Tại sao một hacker Trung Quốc lại nhắm vào các phòng thí nghiệm nghiên cứu vaccine COVID-19 của Mỹ? Xu Zewei, 34 tuổi, thành viên nhóm Silk Typhoon - một tổ chức tấn công mạng được cho là do chính phủ Trung Quốc hậu thuẫn, vừa bị dẫn độ từ Italy về Mỹ sau khi bị bắt vào tháng 7/2025. Vụ án này hé lộ cuộc chiến thầm lặng giành quyền kiểm soát thông tin nghiên cứu y tế quan trọng nhất thế kỷ 21. Chúng tôi cho rằng đây không chỉ là vụ tấn công mạng thông thường mà còn là chiến dịch gián điệp có tổ chức nhằm đánh cắp bí mật nghiên cứu COVID-19.

Chiến dịch gián điệp mạng xuyên suốt đại dịch

Từ tháng 2/2020 đến tháng 6/2021 - đúng thời điểm thế giới chạy đua phát triển vaccine COVID-19, Xu Zewei cùng nhóm Silk Typhoon đã tiến hành hàng loạt cuộc tấn công có mục tiêu vào các tổ chức và cơ quan chính phủ Mỹ. Silk Typhoon, còn được biết đến với tên APT40 (Advanced Persistent Threat - mối đe dọa dai dẳng nâng cao), là một trong những nhóm hacker nguy hiểm nhất được tình báo Mỹ theo dõi. Nhóm này chuyên thực hiện các chiến dịch tấn công dài hạn nhằm thu thập thông tin tình báo cho Trung Quốc.

Thời điểm mà Xu Zewei chọn để tấn công không phải ngẫu nhiên. Khi cả thế giới đang trong tình trạng khẩn cấp y tế, các phòng thí nghiệm Mỹ đang nỗ lực phát triển vaccine với tốc độ chưa từng có. Chúng tôi đánh giá việc đánh cắp dữ liệu nghiên cứu COVID-19 có thể giúp Trung Quốc tiết kiệm hàng tỷ USD chi phí nghiên cứu và rút ngắn thời gian phát triển vaccine của riêng mình. Điều này tạo ra lợi thế cạnh tranh khổng lồ trong cuộc đua vaccine toàn cầu.

Kỹ thuật tấn công tinh vi của Silk Typhoon

Silk Typhoon sử dụng các kỹ thuật tấn công APT (Advanced Persistent Threat) - phương pháp xâm nhập mạng trong thời gian dài mà không bị phát hiện. Nhóm này thường bắt đầu bằng spear phishing (lừa đảo qua email có mục tiêu), gửi email chứa mã độc được ngụy trang tinh vi đến các nhân viên nghiên cứu. Khi nạn nhân mở file đính kèm hoặc click vào link độc hại, malware (phần mềm độc hại) sẽ được cài đặt âm thầm vào hệ thống.

Sau khi xâm nhập thành công, hacker sử dụng kỹ thuật lateral movement (di chuyển ngang) để lan rộng trong mạng nội bộ. Họ khai thác các zero-day exploit (lỗ hổng chưa được vá) hoặc privilege escalation (leo thang đặc quyền) để có được quyền truy cập administrator. Điều đáng lo ngại là Silk Typhoon có thể duy trì sự hiện diện trong hệ thống nạn nhân hàng tháng mà không bị phát hiện. Theo đánh giá của chúng tôi, việc họ nhắm vào dữ liệu nghiên cứu COVID-19 cho thấy mức độ tổ chức và nguồn lực khổng lồ đằng sau nhóm hacker này.

Tác động nghiêm trọng đến an ninh quốc gia Mỹ

Vụ tấn công của Silk Typhoon không chỉ đơn thuần là tấn công mạng mà còn ảnh hưởng đến an ninh quốc gia và kinh tế của Mỹ. Dữ liệu nghiên cứu COVID-19 bị đánh cắp có thể bao gồm công thức vaccine, kết quả thử nghiệm lâm sàng, và các phương pháp sản xuất độc quyền. Giá trị của những thông tin này có thể lên tới hàng chục tỷ USD. FBI ước tính rằng các cuộc tấn công mạng nhắm vào nghiên cứu y tế đã gây thiệt hại ít nhất 1,2 tỷ USD cho nền kinh tế Mỹ chỉ riêng trong năm 2020.

Việc dẫn độ Xu Zewei về Mỹ gửi đi thông điệp mạnh mẽ rằng không có "vùng an toàn" nào cho các hacker nhà nước. Chúng tôi cho rằng đây là bước tiến quan trọng trong việc răn đe các cuộc tấn công mạng có sự hậu thuẫn của nhà nước. Tuy nhiên, với hơn 40 nhóm APT được xác định có nguồn gốc từ Trung Quốc, việc bắt giữ một cá nhân chỉ là phần nổi của tảng băng chìm.

Khuyến nghị bảo vệ cho tổ chức Việt Nam

Các tổ chức nghiên cứu và y tế tại Việt Nam cần nâng cao cảnh giác trước nguy cơ tấn công tương tự. Đầu tiên, triển khai giải pháp Email Security Gateway để lọc email lừa đảo và chặn file đính kèm độc hại. Thứ hai, thực hiện Network Segmentation (phân đoạn mạng) để tách biệt hệ thống nghiên cứu quan trọng khỏi mạng chung. Thứ ba, cài đặt EDR (Endpoint Detection and Response) để giám sát và phát hiện các hoạt động bất thường trên endpoint.

Quan trọng hơn cả, các tổ chức cần đầu tư vào đào tạo nhận thức an ninh mạng cho nhân viên. Tổ chức các buổi simulation phishing (mô phỏng tấn công lừa đảo) định kỳ và xây dựng quy trình incident response (ứng phó sự cố) rõ ràng. Chúng tôi khuyến nghị các đơn vị nghiên cứu y tế Việt Nam nên hợp tác với NCSC (Trung tâm Giám sát an toàn không gian mạng quốc gia) để được hỗ trợ kỹ thuật và chia sẻ thông tin về các mối đe dọa mới nhất.