Ảnh minh họa.Serto Softwware

Nhưng kết quả điều tra kỹ thuật của công ty tình báo an ninh mạng KELA cho thấy các vụ việc không phải là tấn công chiếm quyền điều khiển thiết bị, mà chỉ dừng ở mức xâm nhập tài khoản Telegram của các nạn nhân.

Rò rỉ dữ liệu từ Telegram, không phải từ iPhone

Theo tuyên bố của Handala, chiến dịch nhắm vào ông Bennett - được nhóm này đặt tên là “Operation Octopus” - đã thu thập và công bố danh bạ liên lạc, hình ảnh, video và khoảng 1.900 đoạn hội thoại, được cho là trích xuất từ iPhone 13 của cựu Thủ tướng Israel.

Dữ liệu rò rỉ bao gồm thông tin liên lạc của nhiều quan chức Israel, nhà báo và lãnh đạo doanh nghiệp. Ban đầu, ông Bennett phủ nhận cáo buộc, nhưng sau đó xác nhận chỉ tài khoản Telegram của ông bị truy cập trái phép, còn điện thoại cá nhân không bị xâm nhập.

Trong một vụ việc tương tự, Handala cũng tuyên bố đã tấn công iPhone của ông Tzachi Braverman, thậm chí cáo buộc truy cập được các nội dung liên lạc mã hóa và dữ liệu liên quan đến tham nhũng chính trị. Văn phòng Thủ tướng Israel đã nhanh chóng bác bỏ toàn bộ thông tin này.

Phát hiện kỹ thuật của KELA

Qua phân tích pháp chứng số, KELA cho biết phần lớn các “đoạn hội thoại” bị rò rỉ thực chất là thẻ liên hệ trống, được Telegram tự động tạo ra trong quá trình đồng bộ danh bạ.

Chỉ khoảng 40 tin nhắn thực sự tồn tại, với nội dung rất hạn chế. Đáng chú ý, toàn bộ các liên hệ đều là tài khoản Telegram đang hoạt động, củng cố nhận định rằng tin tặc chỉ xâm nhập nền tảng Telegram, chứ không kiểm soát được thiết bị di động của nạn nhân.

Các bài đăng khoe chiến tích của Handala xuất hiện trên diễn đàn tội phạm mạng BreachForums.

KELA kết luận rằng nhóm tin tặc này nhiều khả năng đã sử dụng các kỹ thuật quen thuộc từng được ghi nhận trước đây, như lừa đảo chiếm mã xác thực một lần (OTP), đánh cắp phiên đăng nhập Telegram Desktop, hoặc khai thác việc nạn nhân không bật mật khẩu đám mây (cloud password), một lớp bảo vệ tùy chọn của Telegram. Trong trường hợp đó, chỉ cần một OTP bị đánh cắp là đủ để truy cập toàn bộ tài khoản.

Ngoài ra, tin tặc có thể lợi dụng dữ liệu sao lưu đám mây hoặc thư mục lưu thông tin xác thực của Telegram Desktop, cho phép tái sử dụng ở thiết bị khác để chiếm quyền kiểm soát tài khoản.

Thủ đoạn tấn công các kênh Telegram của Handala

Theo KELA, Handala thường triển khai các chiến dịch lừa đảo (phishing) tinh vi, giả mạo nhà cung cấp dịch vụ, cơ quan chức năng hoặc cá nhân đáng tin cậy để dụ nạn nhân cài phần mềm độc hại hoặc tiết lộ mã OTP.

Nhóm này cũng lạm dụng kỹ thuật hoán đổi sim (SIM swapping) và các lỗ hổng trong hệ thống tín hiệu cốt lõi mạng viễn thông SS7 để chặn mã xác thực gửi qua SMS, mà không cần tiếp cận vật lý với điện thoại của nạn nhân.

Một số kịch bản khác bao gồm việc sử dụng trang đăng nhập Telegram giả, mã QR lừa đảo hoặc phần mềm độc hại để chiếm quyền phiên làm việc.

Dữ liệu tình báo của KELA cho thấy Handala hoạt động từ cuối năm 2023, duy trì hiện diện trên các diễn đàn ngầm như BreachForums, Ramp và Exploit.

Lấy tên từ một nhân vật truyện tranh Arab, Handala thường gắn các chiến dịch của mình với lợi ích chiến lược của Iran và vấn đề Palestine. Các mục tiêu trước đây chủ yếu là doanh nghiệp Israel và các tổ chức liên quan đến chính phủ, với dữ liệu bị đánh cắp được phát tán qua kênh Telegram và website trên dark web.

Cảnh báo đỏ với người dùng sử dụng nền tảng tin nhắn Telegram

KELA nhận định, dù quy mô vụ việc đã bị Handala thổi phồng, sự cố tháng 12/2025 vẫn cho thấy những rủi ro nghiêm trọng về an toàn tài khoản Telegram, đặc biệt với các cá nhân giữ vị trí nhạy cảm.

Các chuyên gia khuyến nghị người dùng cần kích hoạt đầy đủ xác thực đa yếu tố, quản lý chặt thiết bị đăng nhập, thường xuyên kiểm tra và thu hồi các phiên Telegram đang hoạt động, nhằm giảm nguy cơ bị chiếm quyền tài khoản trong những chiến dịch tấn công có chủ đích.

An Lâm (Theo Cyber Press)