ĐCSTQ sở hữu 210 tổ chức hacker, Đài Loan là mục tiêu tấn công trọng điểm

Lập Minh
•
Thứ Sáu, 06/02/2026

Tờ Chosun Biz trực thuộc “Nhật báo Triều Tiên” (Chosun Ilbo) đưa tin, trong số các tổ chức hacker do nhà nước hậu thuẫn trên toàn cầu, số nhóm có trụ sở tại Trung Quốc được phát hiện là nhiều nhất. Do số lượng nhóm hacker thuộc Đảng Cộng sản Trung Quốc (ĐCSTQ) áp đảo, nên mối đe dọa mạng từ phía Trung Quốc đang dần trở thành vấn đề dài hạn và mang tính cấu trúc, chứ không phải hiện tượng nhất thời. Các thủ đoạn tấn công này cũng ngày càng tiến hóa, không còn chỉ giới hạn ở việc đánh cắp dữ liệu, mà chuyển sang thâm nhập dài hạn vào các mạng lưới trọng yếu của quốc gia, buộc các nước phải nâng cao cảnh giác.

Ảnh minh họa. (Nguồn: Sergey Nivens / Shutterstock)

Hoạt động hacker của ĐCSTQ từ “mở rộng về lượng” chuyển thành “đe dọa mang tính chiến lược”

Bộ phận Vedere Labs thuộc công ty an ninh mạng Forescout mới đây công bố báo cáo “Tổng quan mối đe dọa năm 2025” (2025 Threat Roundup) cho biết, tính đến năm ngoái, ĐCSTQ sở hữu số lượng tổ chức hacker được nhà nước hậu thuẫn nhiều nhất thế giới, tổng cộng 210 nhóm, gấp khoảng hai lần Nga với 112 nhóm và gấp bốn lần Iran với 55 nhóm. Trung Quốc, Nga và Iran cộng lại chiếm 45% tổng số tổ chức đe dọa có hậu thuẫn nhà nước trên toàn cầu, trong đó Trung Quốc đứng đầu.

Những con số này không phải là số lần tấn công, mà là số lượng “tổ chức tác nhân độc lập” mà Forescout theo dõi. Báo cáo nêu rõ, trong năm 2025, các tổ chức này đã tấn công mục tiêu ở 178 quốc gia trên toàn thế giới, trong đó chính phủ, ngành tài chính và viễn thông trở thành mục tiêu chính. Cho dù xét về số lượng tổ chức hay phạm vi hoạt động, năng lực tác chiến trên không gian mạng của ĐCSTQ đều thể hiện sự mở rộng mang tính cấu trúc.

Cường độ tấn công mạng từ phía Trung Quốc thể hiện đặc biệt rõ rệt tại Đài Loan. Báo cáo “Phân tích mối đe dọa tấn công mạng của ĐCSTQ đối với cơ sở hạ tầng trọng yếu của nước ta năm 2025” do Cục An ninh Quốc gia Đài Loan công bố hồi tháng Một năm nay cho thấy, tính đến năm 2025, các cuộc tấn công mạng nhắm vào cơ sở hạ tầng Chính phủ Đài Loan trung bình đạt 2,63 triệu lượt mỗi ngày. Con số này tăng 113% so với năm 2023 – thời điểm bắt đầu thống kê – và cũng tăng 6% so với năm 2024.

Cục An ninh Quốc gia Đài Loan cho biết, các nhóm hacker của ĐCSTQ kết hợp khai thác lỗ hổng phần mềm, phần cứng, tấn công DDoS (từ chối dịch vụ phân tán), kỹ thuật xã hội và tấn công chuỗi cung ứng, nhắm thẳng vào Chính phủ Đài Loan và các hạ tầng trọng yếu. Đặc biệt là từ nửa cuối năm 2025, mô thức tấn công đã chuyển từ việc đơn thuần đánh cắp dữ liệu sang nhắm vào các cơ sở hạ tầng trọng yếu như năng lượng, bệnh viện, tài chính. Do cường độ tấn công thường tăng vọt trùng với thời điểm căng thẳng chính trị và quân sự leo thang, các nhà phân tích cho rằng tấn công mạng trên thực tế đã trở thành một công cụ gây áp lực.

