-
09/04/2020
-
125
-
1.582 bài viết
Lộ diện nhóm gián điệp mạng châu Á tấn công 70 cơ quan chính phủ toàn cầu
Ít nhất 70 tổ chức chính phủ và hạ tầng trọng yếu đã trở thành mục tiêu trong chiến dịch xâm nhập kéo dài một năm của một nhóm gián điệp mạng châu Á. Palo Alto Networks nhận định đây là nhóm tấn công có động cơ nhà nước, sử dụng các kỹ thuật tinh vi để nhắm vào các yết hầu về chính trị và hạ tầng kỹ thuật. Quy mô nhắm tới diện rộng cho thấy tham vọng của nhóm này trong việc kiểm soát thông tin tại các cơ quan đầu não.
Báo cáo của nhóm nghiên cứu Unit 42 cho biết, trong giai đoạn từ tháng 11 đến tháng 12 năm 2025, tác nhân đe dọa này còn mở rộng hoạt động trinh sát trên quy mô lớn, nhắm vào hạ tầng chính phủ của 155 quốc gia. Các nạn nhân bị xâm nhập thành công bao gồm nhiều cơ quan nhạy cảm, như lực lượng thực thi pháp luật và kiểm soát biên giới cấp quốc gia, bộ tài chính, cùng các bộ ngành liên quan đến kinh tế, thương mại, tài nguyên và ngoại giao.
Unit 42 đang theo dõi hoạt động của nhóm dưới định danh TGR-STA-1030, một tác nhân đe dọa mới nổi với phạm vi hoạt động rộng. Phân tích cho thấy nhóm đã tiến hành các chiến dịch xâm nhập liên tục từ tháng 1 năm 2024. Dù chưa xác định rõ quốc gia đứng sau, Palo Alto Networks đánh giá nhóm này có nguồn gốc từ châu Á. Nhận định được đưa ra dựa trên việc sử dụng các công cụ và dịch vụ mang tính khu vực, cấu hình ngôn ngữ, khung thời gian hoạt động trùng với múi giờ GMT+8, cùng danh sách mục tiêu phù hợp với các ưu tiên chiến lược và tình báo trong khu vực.
Theo Palo Alto Networks, kẻ tấn công đã truy cập trái phép vào các máy chủ email của nạn nhân và đánh cắp lượng lớn dữ liệu nhạy cảm. Thông tin bị thu thập bao gồm nội dung đàm phán tài chính, hợp đồng kinh tế, dữ liệu tài khoản ngân hàng và các cập nhật vận hành liên quan đến lĩnh vực quân sự.
Chuỗi tấn công của nhóm thường bắt đầu bằng các chiến dịch phishing có chủ đích. Nạn nhân bị dẫn dụ nhấp vào liên kết trỏ tới dịch vụ lưu trữ tệp MEGA, từ đó tải về một tệp ZIP chứa Diaoyu Loader cùng một tệp PNG rỗng có tên “pic1.png”, được sử dụng như một cơ chế kiểm tra môi trường trước khi mã độc kích hoạt.
Diaoyu Loader được thiết kế với cơ chế né tránh phân tích nhiều lớp. Mẫu mã độc chỉ thực thi khi đáp ứng đồng thời yêu cầu về độ phân giải màn hình ngang tối thiểu 1440 pixel và sự hiện diện của tệp “pic1.png” trong cùng thư mục. Nếu điều kiện không được đáp ứng, mã độc sẽ tự động dừng hoạt động, qua đó né tránh các môi trường phân tích sandbox tiêu chuẩn.
Các quốc gia bị TGR-STA-1030 nhắm tới trong hoạt động trinh sát từ tháng 11 đến tháng 12 năm 2025
Sau khi vượt qua bước kiểm tra ban đầu, loader tiếp tục dò tìm sự tồn tại của một số phần mềm bảo mật cụ thể, bao gồm Avira, Bitdefender, Kaspersky, SentinelOne và Symantec. Mục tiêu cuối cùng của loader là tải xuống ba tệp hình ảnh “admin-bar-sprite.png”, “Linux.jpg” và “Windows.jpg” từ một kho lưu trữ GitHub. Các tệp này được sử dụng làm kênh trung gian để triển khai payload Cobalt Strike. Kho lưu trữ liên quan hiện đã bị gỡ bỏ.
Song song với các chiến dịch phishing, TGR-STA-1030 còn tìm cách khai thác các lỗ hổng N-day trong nhiều sản phẩm phổ biến như Microsoft, SAP, Atlassian, Ruijie Networks, Commvault và hệ thống email Eyou nhằm giành quyền truy cập ban đầu. Palo Alto Networks cho biết chưa phát hiện bằng chứng nhóm sử dụng lỗ hổng zero-day trong các chiến dịch đã phân tích.
