AI Thúc Đẩy Tội Phạm Mạng "Công Nghiệp Hóa", Thời Gian Khai Thác Lỗ Hổng Rút Xuống Chỉ Vài Giờ

Tội phạm mạng hiện nay đang thực hiện các cuộc tấn công với quy mô, tốc độ và tỷ lệ thành công lớn hơn bao giờ hết. Để đối phó với tình trạng này, các chuyên gia bảo mật cần trang bị vũ khí tương tự: trí tuệ nhân tạo (AI) và tự động hóa.

Chia sẻ thông tin tình báo đe dọa

Sự công nghiệp hóa của tội phạm mạng thực chất đã bắt đầu từ những năm 1990. Khi hoạt động phạm tội bắt đầu bắt chước các phương tiện, phương pháp và động cơ của các ngành công nghiệp khác, nó đã thực sự trở thành một "mô hình kinh doanh". Hiệu quả kinh doanh đòi hỏi một tổ chức hiệu quả và lợi nhuận cao hơn với nỗ lực ít hơn; và tội phạm mạng ngày nay đạt được điều này thông qua AI, tự động hóa và chia sẻ dữ liệu hiệu quả.

FortiGuard đã phân tích bối cảnh mối đe dọa hiện tại nhắm vào tội phạm mạng bằng dữ liệu遥测 từ hàng triệu cảm biến được triển khai trên toàn cầu kể từ năm 2002. Phân tích này bao gồm dữ liệu được thu thập trong năm 2025 (hoặc cửa sổ 12 tháng gần nhất có sẵn theo từng bộ dữ liệu) trên nhiều lĩnh vực bảo mật và vectơ xâm phạm khác nhau.

AI tăng tốc quá trình tấn công

Derek Manky, Chiến lược gia An ninh Chính tại FortiGuard Labs, nhận xét: "Báo cáo Bối cảnh Mối đe dọa Toàn cầu mới nhất của chúng tôi tiết lộ cách các tác nhân độc hại bắt đầu tận dụng AI tác nhân (agentic AI) để thực hiện các cuộc tấn công tinh vi hơn".

Hiện nay, tội phạm mạng có quyền truy cập vào nhiều công cụ độc hại được hỗ trợ bởi AI, chẳng hạn như WormGPT, FraudGPT, HexStrike AI, APEX AI và BruteForceAI. Các công cụ này đóng vai trò là nhân tố khuếch đại lực lượng, giúp giảm thiểu yêu cầu về kỹ năng và thời gian, cho phép kẻ tấn công hoạt động với tốc độ của máy móc.

FraudGPT và WormGPT được sử dụng để tạo ra các cuộc tấn công lừa đảo (phishing) thuyết phục. Không bị ràng buộc bởi các giới hạn an toàn, các công cụ này cho phép kẻ tấn công tinh chỉnh các trò lừa đảo, tạo mã độc và thực hiện kỹ thuật xã hội trên quy mô lớn.

HexStrike AI hỗ trợ "trinh sát tự động, tạo đường dẫn tấn công và tạo nội dung độc hại". APEX AI cung cấp mô phỏng tấn công kiểu APT — bao gồm trinh sát nguồn mở (OSINT) tự động, chuỗi tấn công và tạo chuỗi giết (kill-chain) để mô hình hóa các đường dẫn xâm nhập từ đầu đến cuối cho đến khi triển khai tải trọng (payload).

BruteForceAI là một công cụ kiểm thử xâm nhập (pentesting) xác định các bộ chọn biểu mẫu đăng nhập và thực hiện các cuộc tấn công đa luồng với các mô hình hành vi giống con người.

Việc sử dụng các công cụ độc hại này không tạo ra rủi ro mới, nhưng chúng làm giảm thời gian cần thiết để kích hoạt các rủi ro hiện có — góp phần thêm vào sự sụp đổ liên tục của bảo mật dự đoán.

Tự động hóa tìm kiếm lỗ hổng

Việc tìm kiếm các lỗ hổng để nhắm mục tiêu được tự động hóa thông qua quét toàn cầu bằng các công cụ thương mại tiêu chuẩn: Qualys để định vị phiên bản phần mềm dễ bị tổn thương và cấu hình sai; Nmap để quét cổng và nhận dạng dịch vụ; cũng như Nessus và OpenVAS để làm giàu dữ liệu về lỗ hổng.

Chia sẻ dữ liệu tinh chỉnh "kinh doanh" tội phạm

Trong nhiều trường hợp, quyền truy cập vào mục tiêu đã có sẵn trên các thị trường chợ đen. "Cơ sở dữ liệu, thông tin xác thực, đường dẫn truy cập đã được xác thực và công cụ tấn công liên tục được quảng cáo và trao đổi, tạo thành một chuỗi cung ứng thượng nguồn cung cấp cho hoạt động xâm nhập hạ nguồn," báo cáo của FortiGuard cho biết.

