Tội phạm mạng có xu hướng lợi dụng các công cụ trí tuệ nhân tạo (AI) bị cấu hình sai để thực hiện các cuộc tấn công tinh vi, trong đó mã độc được tạo ra và triển khai một cách tự động.

Xu hướng tấn công mạng sử dụng AI

Trong một báo cáo gần đây, nhóm Nghiên cứu Mối đe dọa của Sysdig (Sysdig Threat Research Team) đã phát hiện một cuộc tấn công mạng nhắm vào hệ thống Open WebUI bị cấu hình sai. Open WebUI là một ứng dụng phổ biến với hơn 95.000 sao trên GitHub, cung cấp giao diện AI tự lưu trữ để cải thiện các mô hình ngôn ngữ lớn (LLMs). Hệ thống này đã bị lộ ra internet với quyền quản trị và không có xác thực, cho phép kẻ tấn công thực thi các lệnh trên hệ thống.

Kẻ tấn công đã tải lên một script Python độc hại được tạo bởi AI và thực thi nó thông qua các công cụ của Open WebUI, nhắm vào cả hệ thống Linux và Windows. Payload trên Windows đặc biệt tinh vi và gần như không thể phát hiện. Họ cũng sử dụng webhook Discord cho việc điều khiển và kiểm soát (C2) và tải xuống các phần mềm đào tiền ảo.

Đường tấn công trên Linux

1. Copy_itself:

   • Sau khi truy cập thành công hệ thống AI (Open WebUI), mã độc tự sao chép chính nó vào hệ thống (thường vào thư mục /tmp, /opt, hoặc /usr/local/bin).

2. Download miners:

   • Tiếp theo, mã độc tải xuống phần mềm đào tiền ảo (cryptominer) như XMRig từ server bên ngoài.

3. Check root + sudo:

   • Kiểm tra xem người dùng hiện tại có quyền root hoặc có thể thực thi lệnh sudo hay không. Nếu có:

4. Processhider + argvhider (chỉ khi có root):

   • Cài thư viện libprocesshider.so để ẩn tiến trình của miner khỏi lệnh ps, top.

   • Dùng argvhider để che giấu chuỗi lệnh hoặc tham số độc hại.

5. Create service pytorch_updater:

   • Tạo một dịch vụ hệ thống giả mạo, thường là pytorch_updater.service nhằm duy trì sự tồn tại (persistence) dưới dạng systemd.

6. Exfil info by Discord:

   • Thông tin hệ thống (IP, CPU, RAM, user, quyền sudo...) được gửi về kênh Discord thông qua webhook.

7. Run miners:

   • Cuối cùng, phần mềm đào coin được chạy âm thầm để khai thác tài nguyên CPU của nạn nhân.

Hình 1. Đường tấn công trên Linux

Đường tấn công trên Windows: Tải JAR độc và thực thi chuỗi payload

1. Copy_itself:

   • Tương tự Linux, mã độc tự nhân bản vào hệ thống — thường trong AppData, Temp hoặc Startup.

2. Download miner:

   • Tải công cụ đào tiền (XMRig với Windows version hoặc các coinminer khác).

3. Exfil info by Discord:

   • Gửi dữ liệu hệ thống về Discord: tên máy, user, quyền admin, CPU/GPU, RAM...

4. Hai nhánh thực thi chính:

   • Nhánh A: Chạy miner trực tiếp: Nếu hệ thống đủ quyền và tài nguyên, phần mềm miner được khởi chạy ngay.

   • Nhánh B: Chuỗi khai thác Java (JAR)

     • Download JDK: Tải Java Development Kit nếu hệ thống chưa có, nhằm chuẩn bị môi trường chạy mã .jar.

     • Download malicious JAR: Tải tệp JAR độc hại (Java Archive chứa mã thực thi) từ server điều khiển.

     • Run JAR: Thực thi tệp JAR. File này có thể:

       • Đóng vai trò như reverse shell, keylogger, hoặc công cụ điều khiển từ xa.

       • Sử dụng để tải thêm một JAR khác, làm nhiệm vụ tải xuống miner hoặc mã độc khác (modular structure).

Hình 2. Đường tấn công trên Windows

Prompt injection – Cơ chế tấn công AI thế hệ mới

Sự xuất hiện của trí tuệ nhân tạo (AI), đặc biệt là các mô hình ngôn ngữ lớn (LLMs), đã mang lại những bước tiến vượt bậc trong tự động hóa và xử lý ngôn ngữ tự nhiên. Tuy nhiên, chính năng lực này đang bị các tác nhân đe dọa khai thác để phục vụ cho các mục tiêu tấn công mạng, khiến AI không chỉ là công cụ hỗ trợ doanh nghiệp, mà còn trở thành "đồng phạm" đắc lực trong các chiến dịch tấn công tinh vi. AI có thể hỗ trợ kẻ tấn công thực hiện những công việc như:

1. Tự động hóa khâu viết mã độc

Thay vì phải thủ công viết từng dòng mã shell, PowerShell hay script phức tạp, kẻ tấn công giờ đây có thể sử dụng AI để tạo mã độc theo yêu cầu bằng ngôn ngữ tự nhiên. Với một prompt đơn giản, mô hình có thể sinh ra đoạn mã:

• Thiết lập backdoor.

• Kết nối reverse shell.

• Duy trì sự tồn tại (persistence) qua dịch vụ hệ thống.

• Tích hợp cơ chế tránh bị phát hiện (anti-detection).

