Theo báo cáo mới đây của Kaspersky, hãng bảo mật này đã phát hiện trung bình 500.000 tệp độc hại mỗi ngày trong năm 2025, tăng 7% so với năm trước. Đáng chú ý, số vụ phát hiện đánh cắp mật khẩu tăng 59%, phần mềm gián điệp tăng 51% và liên quan đến backdoor tăng 6% so với năm 2024. 

Theo báo cáo của Kaspersky, hãng bảo mật này phát hiện các hoạt động độc hại mới của tin tặc Tomiris kể từ đầu năm 2025. Các cuộc tấn công này nhắm vào các bộ ngoại giao, tổ chức liên chính phủ và các cơ quan chính phủ, cho thấy sự tập trung vào cơ sở hạ tầng chính trị và ngoại giao có giá trị cao. Trong một số trường hợp, các nhà nghiên cứu theo dõi hành động của tác nhân đe dọa từ giai đoạn lây nhiễm ban đầu đến giai đoạn triển khai các framework sau khi khai thác. Những cuộc tấn công này cho thấy sự thay đổi đáng chú ý trong chiến thuật của Tomiris. Để làm sáng tỏ hơn, bài viết sẽ cùng tìm hiểu khám phá cách thức hoạt động của nhóm tin tặc APT này, dựa trên phân tích của Kaspersky.

Trở lại năm 2024, hãng bảo mật Kaspersky đã từng báo cáo về một chiến dịch gián điệp mạng phức tạp có tên gọi “PassiveNeuron”. Chiến dịch này liên quan đến việc xâm nhập máy chủ của các tổ chức chính phủ bằng các mã độc APT Neursite và NeuralExecutor. Tuy nhiên, kể từ khi bị phát hiện, chiến dịch này vẫn còn là một ẩn số. Ví dụ, vẫn chưa rõ các mã độc này được triển khai như thế nào hoặc ai là tác nhân đứng sau chúng. Tuy nhiên, kể từ tháng 12/2024 và mới đây nhất vào tháng 8/2025, các nhà nghiên cứu phát hiện các đợt lây nhiễm mới của PassiveNeuron nhắm vào các tổ chức chính phủ, tài chính và công nghiệp tại châu Á, châu Phi và châu Mỹ. Dựa trên báo cáo của Kaspersky, bài viết sẽ cùng phân tích và sáng tỏ nhiều khía cạnh trước đây chưa được biết đến của chiến dịch này.

Ngày 22/10, báo cáo của công ty an ninh mạng Group-IB cho biết, nhóm tin tặc Iran do nhà nước tài trợ MuddyWater đã nhắm mục tiêu vào hơn 100 cơ quan chính phủ trong các cuộc tấn công triển khai phiên bản thứ 4 của backdoor Phoenix.

Một chiến dịch độc hại tinh vi với tên gọi “OneClik” đã lợi dụng công cụ triển khai phần mềm ClickOnce của Microsoft và backdoor Golang tùy chỉnh, nhằm xâm phạm các tổ chức trong lĩnh vực năng lượng, dầu mỏ và khí đốt.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch tấn công mạng mới nhắm vào các trang web WordPress, bằng cách ngụy trang phần mềm độc hại thành một plugin bảo mật.

Tin tặc đã sửa đổi mã nguồn của ít nhất 05 plugin được lưu trữ trên WordPress.org để thêm vào các tập lệnh PHP độc hại, nhằm tạo tài khoản mới với đặc quyền quản trị trên các trang web sử dụng chúng.

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Các tổ chức, doanh nghiệp tại Việt Nam hiện đang là mục tiêu của chiến dịch tấn công mạng đang diễn ra nhằm triển khai backdoor mới có tên là “SpectralViper” dựa trên lỗ hổng SMB. Chiến dịch này được các nhà nghiên cứu tại Công ty an ninh mạng Elastic Security Labs (Singapore) phát hiện và theo dõi từ vài tháng trước.

Khi cuộc điều tra về cuộc tấn công chuỗi cung ứng SolarWinds vẫn đang được tiếp tục, các nhà nghiên cứu an ninh mạng đã tiết lộ một phần mềm độc hại thứ ba được sử dụng để đưa cửa hậu vào nền tảng giám sát mạng Orion.