Cơ quan Bảo vệ Thông tin và Truyền thông Đặc biệt (SSSCIP) của Ukraine cho biết, việc tin tặc Nga sử dụng trí tuệ nhân tạo (AI) trong các cuộc tấn công mạng nhằm vào Ukraine đã đạt đến một cấp độ mới trong nửa đầu năm 2025 (H1 2025).

"Tin tặc hiện nay không chỉ sử dụng nó để tạo ra các tin nhắn lừa đảo mà một số mẫu phần mềm độc hại mà chúng tôi đã phân tích còn cho thấy dấu hiệu rõ ràng là được tạo ra bằng AI - và những kẻ tấn công chắc chắn sẽ không dừng lại ở đó", cơ quan này cho biết trong báo cáo được công bố hôm thứ Tư.

SSSCIP cho biết 3.018 sự cố mạng đã được ghi nhận trong cùng kỳ, tăng so với 2.575 sự cố trong nửa cuối năm 2024 (6 tháng đầu năm 2024). Chính quyền địa phương và các đơn vị quân đội đã chứng kiến ​​sự gia tăng các cuộc tấn công so với 6 tháng đầu năm 2024, trong khi các vụ tấn công nhắm vào lĩnh vực chính phủ và năng lượng lại giảm.

Một cuộc tấn công đáng chú ý được ghi nhận liên quan đến việc UAC-0219 sử dụng phần mềm độc hại có tên WRECKSTEEL trong các cuộc tấn công nhắm vào các cơ quan hành chính nhà nước và cơ sở hạ tầng quan trọng trong nước. Có bằng chứng cho thấy phần mềm độc hại đánh cắp dữ liệu PowerShell được phát triển bằng các công cụ AI.

Một số chiến dịch khác được đăng ký chống lại Ukraine được liệt kê dưới đây -

• Các chiến dịch lừa đảo do UAC-0218 dàn dựng nhắm vào lực lượng quốc phòng để phân phối HOMESTEEL bằng cách sử dụng kho lưu trữ RAR có cài bẫy
• Các chiến dịch lừa đảo do UAC-0226 dàn dựng nhắm vào các tổ chức tham gia phát triển các sáng kiến ​​trong lĩnh vực công nghiệp quốc phòng, các cơ quan chính quyền địa phương, các đơn vị quân đội và các cơ quan thực thi pháp luật để phân phối một chương trình đánh cắp có tên là GIFTEDCROOK
• Các chiến dịch lừa đảo do UAC-0227 dàn dựng nhắm vào chính quyền địa phương, các cơ sở hạ tầng quan trọng và các Trung tâm hỗ trợ xã hội và tuyển dụng lãnh thổ (TRC và SSC) sử dụng các chiến thuật kiểu ClickFix hoặc tệp đính kèm SVG để phân phối các chương trình đánh cắp như Amatera Stealer và Strela Stealer
• Các chiến dịch lừa đảo được dàn dựng bởi UAC-0125, một nhóm nhỏ có liên kết với Sandworm, đã gửi các email chứa liên kết đến một trang web giả mạo là ESET để cung cấp một cửa hậu dựa trên C# có tên là Kalambur (hay còn gọi là SUMBUR) dưới vỏ bọc là một chương trình loại bỏ mối đe dọa

SSSCIP cho biết họ cũng quan sát thấy các tác nhân APT28 (hay còn gọi là UAC-0001) có liên hệ với Nga đang lợi dụng các lỗ hổng thực thi mã lệnh chéo trang trong Roundcube và ( CVE-2023-43770 , CVE-2024-37383 và CVE-2025-49113 ) và phần mềm webmail Zimbra ( CVE-2024-27443 và CVE-2025-27915 ) để thực hiện các cuộc tấn công không cần nhấp chuột.

SSSCIP cho biết: "Khi khai thác các lỗ hổng như vậy, kẻ tấn công thường chèn mã độc hại thông qua API Roundcube hoặc Zimbra để truy cập vào thông tin đăng nhập, danh sách liên hệ và cấu hình bộ lọc để chuyển tiếp tất cả email đến hộp thư do kẻ tấn công kiểm soát".

"Một phương pháp khác để đánh cắp thông tin đăng nhập bằng các lỗ hổng này là tạo các khối HTML ẩn (visibility: hidden) với các trường nhập thông tin đăng nhập và mật khẩu, trong đó thuộc tính autocomplete='on' được thiết lập. Điều này cho phép các trường được tự động điền dữ liệu được lưu trữ trong trình duyệt, sau đó bị rò rỉ."

Cơ quan này cũng tiết lộ rằng Nga vẫn tiếp tục tham gia vào chiến tranh hỗn hợp, đồng bộ hóa các hoạt động mạng kết hợp với các cuộc tấn công động lực trên chiến trường, với nhóm Sandworm (UAC-0002) nhắm mục tiêu vào các tổ chức trong lĩnh vực năng lượng, quốc phòng, nhà cung cấp dịch vụ internet và nghiên cứu.

Hơn nữa, một số nhóm đe dọa nhắm vào Ukraine đã lợi dụng các dịch vụ hợp pháp như Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io, mocky.io để lưu trữ phần mềm độc hại hoặc các trang lừa đảo hoặc biến chúng thành kênh đánh cắp dữ liệu.

"Việc sử dụng các nguồn trực tuyến hợp pháp cho mục đích xấu không phải là một chiến thuật mới", SSSCIP cho biết. "Tuy nhiên, số lượng các nền tảng như vậy bị tin tặc Nga khai thác đã tăng đều đặn trong thời gian gần đây."