Spyware DarkSword tấn công iPhone ở Malaysia, rủi ro lan khắp Đông Nam Á
Spyware DarkSword có thể xâm nhập iPhone thông qua các trang web hợp pháp bị hack và đánh cắp dữ liệu cực kỳ nhạy cảm, theo cảnh báo của các nhà nghiên cứu.
Người dùng Malaysia nằm trong số các nạn nhân bị nhắm mục tiêu bởi một chiến dịch spyware (phần mềm gián điệp) iPhone mới được phát hiện.
Theo các nhà nghiên cứu, chiến dịch này đã được nhiều tác nhân đe dọa ở nhiều quốc gia sử dụng. Điều này cho thấy các công cụ hack di động tinh vi đang lan rộng trong một hệ sinh thái thương mại và tội phạm ngày càng mờ ám.
DarkSword được ghi nhận nhắm vào các mục tiêu ở Malaysia, Ukraine, Ả Rập Saudi và Thổ Nhĩ Kỳ, khai thác chủ yếu các phiên bản iOS từ 18.4 đến 18.7 thông qua chuỗi 6 lỗ hổng bảo mật, trong đó có cả zero-day (lỗ hổng chưa được Apple biết trước).
Spyware này bị phát hiện ngay sau khi các nhà điều tra phơi bày một bộ công cụ khai thác lỗ hổng khác là Coruna. Cả hai có thể do cùng một nhóm đứng sau vì dùng chung hạ tầng.
Các nhà nghiên cứu tại hãng an ninh mạng iVerify, phối hợp với Google và Lookout, cho biết DarkSword có thể xâm nhập iPhone thông qua các trang web hợp pháp đã bị xâm nhập và âm thầm thu thập dữ liệu cực kỳ nhạy cảm, gồm tin nhắn, nhật ký cuộc gọi, lịch sử vị trí, ghi chú và hồ sơ sức khỏe.
Cuộc tấn công sử dụng chiến thuật watering hole, trong đó hacker xâm nhập các trang web mà nạn nhân thường truy cập, rồi âm thầm cài mã độc để đột nhập vào smartphone.
Nhóm Tình báo Mối đe dọa của Google (GTIG) cho biết nhiều nhà cung cấp giám sát thương mại và các tác nhân bị nghi có liên hệ với nhà nước đã sử dụng DarkSword, gồm cả hoạt động liên quan đến nhà cung cấp spyware PARS Defence (Thổ Nhĩ Kỳ) và một nhóm gián điệp nghi có liên hệ với Nga mang tên UNC6353.
“GTIG đã xác định một số bên sử dụng khác nhau của chuỗi khai thác DarkSword kể từ tháng 11.2025”, Google cho biết trong một báo cáo tình báo mối đe dọa.
Mối đe dọa lan rộng ở Đông Nam Á
Với nhiều người làm việc trong các lĩnh vực nhạy cảm, smartphone giống như văn phòng di động, sổ ghi chép, danh bạ, nguồn tin và nhật ký di chuyển... Điều này khiến các nhà báo, tổ chức nhân quyền, quan chức và doanh nghiệp đối mặt với rủi ro lớn hơn.
Điều đáng lo ngại hơn là spyware di động mạnh mẽ không còn chỉ giới hạn trong hoạt động gián điệp cấp cao, mà đang dần lan sang thị trường thương mại và tội phạm rộng lớn hơn, theo các nhà phân tích.
Dù Apple đã vá lỗ hổng này, nhưng mối liên hệ của DarkSword với Đông Nam Á cho thấy một thị trường đang mở rộng cho spyware và các công cụ hack điện thoại, vốn trước đây chủ yếu gắn liền với các cơ quan nhà nước cấp cao.
Stephanie Liew - chuyên gia an ninh mạng khu vực và Phó chủ tịch Women-in-Tech thuộc tổ chức Asean CXO Association - cho biết, đây là lần đầu tiên một bộ công cụ hack mạnh như vậy được phát hiện có liên kết rõ ràng với nhà cung cấp và có bằng chứng kỹ thuật cho thấy Malaysia là mục tiêu.
“Vấn đề không còn là liệu cuộc tấn công kiểu này có thể xảy ra tại Malaysia hay không, mà thực tế là nó đã xảy ra rồi”, bà nói.
Stephanie Liew cho biết Đông Nam Á đang nằm ở giao điểm của cạnh tranh địa chính trị, quá trình số hóa nhanh chóng và nguồn lực an ninh mạng còn hạn chế.
“Sự kết hợp đó khiến khu vực này trở thành ‘bãi săn’ lý tưởng cho các tác nhân đe dọa tiên tiến”, bà cảnh báo.
