Duy Linh
Writer
Các tác nhân mạng Iran đang mở rộng hoạt động nhắm vào tổ chức Mỹ, đồng thời tận dụng camera kết nối internet tại Trung Đông để thu thập tình báo và theo dõi chiến trường.
Tin tặc Iran sử dụng camera bị xâm nhập để giám sát khu vực.
Những diễn biến liên quan đến nhóm APT MuddyWater, hạ tầng khai thác camera và nhóm hacktivist Handala cho thấy một hệ sinh thái mạng vẫn hoạt động nhưng bị hạn chế. Thay vì các chiến dịch quy mô lớn, họ ưu tiên duy trì truy cập lâu dài, tăng khả năng quan sát và thực hiện các hoạt động gây rối có chọn lọc.
Từ đầu tháng 2/2026, APT MuddyWater (Seedworm/Static Kitten) duy trì quyền truy cập vào nhiều tổ chức tại Mỹ và Canada, gồm ngân hàng, sân bay, tổ chức phi lợi nhuận và nhà cung cấp phần mềm phục vụ lĩnh vực quốc phòng – hàng không vũ trụ.
Báo cáo từ Symantec và Carbon Black ghi nhận một backdoor mới tên Dindoor, sử dụng môi trường Deno (JavaScript/TypeScript) để thực thi lệnh và duy trì hiện diện trong hệ thống nạn nhân.
Ngoài ra, malware Fakeset dựa trên Python cũng được phát hiện tại mạng sân bay và tổ chức phi lợi nhuận, mở rộng bộ công cụ tấn công. Việc tái sử dụng chứng chỉ ký điện tử từ các chiến dịch trước giúp củng cố khả năng quy kết về MuddyWater.
Các nhà điều tra còn phát hiện hoạt động đánh cắp dữ liệu qua công cụ đồng bộ Rclone sang lưu trữ đám mây Wasabi, cho thấy mục tiêu chính vẫn là thu thập tình báo thay vì phá hoại tức thời.
Song song, các nhà nghiên cứu ghi nhận hạ tầng liên kết Iran gia tăng khai thác camera Hikvision và Dahua tại Israel và khu vực Vùng Vịnh từ ngày 28/2/2026, trùng với thời điểm căng thẳng leo thang.
Hoạt động này nhắm vào các lỗ hổng đã biết như Hikvision CVE-2017-7921, CVE-2021-36260, CVE-2023-6895, CVE-2025-34067 và Dahua CVE-2021-33044. Dù đã có bản vá, nhiều hệ thống vẫn chưa được cập nhật.
Các camera bị xâm nhập tại Israel, Qatar, Bahrain, Kuwait, UAE, Lebanon và Cyprus có thể cung cấp hình ảnh trực tiếp từ các địa điểm nhạy cảm, hỗ trợ trinh sát, giám sát (ISR), theo dõi phản ứng khẩn cấp và đánh giá thiệt hại sau các cuộc tấn công bằng tên lửa hoặc UAV.
Chiến thuật này từng xuất hiện trong các xung đột Iran–Israel trước đây, cho thấy Tehran coi camera IP thương mại là công cụ trinh sát chi phí thấp nhưng hiệu quả.
Theo KrebsOnSecurity, tin tặc đã lợi dụng Microsoft Intune để thực hiện xóa dữ liệu từ xa quy mô lớn, thay vì dùng wiper truyền thống. Cuộc tấn công ảnh hưởng tới hàng trăm nghìn thiết bị và buộc nhiều cơ sở phải chuyển sang vận hành thủ công.
Handala cũng tuyên bố đánh cắp khoảng 50 TB dữ liệu, kết hợp phá hoại với gây áp lực bằng dữ liệu – mô hình quen thuộc trong các chiến dịch liên quan Iran nhắm vào tổ chức có liên hệ với Israel.
Nhiều công ty an ninh mạng liên kết Handala với Bộ Tình báo và An ninh Iran (MOIS), xem đây là công cụ linh hoạt cho các hoạt động gây rối có thể phủ nhận trách nhiệm và mang tính toán chính trị.
Các đánh giá gần đây cho thấy năng lực mạng của Iran vẫn tồn tại nhưng chịu ảnh hưởng từ gián đoạn hạ tầng, áp lực quân sự và trừng phạt. Phân tích từ PolySwarm chỉ ra Tehran ngày càng dựa vào quyền truy cập sẵn có trong mạng phương Tây, hạ tầng thương mại và các nhóm ủy nhiệm như Handala.
Kết quả là một hệ sinh thái “tồn tại nhưng không phát triển mạnh”:
Tin tặc Iran sử dụng camera bị xâm nhập để giám sát khu vực.