Để duy trì sự hiện diện lâu dài trong hệ thống nạn nhân, TGR-STA-1030 triển khai hàng loạt framework điều khiển và kiểm soát như Cobalt Strike, VShell, Havoc, Sliver và SparkRAT, kết hợp với các web shell Behinder, neo-reGeorg và Godzilla. Đây là tập hợp công cụ thường xuyên được ghi nhận trong các chiến dịch gián điệp mạng có dấu hiệu liên hệ Trung Quốc. Cùng với đó, nhóm sử dụng các công cụ tạo đường hầm như GOST, FRPS và IOX nhằm che giấu và chuyển tiếp lưu lượng điều khiển.
Đáng chú ý, Unit 42 còn phát hiện nhóm triển khai một rootkit nhân Linux có tên ShadowGuard. Rootkit này tận dụng công nghệ eBPF để che giấu tiến trình, can thiệp vào các system call quan trọng, né tránh các công cụ giám sát không gian người dùng và ẩn các thư mục, tệp tin phục vụ hoạt động bí mật.
Về hạ tầng vận hành, Palo Alto Networks cho biết TGR-STA-1030 thường thuê máy chủ từ các nhà cung cấp VPS hợp pháp, sau đó thiết lập thêm các lớp trung gian để chuyển tiếp lưu lượng truy cập nhằm làm mờ dấu vết và gây khó khăn cho hoạt động truy vết. Trong nhiều trường hợp, nhóm duy trì quyền truy cập vào hệ thống nạn nhân trong nhiều tháng, phản ánh mục tiêu thu thập tình báo dài hạn thay vì tấn công phá hoại tức thời.
Palo Alto Networks cảnh báo TGR-STA-1030 vẫn là mối đe dọa nghiêm trọng đối với các cơ quan chính phủ và hạ tầng trọng yếu trên toàn cầu. Nhóm được đánh giá ưu tiên nhắm vào các quốc gia có vai trò trong những quan hệ và sáng kiến kinh tế quan trọng, đặt ra rủi ro lâu dài đối với an ninh quốc gia và sự ổn định của các hệ thống thiết yếu.
Song song với các chiến dịch phishing, TGR-STA-1030 còn tìm cách khai thác các lỗ hổng N-day trong nhiều sản phẩm phổ biến như Microsoft, SAP, Atlassian, Ruijie Networks, Commvault và hệ thống email Eyou nhằm giành quyền truy cập ban đầu. Palo Alto Networks cho biết chưa phát hiện bằng chứng nhóm sử dụng lỗ hổng zero-day trong các chiến dịch đã phân tích.
Để duy trì sự hiện diện lâu dài trong hệ thống nạn nhân, TGR-STA-1030 triển khai hàng loạt framework điều khiển và kiểm soát như Cobalt Strike, VShell, Havoc, Sliver và SparkRAT, kết hợp với các web shell Behinder, neo-reGeorg và Godzilla. Đây là tập hợp công cụ thường xuyên được ghi nhận trong các chiến dịch gián điệp mạng có dấu hiệu liên hệ Trung Quốc. Cùng với đó, nhóm sử dụng các công cụ tạo đường hầm như GOST, FRPS và IOX nhằm che giấu và chuyển tiếp lưu lượng điều khiển.
Đáng chú ý, Unit 42 còn phát hiện nhóm triển khai một rootkit nhân Linux có tên ShadowGuard. Rootkit này tận dụng công nghệ eBPF để che giấu tiến trình, can thiệp vào các system call quan trọng, né tránh các công cụ giám sát không gian người dùng và ẩn các thư mục, tệp tin phục vụ hoạt động bí mật.
Về hạ tầng vận hành, Palo Alto Networks cho biết TGR-STA-1030 thường thuê máy chủ từ các nhà cung cấp VPS hợp pháp, sau đó thiết lập thêm các lớp trung gian để chuyển tiếp lưu lượng truy cập nhằm làm mờ dấu vết và gây khó khăn cho hoạt động truy vết. Trong nhiều trường hợp, nhóm duy trì quyền truy cập vào hệ thống nạn nhân trong nhiều tháng, phản ánh mục tiêu thu thập tình báo dài hạn thay vì tấn công phá hoại tức thời.
Palo Alto Networks cảnh báo TGR-STA-1030 vẫn là mối đe dọa nghiêm trọng đối với các cơ quan chính phủ và hạ tầng trọng yếu trên toàn cầu. Nhóm được đánh giá ưu tiên nhắm vào các quốc gia có vai trò trong những quan hệ và sáng kiến kinh tế quan trọng, đặt ra rủi ro lâu dài đối với an ninh quốc gia và sự ổn định của các hệ thống thiết yếu.
Theo The Hacker News
Chỉnh sửa lần cuối: