Một cuộc điều tra an ninh mạng gần đây đã tiết lộ những mối liên hệ đáng lo ngại giữa nhóm tin tặc APT39, được cho là có sự hậu thuẫn của chính quyền Iran, và công ty an ninh mạng Amnban. Vụ việc này đã dẫn đến việc rò rỉ hàng gigabyte dữ liệu nhạy cảm và phanh phui hoạt động gián điệp mạng có tổ chức, đe dọa đến an toàn hàng không và bảo mật cá nhân trên toàn cầu.

Công ty Amnban được thành lập vào năm 2018 với sự hậu thuẫn của các cựu sinh viên Đại học Sharif và Đại học Amir Kabir, ban đầu quảng bá là đơn vị chuyên về thử nghiệm xâm nhập và tư vấn bảo mật hợp pháp. Tuy nhiên, dữ liệu bị rò rỉ gần đây đã cho thấy một bức tranh hoàn toàn khác: công ty này bị cáo buộc là vỏ bọc cho nhóm APT39 (còn gọi là Chafer), chuyên thu thập thông tin tình báo mạng cho Bộ Tình báo Iran (MOIS).

Các tài liệu bị đánh cắp cho thấy Amnban không chỉ bị xâm nhập mà còn trực tiếp vận hành các chiến dịch thu thập dữ liệu nhạy cảm như hộ chiếu, địa chỉ, ảnh chân dung và thông tin liên hệ của hàng triệu hành khách hàng không trên toàn thế giới. Những dữ liệu này có thể bị sử dụng để theo dõi, đánh cắp danh tính, thậm chí phục vụ mục đích vi phạm nhân quyền.

Một số nhân vật chủ chốt của công ty Amnban đã bị nêu tên, bao gồm CEO Behnam Amiri, người từng bị tình báo quốc tế cảnh báo, và Ali Kamali, hacker từng bị FBI trừng phạt vì các cuộc tấn công vào cơ sở hạ tầng của Mỹ. Ngoài ra, đặc vụ Hamed Mashayekhi của MOIS cũng được cho là thường xuyên lui tới trụ sở Amnban.

Từ các hãng hàng không đến sàn tiền số: Mục tiêu toàn cầu, Amnban đã tiến hành do thám hàng loạt hãng hàng không như Emirates, Qatar Airways, Turkish Airlines, Etihad, Kenya Airways… cùng các công ty vận chuyển lớn như FedEx, DHL, USPS, và cả các thực thể của Nga.

Dữ liệu cho thấy các chiến dịch có quy mô lớn, có tổ chức và nhắm đến cả đồng minh lẫn đối thủ của Iran. Không dừng lại ở đó, nhóm còn nhắm đến sàn giao dịch tiền số như KuCoin, Binance, CoinSwitch… bằng cách sử dụng kỹ thuật xã hội tinh vi như tạo hồ sơ giả trên LinkedIn để lừa đảo nhân viên, dụ họ cài mã độc, hoặc thu thập thông tin hệ thống qua các liên kết theo dõi.

Hạ tầng hỗ trợ chiến dịch này bao gồm hàng trăm máy chủ ảo và hệ thống gửi email giả mạo được phân bố toàn cầu, cho phép vận hành liên tục các hoạt động lừa đảo, đánh cắp dữ liệu, kiểm soát từ xa, đe dọa nghiêm trọng đến an ninh hàng không và mạng lưới tài chính quốc tế.

Sự cố này là lời cảnh báo mạnh mẽ về rủi ro đến từ các hoạt động gián điệp mạng do nhà nước tài trợ. Các tổ chức hàng không, công nghệ và tài chính cần khẩn cấp đánh giá lại hệ thống bảo mật, trong khi cộng đồng quốc tế cần phối hợp hành động để đối phó với những mối đe dọa có tổ chức như APT39.

