Google: Tin tặc Trung Quốc và Nga đang nhắm mục tiêu vào các công ty quốc phòng Mỹ

Trong một số trường hợp, chính phần mềm AI của Google là Gemini đã bị sử dụng trong các nỗ lực tấn công mạng, công ty này cho biết.

Một bản phân tích được Google công bố vào tháng này cho thấy nền tảng công nghiệp quốc phòng Hoa Kỳ — một mạng lưới các thực thể công và tư được sử dụng để phát triển hoặc bảo trì các hệ thống vũ khí quân sự — đã phải hứng chịu các cuộc tấn công mạng từ các nhóm và tổ chức tội phạm đến từ Trung Quốc, Nga và Bắc Triều Tiên trong những tháng gần đây.

Bản báo cáo được công bố vào ngày 10/2 bởi Bộ phận Tình báo Đe dọa của Google cho thấy chính quyền Trung Quốc và các nhóm liên quan tiếp tục “đại diện cho mối đe dọa hoạt động mạnh mẽ nhất về mặt số lượng đối với các thực thể trong nền tảng công nghiệp quốc phòng”. Google nhận định điều này có thể gây ra “rủi ro đáng kể cho lĩnh vực quốc phòng và hàng không vũ trụ”.

Báo cáo của Google cho biết thêm rằng họ “đã quan sát thấy nhiều nhiệm vụ gián điệp mạng liên quan đến Trung Quốc trực tiếp nhắm vào ngành công nghiệp quốc phòng và hàng không vũ trụ hơn bất kỳ tác nhân nào khác do nhà nước bảo trợ trong hai năm qua”, vì các nhóm này đã “sử dụng một loạt các chiến thuật đa dạng trong hoạt động”.

“Nhưng đặc điểm nổi bật của nhiều hoạt động là việc họ khai thác các thiết bị biên để giành quyền ban đầu,” báo cáo cho biết, đề cập đến các thành phần phần cứng được đặt ở rìa của một mạng lưới.

“Chúng tôi cũng quan sát thấy các nhóm đe dọa liên quan đến Trung Quốc lợi dụng các mạng ORB để trinh sát các mục tiêu công nghiệp quốc phòng, điều này làm phức tạp hóa việc phát hiện và truy vết nguồn gốc.”

Cuối năm 2025, các quan chức Canada và Hoa Kỳ đã cảnh báo rằng các nhóm tin tặc được chính phủ Trung Quốc hậu thuẫn đã nhắm mục tiêu vào các thực thể chính phủ và công ty tư nhân của Mỹ, giành được quyền truy cập dài hạn vào hệ thống của họ.

Vào tháng 7/2025, Microsoft cũng đưa ra cảnh báo về việc quan sát thấy 2 nhóm tin tặc có trụ sở tại Trung Quốc là Linen Typhoon và Violet Typhoon sử dụng các lỗ hổng trong SharePoint, phần mềm cộng tác của Microsoft.

Đối với Nga, Google cho biết trong báo cáo của mình rằng các nhóm liên quan đến Moskva đã tập trung vào các công ty quốc phòng hỗ trợ các công nghệ được sử dụng trong cuộc chiến Nga-Ukraine, cụ thể là các công ty liên quan đến máy bay không người lái.

‘Gã khổng lồ’ công nghệ này tuyên bố: “Khi các khả năng thế hệ mới đang được đưa vào vận hành trong môi trường này, các tác nhân đe dọa và nhà hoạt động tin tặc liên quan đến Nga đang tìm cách xâm nhập các nhà thầu quốc phòng cùng với các tài sản và hệ thống quân sự, với trọng tâm là các tổ chức liên quan đến hệ thống máy bay không người lái”.

“Điều này bao gồm việc nhắm mục tiêu trực tiếp vào các công ty quốc phòng, sử dụng các chủ đề mô phỏng sản phẩm và hệ thống của chính các công ty đó trong các vụ xâm nhập nhằm vào các tổ chức và nhân sự quân đội.”

Trong khi đó, báo cáo cũng phát hiện ra rằng các tin tặc được nhà nước bảo trợ đã lợi dụng Gemini trong các cuộc tấn công mạng.

Google cho biết, một tổ chức có liên hệ với Trung Quốc với tên gọi “UNC2970” đã thường xuyên nhắm mục tiêu vào các công ty quốc phòng và giả danh các nhà tuyển dụng của tập đoàn trong các chiến dịch tấn công của mình.

Chúng đã sử dụng Gemini để thực hiện hoạt động tình báo nguồn mở nhằm “phân tích hồ sơ các mục tiêu giá trị cao để hỗ trợ lập kế hoạch chiến dịch và trinh sát”, bao gồm việc tìm kiếm các thông tin liên quan về các công ty quốc phòng và an ninh mạng, báo cáo cho biết.

Mối đe dọa từ Bắc Triều Tiên đã gia tăng kể từ năm 2019 khi các nhân viên của chính quyền này cố gắng giả danh công nhân viên công nghệ thông tin để ứng tuyển vào các tổ chức liên quan đến quốc phòng.

Vào tháng 7/2025, Bộ Tư pháp Hoa Kỳ thông báo đã triệt phá một chiến dịch bao gồm việc khám xét 29 địa điểm tại hơn một chục tiểu bang bị nghi ngờ có liên quan đến các máy tính xách tay được sử dụng, một phần để giành được các công việc làm từ xa tại hơn 100 công ty Mỹ.

Trong một ví dụ cụ thể, các tác nhân liên hệ với Bắc Triều Tiên đã đánh cắp dữ liệu nhạy cảm từ một công ty quốc phòng tại California chuyên về phát triển trí tuệ nhân tạo, theo báo cáo của Google.

Trong một vụ việc riêng biệt, một người đàn ông tại Maryland đã bị kết án 15 tháng tù giam vì tiếp tay cho một âm mưu liên quan đến Bắc Triều Tiên và phối hợp với một người được cho là nhân viên công nghệ thông tin của chính quyền này. Người này, tên là Minh Phuong Ngoc Vong đã được một công ty có trụ sở tại Virginia thuê để thực hiện công việc phát triển phần mềm cho một nhà thầu quốc phòng.