Dẫn dữ liệu giám sát an ninh mạng nội bộ của hãng Kaspersky, Stephanie Liew cho biết đã có 427.265 cuộc tấn công bằng spyware nhắm vào các doanh nghiệp ở Đông Nam Á trong nửa đầu năm 2025, tăng 70% so với cùng kỳ năm trước. Malaysia đứng thứ hai trong khu vực này với 96.539 vụ.
Stephanie Liew cho rằng sự lan rộng của spyware thương mại mới là mối lo lớn hơn, với DarkSword là bộ công cụ gián điệp di động thứ hai được phát hiện vài tuần gần đây sau Coruna.
Bà cảnh báo rằng những spyware như vậy có thể nhanh chóng chuyển từ việc theo dõi có mục tiêu sang bị sử dụng rộng rãi trong hoạt động tội phạm, khi “việc tiếp cận các công cụ hack điện thoại có sức mạnh tương đương cấp độ quân sự ngày càng trở nên dễ dàng hơn”.
Cơ quan quản lý truyền thông Malaysia đã kêu gọi người dùng Apple cập nhật iPhone, cảnh báo rằng những máy chưa vá lỗi có thể bị truy cập trái phép, cài spyware và đánh cắp dữ liệu nhạy cảm.
Ủy ban Truyền thông và Đa phương tiện Malaysia cho biết Apple đã phát hành bản vá bảo mật quan trọng để xử lý các lỗ hổng có thể làm tổn hại iPhone.
“Người dùng được khuyến nghị cập nhật iPhone lên phiên bản iOS mới nhất để đảm bảo được bảo vệ”, cơ quan này cho biết.
Apple nhấn mạnh rằng các bản cập nhật phần mềm là yếu tố then chốt để bảo vệ dữ liệu và thông tin lưu trữ trên iPhone. Theo Apple, những người dùng luôn cập nhật iPhone sẽ được bảo vệ.
“Chúng tôi đã điều tra kỹ lưỡng các vấn đề ngay khi phát hiện và phát hành bản cập nhật phần mềm sớm nhất có thể cho các phiên bản hệ điều hành mới nhất nhằm khắc phục lỗ hổng và ngăn chặn các cuộc tấn công như vậy”, công ty Mỹ cho hay.
“Đông Nam Á đang trở thành mục tiêu bị nhắm đến”
Theo các tổ chức bảo vệ quyền, spyware mới cho thấy những công cụ tấn công điện thoại mạnh mẽ đang không còn chỉ phục vụ hoạt động gián điệp cấp cao, mà lan sang thị trường giám sát rộng lớn hơn. Trong đó, các cơ quan truyền thông, tổ chức xã hội dân sự, cơ quan chính phủ và doanh nghiệp - những nơi lưu trữ nhiều dữ liệu nhạy cảm – là đối tượng dễ bị tấn công nhất.
Wathshlah Naidu - Giám đốc điều hành Trung tâm Báo chí Độc lập - cho biết, các nhà báo và tổ chức nhân quyền đặc biệt dễ bị tổn thương vì ĐTDĐ của họ thường chứa tài liệu cực kỳ nhạy cảm, gồm cả nguồn thông tin và liên lạc riêng tư.
“Rủi ro bị lộ thông tin là cực kỳ cao vì phần mềm độc hại có thể trích xuất tin nhắn, file, bản ghi âm và dữ liệu liên quan đến tài khoản”, bà nói, đồng thời cho biết các cuộc tấn công watering hole đặc biệt khó phòng thủ vì dựa vào những trang web vốn đã được mục tiêu tin tưởng.
Tuy nhiên, Khairil Yusof - đồng sáng lập Sinar Project - kêu gọi không nên phóng đại phạm vi mối đe dọa. Ông lưu ý rằng chiến dịch này nhắm vào các iPhone cũ chưa được cập nhật và smartphone của Apple chỉ chiếm một phần thị trường di động tại Malaysia.
Sinar Project là sáng kiến công nghệ dân sự tại Malaysia tập trung vào quyền số, quyền riêng tư và công nghệ vì lợi ích công.
“Riêng cuộc tấn công này đòi hỏi nhiều lỗ hổng kết hợp, nhắm vào các iPhone cũ chưa cập nhật”, ông nói, đồng thời cho rằng với một số nhà hoạt động và nhà báo tại Malaysia, các hình thức giám sát trực tiếp hoặc áp lực thực thi pháp luật có thể vẫn là mối đe dọa trước mắt hơn.
Với Stephanie Liew, DarkSword là lời cảnh báo rằng thị trường spyware đang mở rộng và Đông Nam Á không là ngoại lệ.
“Các tác nhân nhà nước và tội phạm đang chia sẻ những bộ công cụ hack một cách tự do, mã nguồn được công khai rộng rãi và Đông Nam Á đang trở thành mục tiêu bị nhắm đến rõ ràng”, bà nhấn mạnh.
