Thời báo Epoch Times ngày 14/11/2025 đưa tin: Gần đây, công ty an ninh mạng Trung Quốc “Knownsec” (Biết Sáng tạo Vũ trụ – 知道創宇) bị tiết lộ đã xảy ra rò rỉ dữ liệu quy mô lớn, với hơn 12.000 tài liệu mật bị rò rỉ ra mạng công cộng. Nội dung rò rỉ bao gồm thông số kỹ thuật của các công cụ hacker, trojan truy cập từ xa đa nền tảng, danh sách mục tiêu giám sát toàn cầu và hồ sơ đánh cắp dữ liệu quy mô lớn, liên quan đến hơn 80 tổ chức tại hơn 20 quốc gia và khu vực.

Quy mô rò rỉ: Từ chương trình trojan đến công cụ tấn công phần cứng

Lô tài liệu này ban đầu xuất hiện trên nền tảng GitHub, sau đó bị xóa vì vi phạm điều khoản dịch vụ, nhưng đã gây chú ý rộng rãi trong giới an ninh mạng. Nền tảng tin tức an ninh mạng Cyber Press, tờ Technology News của Đài Loan và nhiều phương tiện truyền thông khác đã lần lượt đưa tin.

Theo tài liệu bị rò rỉ, Công ty TNHH Công nghệ Thông tin Knownsec Bắc Kinh (gọi tắt là “Knownsec”) đã phát triển các trojan truy cập từ xa (RAT) bao phủ nhiều hệ điều hành bao gồm Linux, Windows, macOS, iOS và Android, cho phép kẻ tấn công duy trì quyền truy cập lâu dài vào các loại cơ sở hạ tầng khác nhau.

Trong số đó, mã tấn công nhắm vào hệ thống Android có khả năng trích xuất một lượng lớn lịch sử tin nhắn từ các ứng dụng trò chuyện của Trung Quốc và Telegram, thực hiện giám sát có mục tiêu đối với các cá nhân và tổ chức cụ thể.

Nội dung rò rỉ cũng bao gồm các thông số kỹ thuật của công cụ tấn công dựa trên phần cứng. Một trong số đó là một bộ sạc dự phòng (pin sạc dự phòng) được thiết kế độc hại có thể bí mật đánh cắp dữ liệu từ hệ thống của nạn nhân. Vector tấn công chuỗi cung ứng này có khả năng vượt qua các biện pháp kiểm soát an ninh truyền thống dựa trên phần mềm, thiết lập quyền truy cập lâu dài vào các mục tiêu giá trị cao.

Các nhà phân tích an ninh mạng Mrxn và NetAskari sau khi phân tích các tài liệu bị rò rỉ đã phát hiện ra rằng ngày tháng mới nhất của tài liệu là năm 2023. Điều này cho thấy tài liệu có thể đã bị đánh cắp vào thời điểm đó, hoặc ai đó đã cố tình cắt bớt nội dung rò rỉ để giữ lại phần mới nhất. Cho đến nay, vẫn chưa rõ đây là hành vi trả thù của nhân viên bất mãn hay là một hành động có kế hoạch của hacker.

Đánh cắp dữ liệu: Hoạt động thu thập tình báo xuyên quốc gia quy mô đáng kinh ngạc

Cyber Press cho biết, các bảng tính chi tiết trong tài liệu bị rò rỉ đã ghi lại hơn 80 mục tiêu ở nước ngoài được cho là đã bị các nhà khai thác (operator) liên kết với Knownsec xâm nhập, quy mô đánh cắp dữ liệu là đáng kinh ngạc.

Những dữ liệu này bao gồm: 95GB hồ sơ nhập cư từ Ấn Độ, 3TB hồ sơ cuộc gọi từ nhà mạng viễn thông Hàn Quốc LG UPlus, 459GB dữ liệu quy hoạch đường bộ của Đài Loan, cũng như mật khẩu tài khoản Yahoo Đài Loan, dữ liệu tài khoản LinkedIn của Brazil, v.v. Những con số này cho thấy một hoạt động thu thập tình báo có hệ thống nhắm vào cơ sở hạ tầng quan trọng, mạng lưới viễn thông và cơ sở dữ liệu chính phủ của nhiều quốc gia.

