Một tác nhân đe dọa có liên hệ với Trung Quốc, được biết đến là APT24, đã bị phát hiện sử dụng một loại malware chưa từng được ghi nhận trước đây có tên BADAUDIO để thiết lập quyền truy cập từ xa liên tục vào các mạng bị xâm nhập, nằm trong một chiến dịch kéo dài gần ba năm.
"Trong khi các hoạt động trước đây dựa vào các vụ xâm nhập web chiến lược diện rộng để xâm phạm các trang web hợp pháp, APT24 gần đây đã chuyển sang sử dụng các phương thức tinh vi hơn nhắm vào các tổ chức ở Đài Loan," các nhà nghiên cứu Harsh Parashar, Tierra Duncan, và Dan Perez thuộc Google Threat Intelligence Group (GTIG) cho biết.
"Điều này bao gồm việc liên tục xâm nhập một công ty tiếp thị kỹ thuật số khu vực để thực hiện các cuộc tấn công supply chain và sử dụng các chiến dịch phishing có mục tiêu."
APT24, còn được gọi là Pitty Tiger, là tên gọi được gán cho một nhóm hacker bị nghi ngờ có liên hệ với Trung Quốc đã nhắm mục tiêu vào các lĩnh vực chính phủ, y tế, xây dựng và kỹ thuật, khai thác mỏ, phi lợi nhuận và viễn thông tại Hoa Kỳ và Đài Loan.
Theo báo cáo tháng 7 năm 2014 từ FireEye, đối tượng này được cho là đã hoạt động từ đầu năm 2008, với các cuộc tấn công sử dụng email phishing để lừa người nhận mở tài liệu Microsoft Office, từ đó khai thác các lỗ hổng bảo mật đã biết trong phần mềm (ví dụ: CVE-2012-0158 và CVE-2014-1761) để lây nhiễm malware vào hệ thống.
Một số họ malware liên quan đến APT24 bao gồm CT RAT, một biến thể của Enfal/Lurid Downloader được gọi là MM RAT (còn gọi là Goldsun-B), và các biến thể của Gh0st RAT được biết đến là Paladin RAT và Leo RAT. Một malware đáng chú ý khác được tác nhân đe dọa này sử dụng là một backdoor có tên Taidoor (còn gọi là Roudan).
APT24 được đánh giá có liên quan chặt chẽ với một nhóm advanced persistent threat (APT) khác có tên Earth Aughisky, nhóm này cũng đã triển khai Taidoor trong các chiến dịch của mình và đã tận dụng hạ tầng trước đây được gán cho APT24 như một phần của các cuộc tấn công phân phối một backdoor khác được gọi là Specas.
Cả hai chủng malware này, theo một báo cáo tháng 10 năm 2022 từ Trend Micro, được thiết kế để đọc cài đặt proxy từ một tệp cụ thể "%systemroot%\system32\sprxx.dll."
Các phát hiện mới nhất từ GTIG cho thấy chiến dịch BADAUDIO đã diễn ra từ tháng 11 năm 2022, với các kẻ tấn công sử dụng watering holes, supply chain compromises và spear-phishing làm vector truy cập ban đầu.
BADAUDIO là một malware được viết bằng C++ bị obfuscated cao độ, sử dụng control flow flattening để chống lại reverse engineering và hoạt động như một downloader giai đoạn đầu có khả năng tải xuống, giải mã và thực thi một payload được mã hóa AES từ một C2 server được mã hóa cứng. Nó hoạt động bằng cách thu thập và exfiltrate thông tin hệ thống cơ bản đến server, sau đó server phản hồi với payload để chạy trên host. Trong một trường hợp, đó là một Cobalt Strike Beacon.
"BADAUDIO thường xuất hiện dưới dạng một Dynamic Link Library (DLL) độc hại, lợi dụng DLL Search Order Hijacking (MITRE ATT&CK T1574.001) để thực thi thông qua các ứng dụng hợp pháp," GTIG cho biết. "Các biến thể gần đây cho thấy một chuỗi thực thi tinh vi hơn: các kho lưu trữ được mã hóa chứa các DLL của BADAUDIO cùng với các tệp VBS, BAT và LNK."
Từ tháng 11 năm 2022 đến ít nhất đầu tháng 9 năm 2025, APT24 ước tính đã xâm nhập hơn 20 trang web hợp pháp để chèn mã JavaScript độc hại nhằm loại trừ cụ thể khách truy cập từ macOS, iOS và Android, tạo dấu vân tay trình duyệt độc đáo bằng thư viện FingerprintJS, và hiển thị một pop-up giả mạo yêu cầu họ tải xuống BADAUDIO dưới vỏ bọc một bản cập nhật Google Chrome.
Sau đó, bắt đầu từ tháng 7 năm 2024, nhóm hacker đã xâm nhập một công ty tiếp thị kỹ thuật số khu vực tại Đài Loan để dàn dựng một cuộc tấn công supply chain bằng cách chèn JavaScript độc hại vào một thư viện JavaScript được công ty phân phối rộng rãi, từ đó chiếm đoạt hơn 1.000 tên miền.
Đoạn script của bên thứ ba đã được sửa đổi được cấu hình để kết nối với một domain bị typosquatted giả mạo một Content Delivery Network (CDN) hợp pháp và lấy JavaScript do kẻ tấn công kiểm soát để fingerprint máy tính, sau đó hiển thị pop-up để tải xuống BADAUDIO sau khi xác thực.