Dữ liệu này chủ yếu thu được thông qua các phần mềm đánh cắp thông tin (infostealers) như RedLine (phổ biến nhất), Lumma và Vidar. Các nhà môi giới quyền truy cập sau đó bán quyền truy cập đã được xác thực vào doanh nghiệp. Các loại quyền truy cập được quảng cáo thường xuyên nhất là VPN doanh nghiệp và RDP.

Bảo mật mạng

Hoạt động kinh doanh tội phạm mạng được nâng cao hơn nữa nhờ các cuộc thảo luận rộng rãi giữa các nhân vật kinh doanh. FortiGuard báo cáo rằng có 656 lỗ hổng đã được thảo luận tích cực trên darknet vào năm 2025. Trong số này, 344 (52,44%) có mã khai thác khái niệm (PoC) công khai, 176 (26,83%) có mã khai thác hoạt động và 149 (22,71%) có cả PoC và mã khai thác hoạt động.

"CVE trở nên 'công nghiệp' khi chúng được đóng gói đầy đủ với các tập lệnh, mô-đun, hướng dẫn, mã bằng chứng và sổ tay vận hành, để việc khai thác có thể chạy như một vòng lặp có thể lặp lại thay vì một cuộc xâm nhập thủ công," báo cáo cảnh báo.

Tác động của sự công nghiệp hóa tội phạm mạng

Một tác động chính của mô hình kinh doanh tội phạm mạng mới này là sự sụp đổ của "thời gian khai thác" (time-to-exploit).

"Không lâu trước đây, thời gian khai thác trung bình gần một tuần. Khoảng thời gian đó hiện đã sụp xuống còn 24 đến 48 giờ đối với hầu hết các lỗ hổng nghiêm trọng, và trong một số trường hợp, việc khai thác bắt đầu chỉ trong vài giờ sau khi công bố công khai," Douglas Santos, giám đốc tình báo đe dọa nâng cao tại FortiGuard nhận định. "Quỹ đạo rất rõ ràng: khi AI tăng tốc trinh sát, vũ khí hóa và thực thi, chỉ là vấn đề thời gian trước khi 'vài giờ hoặc thậm chí vài phút, không phải vài ngày' trở thành tiêu chuẩn trên toàn diện. Thực tế là, chúng ta không đang tiến gần đến điểm đó, chúng ta đã thấy những dấu hiệu sớm của nó."

Ransomware vẫn là loại tấn công đáng sợ nhất và dễ kiếm tiền nhất cho tội phạm. Báo cáo ghi nhận trên toàn cầu có 7.831 nạn nhân được xác nhận vào năm 2025. Ba nhóm ransomware hoạt động tích cực nhất là Qilin, Akira và Safepay, và các khu vực địa lý bị nhắm mục tiêu nhiều nhất là Mỹ (3.381 nạn nhân), Canada và Châu Âu.

"Bề mặt tấn công toàn cầu đã được ánh xạ, liên tục làm mới và duy trì trong trạng thái sẵn sàng vận hành," FortiGuard khẳng định.

Phòng thủ trước tội phạm mạng công nghiệp hóa

Hiệu quả kinh doanh trong lĩnh vực tội phạm mạng đã làm tăng tốc độ, quy mô và tỷ lệ thành công của các cuộc tấn công. Phòng thủ cũng phải mở rộng quy mô tương tự — đặc biệt là về tốc độ phát hiện và phản hồi. Tốc độ của AI và tự động hóa đối phương chỉ có thể được đối phó bằng cách sử dụng AI và tự động hóa phòng thủ.

FortiGuard đặc biệt khuyến nghị ưu tiên phát hiện dựa trên danh tính, giảm thiểu rủi ro lộ và tự động hóa để phù hợp với hoạt động tốc độ máy móc của kẻ tấn công.

Đồng thời, công ty cho biết họ sẽ tiếp tục đóng vai trò của mình trong cuộc chiến chống tội phạm mạng công nghiệp. Trong năm qua, họ đã tham gia vào một số nỗ lực phá vỡ tội phạm mạng quốc tế, bao gồm: "INTERPOL Serengeti 2.0 và Operation Red Card 2.0, sáng kiến Cybercrime Atlas với Diễn đàn Kinh tế Thế giới, làm việc với các đồng nghiệp an ninh mạng qua Cyber Threat Alliance (CTA), và một chương trình Cybercrime Bounty mới được ra mắt hợp tác với Crime Stoppers International."