào năm 2025 là phi phần mềm độc hại, khi những kẻ tấn công "sống nhờ vào đất" (living off the land) bằng cách sử dụng các công cụ hợp pháp và kỹ thuật xã hội được tăng cường bởi AI để vượt qua các biện pháp phòng thủ dựa trên chữ ký .

Các nền tảng AI và công cụ dành cho nhà phát triển hiện đang bị tấn công trực tiếp. Các đối thủ xâm phạm các kho lưu trữ, quy trình CI/CD và quy trình làm việc đáng tin cậy để có được quyền truy cập liên tục vào các mục tiêu hạ nguồn . Cách tiếp cận chuỗi cung ứng này có nghĩa là một công cụ phát triển bị xâm phạm duy nhất có thể mở rộng quyền truy cập trên hàng chục hoặc hàng trăm tổ chức mà không yêu cầu vi phạm trực tiếp vào từng mục tiêu.

Bề mặt tấn công AI mở rộng

Trí tuệ nhân tạo đã nổi lên như một mối đe dọa kép trong suốt thời gian báo cáo. Hoạt động của đối thủ được kích hoạt bởi AI đã tăng 89% so với cùng kỳ năm trước, đẩy nhanh các hoạt động lừa đảo, do thám, kỹ thuật xã hội và các hoạt động kỹ thuật . Những kẻ tấn công đã sử dụng các công cụ AI tạo sinh có sẵn công khai — bao gồm ChatGPT, Gemini và DeepSeek — để thực hiện kỹ thuật xã hội, phát triển phần mềm độc hại và lập kế hoạch hoạt động .

Đồng thời, chính các hệ thống AI đã trở thành một bề mặt tấn công mới. Hơn 90 tổ chức đã bị khai thác các công cụ AI hợp pháp để tạo ra các lệnh độc hại hoặc đánh cắp các mô hình nhạy cảm . Báo cáo ghi nhận các đối thủ tiêm các lời nhắc (prompt) độc hại vào các công cụ AI tạo sinh đang hoạt động và lạm dụng các nền tảng phát triển AI để đánh cắp sở hữu trí tuệ .

Báo cáo mô tả năm 2025 là "năm của kẻ thù tàng hình", được định nghĩa bởi các cuộc tấn công nhắm vào các mối quan hệ tin cậy, thể hiện sự thành thạo với các công cụ AI và kết hợp các thủ pháp được thiết kế riêng để khai thác các điểm mù an ninh trên các môi trường điểm cuối, danh tính, SaaS và đám mây .

Báo cáo của CrowdStrike làm rõ rằng các công ty công nghệ không thể chống lại sự hội tụ của các mối đe dọa này bằng các phương pháp cũ. Khi kẻ thù di chuyển từ truy cập ban đầu sang lây lan ngang trong vòng chưa đầy 30 phút và khi phần lớn các cuộc tấn công không mang chữ ký phần mềm độc hại, các chiến lược phát hiện được xây dựng trên các chỉ báo xấu đã biết về cơ bản là không phù hợp. Chính lĩnh vực đã xây dựng nên công nghệ tiên tiến nhất thế giới đã trở thành lãnh thổ kỹ thuật số bị tranh chấp nhiều nhất thế giới.