"Vụ xâm nhập vào tháng 6 năm 2025 ban đầu sử dụng conditional script loading dựa trên một ID web duy nhất (tên miền cụ thể) liên quan đến trang web sử dụng các script của bên thứ ba bị xâm phạm," Google cho biết. "Điều này cho thấy mục tiêu được điều chỉnh riêng, hạn chế strategic web compromise (MITRE ATT&CK T1189) vào một tên miền duy nhất."
"Tuy nhiên, trong khoảng thời gian mười ngày vào tháng 8, các điều kiện đã được tạm thời dỡ bỏ, cho phép tất cả 1.000 tên miền sử dụng các script bị xâm phạm trước khi hạn chế ban đầu được áp dụng trở lại."
APT24 cũng đã được quan sát tiến hành các cuộc tấn công phishing có mục tiêu kể từ tháng 8 năm 2024, sử dụng các mồi nhử liên quan đến một tổ chức cứu hộ động vật để lừa người nhận phản hồi và cuối cùng phân phối BADAUDIO thông qua các kho lưu trữ được mã hóa được lưu trữ trên Google Drive và Microsoft OneDrive. Các tin nhắn này được trang bị tracking pixels để xác nhận liệu email có được mục tiêu mở hay không và điều chỉnh nỗ lực của chúng cho phù hợp.
"Việc sử dụng các kỹ thuật tiên tiến như supply chain compromise, multi-layered social engineering, và việc lạm dụng các dịch vụ cloud hợp pháp cho thấy khả năng gián điệp bền bỉ và thích ứng của tác nhân này," Google cho biết.
Nhóm APT có liên hệ với Trung Quốc nhắm mục tiêu vào Đông Nam Á
Thông tin này được đưa ra khi CyberArmor đã trình bày chi tiết một chiến dịch gián điệp kéo dài được dàn dựng bởi một tác nhân đe dọa bị nghi ngờ có liên hệ với Trung Quốc nhằm vào các lĩnh vực chính phủ, truyền thông và tin tức ở Lào, Campuchia, Singapore, Philippines và Indonesia. Hoạt động này đã được đặt tên mã là Autumn Dragon.
Chuỗi tấn công bắt đầu bằng một RAR archive có khả năng được gửi dưới dạng tệp đính kèm trong các tin nhắn spear-phishing mà khi được giải nén, sẽ khai thác một lỗ hổng bảo mật của WinRAR (CVE-2025-8088, CVSS score: 8.8) để khởi chạy một batch script ("Windows Defender Definition Update.cmd") thiết lập persistence để đảm bảo malware được khởi chạy tự động khi người dùng đăng nhập vào hệ thống lần sau.
Nó cũng tải xuống một RAR archive thứ hai được lưu trữ trên Dropbox qua PowerShell. RAR archive này chứa hai tệp, một legitimate executable ("obs-browser-page.exe") và một malicious DLL ("libcef.dll"). Batch script sau đó chạy binary để sideload DLL, sau đó giao tiếp với tác nhân đe dọa qua Telegram để lấy commands ("shell"), chụp screenshots ("screenshot") và thả additional payloads ("upload").
"Bot controller (tác nhân đe dọa) sử dụng ba lệnh này để thu thập thông tin và thực hiện reconnaissance máy tính nạn nhân và triển khai third-stage malware," các nhà nghiên cứu bảo mật Nguyen Nguyen và BartBlaze cho biết. "Thiết kế này cho phép controller duy trì stealthy và tránh bị phát hiện."
Giai đoạn thứ ba một lần nữa liên quan đến việc sử dụng DLL side-loading để khởi chạy một rogue DLL ("CRClient.dll") bằng cách sử dụng một real binary ("Creative Cloud Helper.exe"), sau đó giải mã và chạy shellcode chịu trách nhiệm tải và thực thi payload cuối cùng, một implant nhẹ được viết bằng C++ có thể giao tiếp với một remote server ("public.megadatacloud[.]com") và hỗ trợ tám lệnh khác nhau -
- 65, để chạy một command được chỉ định bằng "cmd.exe," thu thập kết quả và exfiltrate nó trở lại C2 server
- 66, để load và execute một DLL
- 67, để execute shellcode
- 68, để update configuration
- 70, để read một file được cung cấp bởi operator
- 71, để open một file và write nội dung được cung cấp bởi operator
- 72, để get/set current directory
- 73, để sleep trong một khoảng thời gian ngẫu nhiên và terminate bản thân
Trong khi hoạt động này chưa được gắn với một tác nhân đe dọa hoặc nhóm cụ thể, nó có thể là công việc của một nhóm có liên hệ với Trung Quốc sở hữu khả năng vận hành trung cấp. Đánh giá này dựa trên việc đối tượng tiếp tục nhắm mục tiêu vào các quốc gia xung quanh Biển Đông.
"Chiến dịch tấn công có mục tiêu," các nhà nghiên cứu cho biết. "Trong suốt quá trình phân tích của chúng tôi, chúng tôi thường xuyên quan sát các giai đoạn tiếp theo được lưu trữ phía sau Cloudflare, với geo-restrictions được bật, cũng như các hạn chế khác như chỉ cho phép các HTTP User Agents cụ thể."
