Hacker thân Ukraine dùng AI nhắm vào quốc phòng Nga

Công ty an ninh mạng Intezer (Mỹ) ghi nhận một chiến dịch tấn công mạng nhắm vào các công ty Nga hoạt động trong lĩnh vực phòng không, điện tử nhạy cảm và các ứng dụng quốc phòng khác, sử dụng tài liệu giả mạo do AI tạo ra. Chiến dịch được cho là do nhóm hacker thân Ukraine có tên Paper Werewolf (còn gọi là GOFFEE) thực hiện.

Theo Intezer, vụ việc cho thấy các công cụ trí tuệ nhân tạo dễ tiếp cận có thể bị khai thác để phục vụ những hoạt động có rủi ro cao, đồng thời cung cấp cái nhìn hiếm hoi về các chiến dịch tấn công mạng nhắm vào những thực thể liên quan đến ngành quốc phòng Nga trong bối cảnh xung đột Nga - Ukraine.

Tổng quan chiến dịch Paper Werewolf nhắm vào quốc phòng Nga

Nhà nghiên cứu an ninh cấp cao Nicole Fishbein của Intezer cho biết chiến dịch tấn công mạng vào một số công ty quốc phòng Nga nhiều khả năng do Paper Werewolf thực hiện. Nhóm này được cho là hoạt động từ năm 2022, có xu hướng thân Ukraine và tập trung gần như toàn bộ nỗ lực vào các mục tiêu tại Nga.

Thông tin về chiến dịch xuất hiện trong bối cảnh các cuộc đàm phán đang diễn ra về khả năng chấm dứt cuộc chiến giữa Nga và Ukraine. Nga đe dọa sẽ chiếm thêm lãnh thổ bằng vũ lực nếu Ukraine và các đồng minh châu Âu không tham gia vào các đề xuất hòa bình của Mỹ. Đại sứ quán Nga và Ukraine tại Washington không trả lời khi được đề nghị bình luận.

Nicole Fishbein là tác giả chính của bài phân tích do Intezer thực hiện. Bà nhấn mạnh đây là một trong số ít trường hợp có thể nghiên cứu tương đối chi tiết một chiến dịch tấn công mạng hướng vào các thực thể Nga trong lĩnh vực quốc phòng.

Cách khai thác AI trong chiến dịch tấn công

Tài liệu giả mạo do AI tạo ra

Theo Intezer, Paper Werewolf sử dụng các tài liệu được tạo ra bằng AI làm mồi nhử. Các tài liệu này được soạn thảo bằng tiếng Nga, định dạng như thư mời hoặc công văn chính thức, nhằm tăng độ tin cậy với người nhận.

Trong một trường hợp, tài liệu giả mạo mời các sĩ quan cấp cao Nga tham dự một buổi hòa nhạc. Ở trường hợp khác, tài liệu được trình bày như văn bản gửi từ Bộ Công thương Nga, yêu cầu giải trình giá theo các quy định của chính phủ về định giá.

Nicole Fishbein cho rằng điểm đáng chú ý là việc nhóm này sử dụng các tài liệu giả mạo do AI tạo ra cho thấy các công cụ AI dễ tiếp cận có thể bị lạm dụng cho mục đích xấu. Theo bà, các công nghệ mới nổi có thể hạ thấp rào cản cho những cuộc tấn công tinh vi, và vấn đề cốt lõi nằm ở sự lạm dụng công nghệ chứ không phải bản thân công nghệ.

Khả năng theo dõi và phân tích hạn chế

Fishbein nhận định chiến dịch này nổi bật không phải vì các cuộc tấn công vào thực thể Nga là hiếm, mà bởi khả năng theo dõi chúng bị hạn chế. Việc Intezer có thể quan sát và phân tích chiến dịch cho phép cộng đồng an ninh mạng hiểu rõ hơn cách các nhóm thân Ukraine vận dụng AI trong tấn công mạng thời chiến.