Danh sách mục tiêu toàn cầu chỉ rõ đến hơn 20 quốc gia và khu vực, bao gồm Nhật Bản, Đài Loan, Việt Nam, Ấn Độ, Indonesia, Nigeria, Vương quốc Anh, v.v. Công ty an ninh StealthMole chỉ ra rằng Knownsec đã tham gia vào các hoạt động lập bản đồ cơ sở hạ tầng internet ở 28 quốc gia, và các hoạt động tình báo mạng của họ bao phủ khu vực Châu Á – Thái Bình Dương, Đông Nam Á, Châu Phi và Châu Âu.

Vào ngày 5 tháng 11, Knownsec đã đưa ra “Thông báo về tình hình”, xác nhận sự cố này có liên quan chặt chẽ đến việc hacker sử dụng ba lỗ hổng 0-day (zero-day) để xâm nhập vào hệ thống văn phòng làm việc trên đám mây (cloud desktop) của họ vào tháng 8 năm 2023. Ngoài việc bày tỏ lời xin lỗi, công ty cũng cố gắng giảm nhẹ tác động tiêu cực của vụ rò rỉ tài liệu lần này.

“Knownsec” bị Mỹ đưa vào danh sách trừng phạt thực thể

Theo thông tin công khai, Công ty Knownsec được thành lập vào năm 2007, có trụ sở tại Bắc Kinh, và sở hữu đội hacker “Phòng thí nghiệm 404”. Công ty này chiếm một vị trí quan trọng trong hệ sinh thái an ninh mạng của Trung Quốc, cung cấp dịch vụ cho các tổ chức tài chính, cơ quan chính phủ và các công ty internet lớn. Công ty này đã nhận được khoản đầu tư chiến lược lớn từ Tencent vào năm 2015 và có hơn 900 nhân viên tại Trung Quốc.

Năm 2022, Công ty Knownsec bị chính phủ Mỹ đưa vào danh sách trừng phạt thực thể (Entity List).

Ngoài việc vận hành công cụ tìm kiếm IoT (Internet vạn vật) nổi tiếng ZoomEye, Knownsec cũng là nhà thầu mạng chính cho quân đội và cơ quan tình báo của Đảng Cộng sản Trung Quốc (ĐCSTQ).

Ông Lại Kiến Bình (Lai Jianping), cựu luật sư Bắc Kinh và là Chủ tịch của Mặt trận Dân chủ Canada (FDC), nói với Đài truyền hình Tân Đường Nhân vào ngày 12 tháng 11: “(Knownsec) là một doanh nghiệp nhà nước do ĐCSTQ kiểm soát. Trên thực tế, một nhiệm vụ rất quan trọng của nó là tiến hành các cuộc tấn công hacker mạng vào các máy chủ và máy tính các loại của nước ngoài, đặc biệt là các nước phương Tây như Hoa Kỳ. Nó cho thế giới thấy rõ rằng ĐCSTQ đang không ngừng nỗ lực tấn công các nước phương Tây trên mọi phương diện, đánh cắp các loại bí mật thương mại, bí mật an ninh, bí mật quốc gia mà họ cần.”

Nhà bình luận thời sự Trịnh Hạo Xương (Zheng Haochang) chỉ ra: “Tài liệu bị rò rỉ đề cập đến một bộ sạc dự phòng được thiết kế tinh xảo, có khả năng bí mật tải lên và tải xuống dữ liệu vào hệ thống của nạn nhân. Loại công cụ được thiết kế đặc biệt để xâm nhập này giống như một chiếc nhíp dài chuyên dụng của một tên trộm chuyên nghiệp. Các nước phương Tây vẫn chưa đủ coi trọng phương diện này, vì vậy thường dễ bị trúng chiêu.”

Đây là một vụ rò rỉ dữ liệu lớn khác liên quan đến một công ty mạng có bối cảnh chính thức của ĐCSTQ, sau các vụ rò rỉ tài liệu nội bộ quy mô lớn liên tiếp của các nhà thầu mạng Trung Quốc là công ty An Tuân (I-Soon) và công ty Tích Chí (Geez). Do số lượng tài liệu bị rò rỉ từ Knownsec lần này là rất lớn, nên ảnh hưởng thực sự của nó vẫn cần thêm thời gian để đánh giá.