Kết hợp tàng hình và trí tuệ nhân tạo, tấn công lan rộng – Hàn Quốc cũng là mục tiêu

Ngành an ninh mạng chỉ ra, rủi ro xâm nhập từ phía ĐCSTQ nằm ở “sự tiến hóa về chất”. Các nhóm hacker có liên quan tới ĐCSTQ đang tăng cường chiến lược gọi là “bố trí sẵn (pre-positioning)”, từ bỏ việc phá hoại hoặc trục lợi tài chính ngắn hạn, chuyển sang ẩn mình trong các hệ thống lõi như điện lực, viễn thông, để có thể kích hoạt ngay khi xảy ra xung đột hoặc khủng hoảng trong tương lai; mấu chốt là duy trì quyền truy cập lâu dài và ẩn náu ở mức độ khó bị phát hiện.

Các cuộc tấn công tự động hóa bằng AI cũng đang nhanh chóng kết hợp với chiến lược này. Vedere Labs cho biết, AI hiện đã đảm nhiệm một tỷ lệ đáng kể trong các khâu trinh sát, quét lỗ hổng và rò rỉ dữ liệu, qua đó mở rộng mạnh về tốc độ và quy mô tấn công. Kẻ tấn công đồng thời kết hợp kỹ thuật “sử dụng chính công cụ sẵn có (living off the land)” và các đợt tấn công chuỗi cung ứng thông qua phần mềm phổ biến, khiến việc phát hiện và ứng phó càng thêm khó khăn.

Loại hình tấn công tàng hình dài hạn này đã gây ra thiệt hại thực tế tại Hàn Quốc. Nền tảng quản lý quy trình công việc của chính phủ – “hệ thống Onnara” mà công chức Hàn Quốc sử dụng – về sau được phát hiện đã bị xâm nhập từ tháng 9/2022 đến tháng 7/2025, tức là gần ba năm mà không bị nhận ra. Theo điều tra của Cơ quan Tình báo Quốc gia Hàn Quốc (NIS), kẻ tấn công đã đánh cắp chứng thư GPKI (hạ tầng khóa công khai của chính phủ) và mật khẩu của công chức, rồi giả mạo thành người dùng hợp pháp để truy cập vào mạng hành chính của chính phủ.

Mặc dù quốc gia đứng sau vụ tấn công chưa được xác định cuối cùng, nhưng việc phát hiện dấu vết dịch thuật từ tiếng Hàn sang tiếng Hoa, cùng với các dấu hiệu tìm cách xâm nhập Đài Loan, đã làm tăng khả năng có liên quan đến ĐCSTQ. Trong một vụ việc khác năm 2023, một nhóm hacker bị cho là có liên quan tới ĐCSTQ đã xâm nhập trái phép vào mạng liên lạc vệ tinh quốc gia và tìm cách thâm nhập sâu hơn vào mạng hành chính chính phủ, rất may đã được kịp thời phát hiện.

Cơ quan Tình báo Quốc gia trước đó từng công bố phân tích nội bộ cho thấy, tuy trong giai đoạn 2022–2024, số vụ tấn công mạng do nhà nước hậu thuẫn nhắm vào Hàn Quốc mà tính theo số vụ thì Triều Tiên chiếm tỷ lệ cao nhất, nhưng nếu phân loại lại theo mức độ nghiêm trọng của phương thức tấn công, thì các mối đe dọa đến từ ĐCSTQ chiếm hơn 20%.

Giáo sư Park Chun-sik thuộc khoa An ninh Mạng của Đại học Ajou Hàn Quốc nhận định: “Các cuộc tấn công mạng giữa các quốc gia đã trở thành một công cụ trọng yếu của chiến tranh hiện đại, nhưng do các yếu tố ngoại giao, đa số quốc gia sẽ không công khai năng lực tấn công của mình, mà đồng thời tiến hành cả tấn công lẫn phòng thủ.”

Ông nói: “Khác với vũ khí hạt nhân, gần như không tồn tại hiệp ước quốc tế hay cơ chế có tính ràng buộc nào để hạn chế tấn công mạng… Trong cấu trúc như vậy, các quốc gia không còn lựa chọn nào khác ngoài việc xây dựng năng lực mạng vừa bao trùm phòng thủ vừa bao trùm tấn công; Hàn Quốc phải, trong lúc nâng cao năng lực phòng vệ khu vực tư nhân, đồng thời tích lũy một cách có hệ thống năng lực tác chiến mạng ở cấp độ quốc gia.”