Nhiều nước cảnh báo: Tin tặc TQ đang sử dụng WiFi để tấn công mạng

Các cơ quan an ninh mạng của nhiều quốc gia phương Tây đã đồng loạt phát đi cảnh báo về sự thay đổi đáng chú ý trong chiến thuật tấn công mạng của các nhóm hacker liên quan đến Trung Quốc. Thông báo chung được công bố ngày 23/4 với sự tham gia của cơ quan an ninh mạng từ Anh, Mỹ, Úc, Canada, Đức, Nhật Bản, Hà Lan, New Zealand và Tây Ban Nha, cho thấy mối đe dọa đang gia tăng cả về quy mô lẫn mức độ tinh vi.

Theo đó, các nhóm hacker này đang chuyển hướng sang tận dụng các thiết bị kết nối Internet phổ biến như WiFi gia đình, máy in, camera an ninh và các thiết bị nhà thông minh để xây dựng những mạng lưới ẩn danh quy mô lớn. Những mạng này, thường được gọi là “botnet”, hoạt động bằng cách chiếm quyền điều khiển hàng chục nghìn đến hàng trăm nghìn thiết bị trên toàn cầu, sau đó sử dụng chúng làm trung gian chuyển tiếp lưu lượng độc hại nhằm che giấu nguồn gốc thật sự của các cuộc tấn công mạng.

Cơ chế này khiến việc truy vết trở nên cực kỳ khó khăn. Một thiết bị WiFi trong gia đình bình thường có thể bị lợi dụng để tham gia vào một cuộc tấn công nhằm vào hệ thống của doanh nghiệp hoặc cơ sở hạ tầng quan trọng mà chủ sở hữu hoàn toàn không hay biết. Các thiết bị bị nhiễm mã độc trở thành “zombie”, còn kẻ điều khiển được gọi là “bot herder”. Một số mạng botnet còn được nhiều nhóm hacker cùng sử dụng, làm tăng độ phức tạp và nguy hiểm.

Các cơ quan chức năng cho biết hầu hết các nhóm hacker liên quan đến Trung Quốc đều đang sử dụng hình thức này. Có trường hợp một công ty tư nhân tại Trung Quốc đã xây dựng mạng lưới ẩn danh bằng cách lây nhiễm hơn 200.000 thiết bị trên toàn cầu.

Một ví dụ điển hình là nhóm “Volt Typhoon”, bị cáo buộc đã xâm nhập vào các hệ thống cơ sở hạ tầng trọng yếu của Mỹ như đường sắt, hàng không và cấp nước. Một nhóm khác là “Flax Typhoon” sử dụng phương thức tương tự để tiến hành hoạt động gián điệp. Ngoài ra, mạng botnet “Raptor Train” cũng được xác định đã lây nhiễm hơn 200.000 thiết bị và có liên quan đến một công ty công nghệ Trung Quốc.

Không chỉ các cơ quan chính phủ, các tập đoàn công nghệ cũng đã vào cuộc. Năm 2026, Google thông báo đã triệt phá một mạng “proxy dân cư” từng bị tội phạm mạng và các tác nhân nhà nước lợi dụng để thực hiện tấn công. Tuy nhiên, các chuyên gia cảnh báo rằng những hình thức tấn công này rất khó phát hiện và thu thập bằng chứng, do dấu vết có thể biến mất nhanh chóng. Việc chặn các địa chỉ IP độc hại truyền thống cũng ngày càng kém hiệu quả vì hacker có thể liên tục thay đổi IP thông qua các thiết bị bị chiếm quyền.

Trước tình hình đó, các chuyên gia an ninh mạng đã đưa ra ba cấp độ khuyến nghị phòng thủ. Với các tổ chức rủi ro thấp, cần quản lý danh sách thiết bị kết nối, giám sát lưu lượng mạng và áp dụng xác thực đa yếu tố cho truy cập từ xa. Với các tổ chức rủi ro cao, nên hạn chế truy cập bên ngoài, triển khai mô hình “zero trust” và giảm thiểu mức độ tiếp xúc của hệ thống. Đối với các đơn vị vận hành hạ tầng quan trọng, cần chủ động phát hiện lưu lượng bất thường từ thiết bị gia đình và sử dụng công nghệ học máy để nhận diện sớm các mối đe dọa.

Các chuyên gia cũng nhấn mạnh rằng các cuộc tấn công mạng liên quan đến Trung Quốc đang diễn ra ngày càng thường xuyên và tinh vi. Lãnh đạo Trung tâm An ninh mạng quốc gia Anh cho biết mỗi tuần nước này phải xử lý khoảng bốn sự cố an ninh mạng nghiêm trọng ở cấp quốc gia, và ngày càng nhiều vụ trong số đó có liên quan đến các tác nhân nhà nước thay vì chỉ là tội phạm mạng thông thường.