Tác nhân đe dọa mạng Sandworm, có liên kết với Nga, đã tăng cường các chiến dịch mạng phá hoại chống lại các tổ chức Ukraine. Mục tiêu chính là triển khai phần mềm độc hại xóa dữ liệu (data wiper malware) nhằm làm tê liệt cơ sở hạ tầng trọng yếu và làm suy yếu nền kinh tế quốc gia. Khác với các nhóm APT liên kết với Nga khác chủ yếu tập trung vào hoạt động gián điệp mạng, các hoạt động của Sandworm được đặc trưng bởi ý định phá hoại rõ ràng.

Mục tiêu và Chiến thuật Đe dọa của Sandworm

Theo Báo cáo Hoạt động APT mới nhất của ESET, giai đoạn Q2 2025 đến Q3 2025, nhóm tin tặc khét tiếng này đã thực hiện các cuộc tấn công có chủ đích vào các cơ quan chính phủ, công ty năng lượng, nhà cung cấp dịch vụ logistics, và đặc biệt là ngành ngũ cốc. Các cuộc tấn công này sử dụng các phần mềm xóa dữ liệu tinh vi được xác định là ZEROLOT và Sting.

Việc nhóm Sandworm tập trung vào việc phá hủy dữ liệu thay vì thu thập thông tin tình báo nhấn mạnh mục tiêu chiến lược là gây ra sự gián đoạn tối đa cho năng lực kinh tế và hoạt động của Ukraine trong bối cảnh xung đột đang diễn ra.

Phần mềm Xóa Dữ liệu ZEROLOT và Sting

Các phần mềm xóa dữ liệu được Sandworm triển khai đại diện cho một sự leo thang đáng kể trong các chiến thuật chiến tranh mạng. ZEROLOT và Sting được thiết kế rõ ràng để phá hủy dữ liệu một cách không thể phục hồi trên các hệ thống bị xâm nhập, khiến chúng không thể hoạt động được và gây ra sự gián đoạn hoạt động đáng kể cho các tổ chức mục tiêu.

Các họ mã độc này hoạt động bằng cách ghi đè lên các tệp quan trọng và dữ liệu hệ thống, khiến việc khôi phục trở nên cực kỳ khó khăn hoặc không thể thực hiện được nếu không có hệ thống sao lưu toàn diện. Việc triển khai các phần mềm xóa này cho thấy năng lực hoạt động tinh vi của Sandworm và phương pháp tiếp cận chiến lược của chúng đối với chiến tranh mạng. Thay vì duy trì quyền truy cập liên tục để gián điệp lâu dài, nhóm ưu tiên gây ra thiệt hại nghiêm trọng ngay lập tức cho các hệ thống trọng yếu.

Tác động Chiến lược và Rủi ro Kinh tế

Chiến lược nhắm mục tiêu của Sandworm cho thấy một cách tiếp cận được tính toán nhằm làm suy yếu sự ổn định kinh tế và khả năng phục hồi hoạt động của Ukraine. Các cuộc tấn công vào các cơ quan chính phủ đe dọa các dịch vụ công thiết yếu và chức năng hành chính. Trong khi đó, việc xâm nhập vào các lĩnh vực năng lượng và logistics có thể lan rộng thành sự gián đoạn kinh tế lớn hơn, ảnh hưởng đến hàng triệu công dân.

Sự tập trung đặc biệt của nhóm vào ngành ngũ cốc thể hiện một nỗ lực chiến lược nhằm nhắm mục tiêu vào một trong những tài sản kinh tế quan trọng nhất của Ukraine. Là một nhà xuất khẩu ngũ cốc lớn toàn cầu, sự gián đoạn đối với ngành nông nghiệp của Ukraine có những tác động sâu rộng không chỉ đối với nền kinh tế quốc gia mà còn đối với an ninh lương thực toàn cầu.

Bằng cách triển khai các phần mềm xóa dữ liệu chống lại các tổ chức thuộc ngành ngũ cốc, Sandworm nhằm mục đích gây bất ổn chuỗi cung ứng, làm gián đoạn khả năng xuất khẩu và gây ra thiệt hại kinh tế vượt ra ngoài biên giới Ukraine.

Bối cảnh Rộng lớn của các Hoạt động Tấn công Mạng

Các hoạt động của Sandworm diễn ra trong bối cảnh rộng lớn hơn về các hoạt động mạng tăng cường của các nhóm liên kết với Nga. Trong khi Sandworm tập trung vào các cuộc tấn công phá hoại, các nhóm khác như Gamaredon đã duy trì các hoạt động gián điệp mạng cường độ cao chống lại Ukraine. Spearphishing vẫn là phương pháp chính để xâm nhập ban đầu trên các tác nhân đe dọa này.

Báo cáo của ESET cũng ghi nhận sự gia tăng hoạt động chưa từng có của Gamaredon, bao gồm một trường hợp hợp tác hiếm hoi giữa các nhóm APT liên kết với Nga khi Gamaredon triển khai có chọn lọc một trong những backdoor của Turla. Sự hợp tác này làm nổi bật tính chất ngày càng tinh vi và phối hợp của các mối đe dọa mạng do nhà nước tài trợ nhắm vào Ukraine.

Thông tin chi tiết về các hoạt động này có thể được tìm thấy trong Báo cáo Hoạt động APT của ESET, giai đoạn Q2 2025 đến Q3 2025: ESET APT Activity Report Q2-Q3 2025.

Khuyến nghị về An ninh Mạng cho Tổ chức

Khi các nhóm này tiếp tục mở rộng hoạt động sang các thực thể châu Âu và các quốc gia có quan hệ chiến lược với Ukraine, các tổ chức phải duy trì các tư thế an ninh mạng mạnh mẽ, thực hiện các chiến lược sao lưu toàn diện và luôn cảnh giác trước các mối đe dọa phần mềm độc hại xóa dữ liệu đang phát triển. Những mối đe dọa này có thể gây ra thiệt hại không thể phục hồi trong vài phút sau khi được triển khai.