Điều này rút ngắn đáng kể thời gian phát triển mã độc và mở ra khả năng cho cả hacker có kỹ năng thấp (script kiddies) cũng có thể xây dựng công cụ tấn công nguy hiểm.

2. Tối ưu hóa mã độc theo ngữ cảnh hệ thống

AI có khả năng phân tích đầu vào và sinh ra đầu ra phù hợp với hệ điều hành, môi trường hoặc đặc điểm mục tiêu cụ thể. Với Linux, AI sinh shell script. Với Windows, có thể sinh PowerShell, JAR, hoặc batch script. Thậm chí có thể điều chỉnh cú pháp theo phiên bản OS, Python hoặc môi trường container hóa.

Hình 3. Payload kỹ thuật chèn thư viện LD_PRELOAD trên Linux được AI tạo tự động

3. Tạo nội dung lừa đảo có ngữ cảnh (phishing & social engineering)

LLMs có thể tạo email giả mạo, thông báo hệ thống, tài liệu nội bộ hoặc message Slack/Teams có văn phong rất giống thật — được “cá nhân hóa” theo từng tổ chức. Đây là yếu tố quan trọng giúp tấn công trở nên thuyết phục hơn và có tỷ lệ thành công cao hơn.

4. Tấn công ở quy mô lớn với chi phí thấp

Trước đây, để mở rộng quy mô chiến dịch (ví dụ: hàng trăm payload khác nhau tùy mục tiêu), kẻ tấn công cần đội ngũ lập trình viên và thời gian. Giờ đây, AI có thể sinh ra hàng loạt biến thể mã độc chỉ trong vài phút — tăng tốc và giảm chi phí.

5. Khó truy vết và phản ứng

Do mã độc được sinh động, theo thời gian thực và không cố định, các giải pháp bảo mật truyền thống như hash-based detection hay signature scan gần như không còn hiệu quả. Đồng thời, prompt injection – kỹ thuật khai thác bằng ngôn ngữ – cũng không để lại dấu vết rõ ràng trong log hệ thống, khiến việc điều tra số hóa (forensics) trở nên khó khăn hơn.

Mô hình bị đầu độc – Mối đe dọa dai dẳng trong hệ thống AI

Khi nhắc đến tấn công mạng, chúng ta thường nghĩ đến mã độc, đánh cắp dữ liệu hay chiếm quyền hệ thống. Tuy nhiên, với sự phát triển của trí tuệ nhân tạo, một hình thức tấn công mới nguy hiểm hơn đang âm thầm diễn ra: đầu độc mô hình AI (AI model poisoning).

Hiểu một cách đơn giản, đây là quá trình mà kẻ tấn công tìm cách can thiệp vào quá trình huấn luyện hoặc vận hành của mô hình AI, để cài vào đó những hành vi ẩn, có chủ đích. Mục tiêu của họ không phải phá hoại ngay, mà là âm thầm cấy “mầm bệnh” bên trong mô hình, chờ ngày kích hoạt.

Mô hình bị đầu độc là gì?

Giống như con người có thể bị ảnh hưởng nếu học từ thông tin sai lệch, AI cũng vậy. Nếu quá trình huấn luyện của một mô hình AI (ví dụ: chatbot, công cụ tạo mã, phân tích dữ liệu...) bị trộn vào một lượng nhỏ dữ liệu xấu – như đoạn mã độc, phản hồi sai lệch hoặc câu lệnh lừa đảo – thì mô hình đó có thể học theo hành vi nguy hiểm mà người dùng không nhận ra ngay lập tức.

Backdoor có thể “ngủ đông” và chờ lệnh

Theo một nghiên cứu của công ty Anthropic, mô hình AI bị đầu độc có thể hoạt động hoàn toàn bình thường trong thời gian dài, cho đến khi nhận đúng “câu lệnh kích hoạt”. Chẳng hạn:

• Một từ khóa bí mật.

• Một ngày cụ thể trong tương lai.

• Một cú pháp lệnh đặc biệt mà chỉ hacker biết.

Khi điều kiện thỏa mãn, mô hình sẽ tạo ra mã độc, gửi thông tin bí mật, hoặc thậm chí làm sập hệ thống – tất cả đều dưới dạng phản hồi “hợp lệ” của AI.

IOCs liên quan đến chiến dịch

SHA256

URL

Wallet Address

IP Address

Indicator Name	Value
Payload IP	185.208.159[.]155

Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch tấn công nguy hiểm này:

• Không chạy trực tiếp mã do AI sinh ra nếu bạn không hiểu rõ chức năng.

• Cẩn trọng với mã có hành vi nguy hiểm, như gửi dữ liệu ra ngoài, chỉnh sửa hệ thống, tạo cronjob, dùng exec() hoặc PowerShell.

• Thử nghiệm mã trong môi trường cách ly như máy ảo, Docker, hoặc sandbox online.

• Luôn kiểm tra nội dung AI tạo ra trước khi sử dụng, đặc biệt là email, chat, mã lệnh hoặc tài liệu.

• Không chia sẻ token API hoặc tài khoản AI cá nhân lên mạng hoặc công cụ công cộng.

• Tránh dùng AI từ nguồn không rõ ràng (website lạ, phần mềm AI chưa được kiểm chứng).

• Không để các công cụ AI bạn cài đặt chạy công khai mà không có xác thực.

• Cảnh giác với nội dung lừa đảo do AI tạo.

Tham khảo

• Hackers Exploit AI Tools Misconfiguration To Run Malicious AI-generated Payloads