Trong báo cáo tháng 9/2025, KELA ghi nhận sự gia tăng mạnh mẽ của các cuộc tấn công DDoS có tổ chức, rò rỉ dữ liệu quy mô lớn và sự xuất hiện của các công cụ tội phạm mạng mới nhắm vào Android và macOS. Báo cáo này cung cấp góc nhìn toàn cảnh về hacktivism (chủ nghĩa tấn công mạng vì lý tưởng), dịch vụ tội phạm mạng và đổi mới ngầm trên dark web.

HOẠT ĐỘNG HACKTIVIST TOÀN CẦU

Trong tháng 9, các nhóm hacktivist hoạt động mạnh mẽ nhất trên Telegram bao gồm Malaysia Hacktivist, Tengkorak Cyber Crew, Laskar Pembebasan Palestina, Hezi Rash và Mr. Hamza.
Các nhóm này thường chia sẻ danh sách tên miền của nạn nhân – dấu hiệu cho thấy các cuộc tấn công DDoS, chiếm quyền điều khiển website, đánh cắp dữ liệu và phá hoại hệ thống.

Ngoài ra, nhiều nhóm khác cũng tuyên bố thực hiện các cuộc DDoS tấn công diện rộng, bao gồm NoName057(16), Keymous, AnonXF34rl3ss, HeziRash, Team Fearless và DieNet – với bằng chứng là các báo cáo kiểm tra khả năng truy cập của website nạn nhân.

KELA cũng ghi nhận các chiến dịch hacktivist toàn cầu, trong đó:

• TwoNet (nhóm thân Nga) tuyên bố rò rỉ dữ liệu người tham dự hội nghị C1b3rWall 2025 tại Tây Ban Nha, bao gồm hơn 700 bản ghi liên quan đến cảnh sát và doanh nghiệp.

• Enlace Hacktivista công bố 600 GB dữ liệu được cho là lấy từ dự án “Great Firewall” của Trung Quốc.

• Hezi Rash phát động chiến dịch #OpJapan tấn công hàng loạt website tại Nhật Bản.

• Keymous+ cùng các đồng minh tấn công DDoS tại Pháp.

• Nullsec Philippines tiến hành chiến dịch chống Trung Quốc.

• CyberVolk tuyên bố mở chiến dịch chống lại các mục tiêu phương Tây và Nhật Bản.

• Cuối cùng, Handala Hacktivists tuyên bố xâm nhập một công ty hàng không vũ trụ Israel, với cáo buộc đã chiếm quyền truy cập nội bộ và lấy cắp dữ liệu.

DỊCH VỤ TỘI PHẠM MẠNG MỚI TRÊN DARK WEB

KELA đã phát hiện nhiều dịch vụ tội phạm mạng mới được rao bán trong tháng 9/2025, bao gồm:
Elite Malicious Software Suite, HOOK Android Botnet Rental, và MacSync macOS Stealer – mỗi loại đại diện cho một xu hướng tấn công mạng ngày càng tinh vi hơn.

ELITE MALICIOUS SOFTWARE SUITE

Một bộ công cụ phần mềm độc hại cao cấp đang được rao bán dưới dạng dịch vụ thuê bao trị giá 5.000 USD/tháng.
Bộ công cụ này kết hợp nhiều chức năng: RAT, Cracker, Stealer, Loader, VNC, FTP, SOCKS5, HVNC gốc và SEED FINDER.

Các tính năng nổi bật gồm:

• Auto Wallet Cracking – tự động dò mật khẩu ví điện tử khi phát hiện dữ liệu mới.

• Hỗ trợ HVNC đầy đủ, có thể vượt qua cơ chế bảo vệ trong các trình duyệt Chrome mới nhất.

• Cho phép người dùng thêm định nghĩa ví hoặc trình duyệt mới mà không cần chờ bản cập nhật.

• Nhật ký (logs) được lưu cục bộ, nhà cung cấp không có quyền truy cập – điều này khiến việc lần dấu tấn công trở nên khó khăn.
  

Ngoài ra, công cụ này có khả năng điều khiển từ xa mạnh mẽ, bao gồm VNC Reverse Server, FTP Reverse Server và trình tìm kiếm tệp nâng cao để tìm mã seed và mã 2FA.
KELA ghi nhận một số người dùng đưa phản hồi tích cực, cho biết họ đã thử nghiệm thành công phần mềm này.

HOOK ANDROID BOTNET RENTAL

Được rao bán bởi tác nhân “derotei” trên diễn đàn ExploitIn vào ngày 24/9/2025.
Dịch vụ HOOK Android Botnet cho phép thuê hệ thống botnet Android hoàn chỉnh với bảng điều khiển và trình tạo ứng dụng (builder), hỗ trợ hơn 1.000 injector để tạo ứng dụng giả mạo.

Giá thuê là 5.000 USD/tháng, có thể mua thêm gói mở rộng 1.000 USD để sử dụng crypt loader và Zombinder (tích hợp tệp).
Dịch vụ đi kèm cơ chế bảo vệ IP máy chủ khách hàng, giúp tránh bị chặn – được quảng cáo như “free fastflux”.
KELA hiện chưa ghi nhận giao dịch đáng chú ý cho bài đăng này.

MACSYNC MACOS STEALER RENTAL

Được quảng cáo bởi người dùng “macsync” trên diễn đàn ExploitIn ngày 1/9/2025.
MacSync là công cụ đánh cắp thông tin chuyên biệt cho hệ điều hành macOS, hỗ trợ cả kiến trúc x64_86 và ARM, từ phiên bản macOS Sierra (10.12.6) trở lên.

Phần mềm chỉ nặng 50 KB, viết bằng ngôn ngữ C, và giải mã dữ liệu phía máy chủ để giảm độ trễ.
Mục tiêu của nó là thu thập mật khẩu, cookie, dữ liệu tự động điền, ví tiền điện tử, tiện ích mở rộng crypto và giải mã keychain của macOS.

Chi phí thuê: 1.500 USD/tháng, với mô-đun tùy chọn giả mạo ứng dụng Ledger hợp pháp để lừa người dùng nhập seed phrase (bán riêng).
Đáng chú ý, nhà cung cấp giới hạn hoạt động tại khu vực CIS, tức là phần mềm không hoạt động ở các quốc gia thuộc Khối SNG.
KELA chưa ghi nhận tương tác đáng kể cho bài đăng này.

TỔNG KẾT

Bức tranh tội phạm mạng tháng 9/2025 cho thấy sự mở rộng của các nhóm hacktivist, sự bùng nổ của dịch vụ “malware thuê” và sự gia tăng nguy cơ đối với người dùng đa nền tảng.
Dark web tiếp tục là môi trường cho các hoạt động tội phạm được tổ chức và thương mại hóa, với những công cụ tinh vi ngày càng dễ tiếp cận.

Các doanh nghiệp và tổ chức cần tăng cường giám sát, phân tích tình báo mạng và kiểm thử an ninh định kỳ, nhằm chủ động phòng ngừa trước khi trở thành mục tiêu tấn công.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.