Microsoft vừa phát cảnh báo bảo mật khẩn cấp về một chiến dịch tấn công mạng có chủ đích nhắm vào hệ thống SharePoint Server on-premises, bắt đầu từ ngày 7/7/2025. Chiến dịch này được cho là do ba nhóm tin tặc Trung Quốc, gồm Linen Typhoon, Violet Typhoon và Storm-2603, thực hiện. Các cuộc tấn công đã lợi dụng một chuỗi lỗ hổng bảo mật nghiêm trọng, cho phép kẻ tấn công vượt qua xác thực, thực thi mã từ xa và chiếm quyền kiểm soát hệ thống nội bộ.

Đặc biệt, vào ngày 18/7/2025, một trong những nạn nhân bị xâm nhập được xác nhận là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Mặc dù chỉ một số hệ thống bị ảnh hưởng và chưa phát hiện rò rỉ dữ liệu mật, vụ việc này cho thấy quy mô và mức độ tinh vi của làn sóng tấn công. Microsoft đã xác định bốn lỗ hổng được khai thác trong đợt tấn công, bao gồm CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition cài đặt tại chỗ.

Để bảo vệ hệ thống trước làn sóng tấn công này, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng. Ngoài ra, Microsoft cũng khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ, bao gồm kích hoạt AMSI ở chế độ Full Mode, trang bị Microsoft Defender Antivirus, xoay vòng khóa xác thực ASP.NET và khởi động lại dịch vụ IIS. Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng (CISA) đã thêm CVE-2025-53771 vào danh sách cần khắc phục khẩn cấp vào ngày 22/7/2025, với hạn chót thực hiện chỉ sau đó một ngày.

Các chuyên gia an ninh mạng cũng cảnh báo rằng việc kết hợp giữa bypass xác thực và thực thi mã từ xa là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu. Do đó, việc cập nhật bản vá không còn là lựa chọn, đó là hành động sống còn trong bối cảnh kẻ tấn công đã có sẵn đường đi, chỉ chờ thời cơ để bước vào. Các tổ chức và doanh nghiệp cần khẩn trương thực hiện các biện pháp bảo mật cần thiết để bảo vệ hệ thống của mình trước những mối đe dọa này.

Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và gia tăng, việc nâng cao cảnh giác và áp dụng các biện pháp bảo mật mạnh mẽ hơn là rất cần thiết. Các chuyên gia an ninh mạng khuyến cáo người dùng và các tổ chức cần thường xuyên cập nhật phần mềm, hệ điều hành và các ứng dụng để vá các lỗ hổng bảo mật. Đồng thời, tăng cường các biện pháp phòng thủ như sử dụng phần mềm diệt virus, tắt các dịch vụ không cần thiết và triển khai các giải pháp giám sát an ninh mạng.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, với Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Mặc dù hệ thống của NSA bị xâm nhập, nhưng may mắn là không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp.

Các cuộc tấn công này nằm trong chiến dịch có tên ‘ToolShell’, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài. Chiến dịch này đã nhắm vào các tổ chức tại Đức và một số nước châu Âu khác, chủ yếu là các cơ quan chính phủ, công ty trong lĩnh vực công nghiệp quốc phòng, ngân hàng và y tế, những nơi sử dụng SharePoint làm công cụ quản lý tài liệu.

Sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Một trong những phương thức tấn công phổ biến hiện nay là sử dụng email lừa đảo với nội dung tự nhiên giống như thật. Điều này đòi hỏi người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng.

Các chuyên gia bảo mật khuyến cáo rằng việc cập nhật phần mềm thường xuyên và áp dụng các biện pháp bảo mật như xác thực đa yếu tố (MFA) là rất quan trọng. Ngoài ra, người dùng cũng cần được đào tạo để nhận biết các dấu hiệu của email lừa đảo và các cuộc tấn công mạng khác. Bằng cách nâng cao nhận thức và áp dụng các biện pháp bảo mật cần thiết, các tổ chức và cá nhân có thể giảm thiểu rủi ro bị tấn công mạng.

Trong bối cảnh các cuộc tấn công mạng ngày càng trở nên tinh vi, các công ty và tổ chức cần ưu tiên đầu tư vào các giải pháp bảo mật thông tin. Điều này không chỉ giúp bảo vệ dữ liệu và hệ thống của họ mà còn góp phần xây dựng một môi trường an toàn hơn cho cộng đồng.