Các nhà thầu an ninh mạng Trung Quốc thường xuyên xảy ra sự cố rò rỉ

Vào tháng 2 năm 2024, một lượng lớn tài liệu nội bộ của Công ty TNHH Công nghệ Thông tin An Tuân (I-Soon) Thượng Hải bị nghi ngờ là do nhân viên công ty làm rò rỉ ra ngoài. Tài liệu này đã tiết lộ những bí mật nội bộ không ai biết của tổ chức hacker này, vốn chủ yếu phục vụ cho hệ thống công an, quân đội và các cơ quan chính phủ của ĐCSTQ.

Những tài liệu nội bộ bị rò rỉ của An Tuân này đã được đăng tải ẩn danh trên nền tảng phát triển phần mềm GitHub, và được nhà nghiên cứu an ninh Đài Loan An Phản Tinh Hải (Azaka Star) phát hiện và chia sẻ trên nền tảng truyền thông xã hội X (trước đây là Twitter).

Tài liệu rò rỉ của An Tuân tiết lộ rằng tổ chức hacker này đã tiến hành các cuộc tấn công và thâm nhập mạng quy mô lớn, lâu dài nhắm vào các cơ quan chính phủ ở Châu Á, Châu Âu và NATO, đồng thời cung cấp các công cụ hacker do họ phát triển hoặc cung cấp dữ liệu đánh cắp được theo yêu cầu cho các cơ quan công an, an ninh quốc gia, quân đội và các cơ quan chính phủ địa phương của ĐCSTQ. (Đọc thêm: Tài liệu rò rỉ của công ty An Tuân phơi bày cách ĐCSTQ thâm nhập Twitter)

Vào tháng 9 năm 2025, hơn 600GB tài liệu bí mật cốt lõi của Công ty TNHH Công nghệ Thông tin Tích Chí (Hải Nam) (Geez) đã bị rò rỉ ra công chúng, bao gồm mã nguồn hệ thống hoàn chỉnh, nhật ký công việc chi tiết, hồ sơ liên lạc nội bộ, cũng như các tài liệu dự án nhạy cảm hợp tác với chính phủ nước ngoài. Những tài liệu này có nguồn gốc trực tiếp từ công ty Tích Chí, cũng như phòng thí nghiệm MESA thuộc Phòng Nghiên cứu số 2 của Viện Kỹ thuật Thông tin thuộc Viện Khoa học Trung Quốc (CAS), cả hai tổ chức đều do Phương Bân Hưng (Fang Binxing) sáng lập.

Tài liệu bị rò rỉ tiết lộ “bố cục kép” của công nghệ “Trường Thành Lửa Vĩ Đại” (Great Firewall – GFW). Ở trong nước, các tổ chức kỹ thuật liên quan đã tùy chỉnh các hệ thống “tường lửa” cấp tỉnh cho nhiều tỉnh như Tân Cương, Giang Tô, Phúc Kiến, v.v., hình thành một hệ thống kiểm duyệt mạng đa tầng. Ở cấp độ quốc tế, dựa vào sáng kiến “Một vành đai, Một con đường”, công nghệ kiểm duyệt và giám sát mạng đã được triển khai ở các nước như Myanmar, Pakistan, Ethiopia, Kazakhstan, v.v.

Nhắm vào sự kiện rò rỉ bí mật của công ty Tích Chí, nhà nghiên cứu Thẩm Minh Thất thuộc Viện Nghiên cứu An ninh Quốc phòng Đài Loan (INDSR) nói với Thời báo Epoch Times rằng vụ rò rỉ tài liệu quy mô lớn lần này đã chứng thực rằng ĐCSTQ, ngoài việc xây dựng hệ thống tường lửa nội bộ, còn đang tích cực xuất khẩu công nghệ phong tỏa mạng cho các quốc gia độc tài thân thiện.

Ông chỉ ra rằng hệ thống công nghệ này có chức năng kép: vừa dùng để duy trì sự ổn định (an ninh) trong nước, vừa có thể dùng để tấn công mạng bên ngoài, tuyệt đối không phải là một dự án nghiên cứu khoa học đơn thuần. 

Theo Epoch Times