Những diễn biến liên quan đến nhóm APT MuddyWater, hạ tầng khai thác camera và nhóm hacktivist Handala cho thấy một hệ sinh thái mạng vẫn hoạt động nhưng bị hạn chế. Thay vì các chiến dịch quy mô lớn, họ ưu tiên duy trì truy cập lâu dài, tăng khả năng quan sát và thực hiện các hoạt động gây rối có chọn lọc.
Từ đầu tháng 2/2026, APT MuddyWater (Seedworm/Static Kitten) duy trì quyền truy cập vào nhiều tổ chức tại Mỹ và Canada, gồm ngân hàng, sân bay, tổ chức phi lợi nhuận và nhà cung cấp phần mềm phục vụ lĩnh vực quốc phòng – hàng không vũ trụ.
Báo cáo từ Symantec và Carbon Black ghi nhận một backdoor mới tên Dindoor, sử dụng môi trường Deno (JavaScript/TypeScript) để thực thi lệnh và duy trì hiện diện trong hệ thống nạn nhân.
Ngoài ra, malware Fakeset dựa trên Python cũng được phát hiện tại mạng sân bay và tổ chức phi lợi nhuận, mở rộng bộ công cụ tấn công. Việc tái sử dụng chứng chỉ ký điện tử từ các chiến dịch trước giúp củng cố khả năng quy kết về MuddyWater.
Các nhà điều tra còn phát hiện hoạt động đánh cắp dữ liệu qua công cụ đồng bộ Rclone sang lưu trữ đám mây Wasabi, cho thấy mục tiêu chính vẫn là thu thập tình báo thay vì phá hoại tức thời.
Song song, các nhà nghiên cứu ghi nhận hạ tầng liên kết Iran gia tăng khai thác camera Hikvision và Dahua tại Israel và khu vực Vùng Vịnh từ ngày 28/2/2026, trùng với thời điểm căng thẳng leo thang.
Hoạt động này nhắm vào các lỗ hổng đã biết như Hikvision CVE-2017-7921, CVE-2021-36260, CVE-2023-6895, CVE-2025-34067 và Dahua CVE-2021-33044. Dù đã có bản vá, nhiều hệ thống vẫn chưa được cập nhật.
Các camera bị xâm nhập tại Israel, Qatar, Bahrain, Kuwait, UAE, Lebanon và Cyprus có thể cung cấp hình ảnh trực tiếp từ các địa điểm nhạy cảm, hỗ trợ trinh sát, giám sát (ISR), theo dõi phản ứng khẩn cấp và đánh giá thiệt hại sau các cuộc tấn công bằng tên lửa hoặc UAV.
Chiến thuật này từng xuất hiện trong các xung đột Iran–Israel trước đây, cho thấy Tehran coi camera IP thương mại là công cụ trinh sát chi phí thấp nhưng hiệu quả.
Hệ sinh thái mạng Iran: duy trì hoạt động nhưng suy giảm phối hợp
Ở khía cạnh gây rối, nhóm hacktivist Handala đã nhận trách nhiệm về cuộc tấn công vào Stryker – công ty công nghệ y tế toàn cầu thuộc Fortune 500.Theo KrebsOnSecurity, tin tặc đã lợi dụng Microsoft Intune để thực hiện xóa dữ liệu từ xa quy mô lớn, thay vì dùng wiper truyền thống. Cuộc tấn công ảnh hưởng tới hàng trăm nghìn thiết bị và buộc nhiều cơ sở phải chuyển sang vận hành thủ công.
Handala cũng tuyên bố đánh cắp khoảng 50 TB dữ liệu, kết hợp phá hoại với gây áp lực bằng dữ liệu – mô hình quen thuộc trong các chiến dịch liên quan Iran nhắm vào tổ chức có liên hệ với Israel.
Nhiều công ty an ninh mạng liên kết Handala với Bộ Tình báo và An ninh Iran (MOIS), xem đây là công cụ linh hoạt cho các hoạt động gây rối có thể phủ nhận trách nhiệm và mang tính toán chính trị.
Các đánh giá gần đây cho thấy năng lực mạng của Iran vẫn tồn tại nhưng chịu ảnh hưởng từ gián đoạn hạ tầng, áp lực quân sự và trừng phạt. Phân tích từ PolySwarm chỉ ra Tehran ngày càng dựa vào quyền truy cập sẵn có trong mạng phương Tây, hạ tầng thương mại và các nhóm ủy nhiệm như Handala.
Kết quả là một hệ sinh thái “tồn tại nhưng không phát triển mạnh”:
- MuddyWater duy trì truy cập vào các lĩnh vực nhạy cảm như ngân hàng, hàng không, quốc phòng
- Hạ tầng liên kết Iran biến camera bị lộ thành công cụ trinh sát
- Các nhóm hacktivist tiến hành các cuộc tấn công cơ hội nhưng có tác động lớn
Đọc chi tiết tại đây: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