Mục tiêu tấn công và ý nghĩa với ngành quốc phòng Nga

Theo nhà nghiên cứu chính sách an ninh mạng Oleg Shakirov (Nga), các mục tiêu của chiến dịch đều là những nhà thầu quốc phòng lớn. Điều này cho thấy sự quan tâm rộng rãi của các hacker đối với ngành công nghiệp quân sự Nga.

Oleg Shakirov cho rằng việc tiếp cận các nhà thầu quốc phòng có thể mang lại cái nhìn sâu về sản xuất nhiều loại trang bị, "từ ống ngắm đến hệ thống phòng không", cũng như chuỗi cung ứng quốc phòng và quy trình nghiên cứu, phát triển. Các thông tin dạng này có giá trị lớn về mặt quân sự, đặc biệt trong bối cảnh xung đột kéo dài.

Ông đánh giá không có gì bất thường khi các hacker thân Ukraine cố gắng do thám các công ty quốc phòng Nga trong thời chiến. Theo ông, Paper Werewolf có thể đã mở rộng mục tiêu vượt ra ngoài những lĩnh vực truyền thống như cơ quan chính phủ, năng lượng, tài chính và viễn thông sang các khu vực khác của nền công nghiệp.

Tranh luận về nguồn gốc và liên kết của Paper Werewolf

Intezer quy kết chiến dịch tấn công mạng này cho Paper Werewolf dựa trên cơ sở hạ tầng hỗ trợ chiến dịch. Tuy nhiên, từ các lỗ hổng phần mềm cụ thể bị khai thác và cách thức tạo ra tài liệu mồi nhử, vẫn chưa rõ liệu Paper Werewolf có đang hợp tác với một quốc gia cụ thể hoặc với các nhóm hacker khác hay không.

Một số ý kiến khác cho rằng Paper Werewolf có liên hệ với những chiến dịch tấn công mạng của các nhóm hacker thân Ukraine đã được biết đến trước đó. Báo cáo công bố tháng 9.2025 của công ty an ninh mạng Kaspersky (Nga) nhận định Paper Werewolf có nhiều điểm tương đồng và khả năng liên quan đến Cloud Atlas – nhóm hacker thân Ukraine hoạt động hơn 10 năm.

Theo hãng an ninh mạng Check Point (Israel), Cloud Atlas nổi tiếng với việc nhắm mục tiêu vào các tổ chức ủng hộ Nga tại Đông Âu và Trung Á. Các đánh giá này cho thấy Paper Werewolf có thể nằm trong hệ sinh thái rộng hơn của các nhóm hacker thân Ukraine, song mức độ liên kết cụ thể chưa được làm rõ.

Vai trò của Intezer và công nghệ AI trong phòng thủ mạng

Intezer là hãng an ninh mạng chuyên về công nghệ bảo mật tự động, sử dụng AI để hỗ trợ các tổ chức phát hiện và phản ứng với mối đe dọa mạng. Công ty được thành lập năm 2015, có trụ sở tại thành phố New York (Mỹ) và văn phòng tại Israel, phục vụ nhiều doanh nghiệp lớn, trong đó có các tập đoàn nằm trong danh sách Fortune 500.

Fortune 500 là top 500 doanh nghiệp có doanh thu cao nhất nước Mỹ, bao gồm các tập đoàn trong lĩnh vực công nghệ, năng lượng, bán lẻ, tài chính, ô tô… Intezer hướng tới mục tiêu giải quyết tình trạng thiếu nhân sự trong an ninh mạng bằng cách xây dựng các hệ thống tự động giúp đội ngũ bảo mật phát hiện và phân tích cảnh báo nhanh hơn, tự động xử lý các mối đe dọa nhỏ và chỉ chuyển các trường hợp quan trọng cho con người can thiệp.

Theo Intezer, mô hình này giúp đội bảo mật tập trung vào những nguy cơ thực sự nghiêm trọng thay vì bị quá tải bởi hàng ngàn cảnh báo mỗi ngày. Trong bối cảnh các nhóm hacker có thể dễ dàng tận dụng công cụ AI để tăng quy mô và mức độ tinh vi của tấn công, việc áp dụng AI trong phòng thủ được xem là hướng đi nhằm cân bằng tương quan trên không gian mạng.