Ảnh minh họa. South China Morning Post

Theo các nhà phân tích của công ty an ninh mạng DomainTools, có trụ sở ở Seattle, Mỹ, chiến dịch cho thấy sự kết hợp hiếm gặp giữa quy mô, khả năng thích ứng và mức độ bền bỉ, vượt xa nhiều chiến dịch phân phối mã độc kéo dài khác.

Hạ tầng web độc gia tăng nhanh chóng, 1.900 tên miền chỉ trong nửa năm

Đến cuối năm 2025, “siêu mạng” này mở rộng tới gần 5.000 tên miền phân phối mã độc, tăng mạnh so với con số 2.800 công bố hồi tháng 7.

Chỉ trong giai đoạn tháng 5 – tháng 11/2025, nhóm tội phạm mạng đã tạo mới 1.900 tên miền. Trước đó, toàn bộ hệ thống chủ yếu dựa vào hạ tầng Alibaba Cloud Hong Kong và đăng ký qua một nhà đăng ký duy nhất là WebNIC. Tuy nhiên gần đây, tội phạm mạng đã mở rộng sang 8 nhà đăng ký tại 5 quốc gia, bao gồm cả doanh nghiệp trong nước như Công ty TNHH Công nghệ Mạng Yuqu, Tứ Xuyên.

Sự dịch chuyển này đi kèm việc phân mảnh hạ tầng, mô hình đặt tên ngẫu nhiên hơn, rút ngắn vòng đời tên miền, các dấu hiệu cho thấy nhóm vận hành đang củng cố ẩn danh và tăng cường sự an toàn cho hoạt động (OPSEC).

Khoảng 70% website sử dụng tên miền .cn hoặc .com.cn, củng cố nhận định về một hạ tầng tập trung nhằm vào người dùng Trung Quốc.

Mạo danh phần mềm phổ biến để phát tán trojan và trình đánh cắp dữ liệu

Phần lớn tên miền được thiết kế giả mạo trang tải phần mềm hợp pháp, từ đó lừa người dùng cài đặt trojan hoặc mã độc đánh cắp thông tin đăng nhập. Các ứng dụng bị giả mạo phổ biến gồm WhatsApp, Signal, Chrome, WPS Office, cùng loạt mục tiêu mới như công cụ VPN Kuailian hay sản phẩm năng suất của Google và Youdao.

Phân tích nhị phân các file thực thi cho thấy nhóm tấn công sử dụng 47 tệp thực thi độc hại khác nhau, thường được nén bằng công cụ VMProtect hoặc UPX để né tránh nhận diện. Nhiều tệp có kích thước lên tới 100–250 MB, gây khó khăn cho việc kiểm tra bằng các dịch vụ quét virus miễn phí.

Dù hạ tầng thay đổi liên tục, các nhà nghiên cứu vẫn tìm ra những điểm lặp lại như email SOA hoặc mã theo dõi trùng nhau cho thấy có sự liên kết giữa các cụm tên miền tưởng chừng độc lập.

Công nghệ AI giúp nhanh chóng xác định tên miền độc hại

Để xử lý chiến dịch quy mô lớn này, DomainTools đã thử nghiệm một khung AI tác vụ (agentic AI) mới nhằm tự động hóa phân tích website phát tán mã độc. Hệ thống vận hành qua một lớp “điều phối”, phối hợp các tác nhân chuyên biệt như ScannerAgent, CodeAnalyzerAgent, BinaryAnalyzerAgent, và thậm chí tự sinh luật YARA.

Kết quả cho thấy năng lực phân tích tăng gấp 10 lần, trong một khung thời gian,  nếu một chuyên gia chỉ xử lý thủ công được 200–400 website, AI có thể xử lý hơn 1.900 trang phát tán mã độc với độ ổn định cao.

Mỗi tên miền chỉ mất 1–10 phút để phân tích tùy mức độ phức tạp và kích thước tập tin chứa mã độc. Dù tiêu tốn tài nguyên tính toán, phương pháp này đánh dấu bước ngoặt: tự động hóa thông minh đã bắt kịp tốc độ và quy mô của những chiến dịch tấn công hiện đại.

Các chuyên gia DomainTools nhận định, đây là một mô hình cụ thể về tương lai an ninh mạng với sự hỗ trợ của AI, nơi con người và hệ thống tự động phối hợp để đối phó với các chiến dịch tấn công mạng ngày càng gia tăng về số lượng và quy mô.

An Lâm (Theo Cyber Press)