Các thực thể Ukraine đã trở thành mục tiêu của một chiến dịch mới, nhiều khả năng được dàn dựng bởi các tác nhân đe dọa có liên hệ với Nga, theo báo cáo từ nhóm tình báo mối đe dọa LAB52 của S2 Grupo.
Chiến dịch này, được phát hiện vào tháng 2 năm 2026, được đánh giá là có những điểm trùng lặp với một chiến dịch trước đó do Laundry Bear (hay còn gọi là UAC-0190 hoặc Void Blizzard) thực hiện nhằm vào lực lượng quốc phòng Ukraine bằng một họ mã độc mang tên PLUGGYAPE.
Hoạt động tấn công "sử dụng nhiều mồi nhử liên quan đến chủ đề tư pháp và từ thiện để triển khai một JavaScript‑based backdoor chạy qua trình duyệt Edge", công ty an ninh mạng cho biết. Với tên mã DRILLAPP, mã độc này có khả năng tải lên và tải xuống các tệp, sử dụng micro và chụp ảnh qua webcam bằng cách tận dụng các tính năng của trình duyệt web.
Hai phiên bản khác nhau của chiến dịch đã được xác định, với lần lặp đầu tiên được phát hiện vào đầu tháng 2 bằng cách sử dụng tệp Windows shortcut (LNK) để tạo một HTML Application (HTA) trong thư mục tạm thời, sau đó tải một script từ xa được lưu trữ trên Pastefy, một dịch vụ dán mã hợp pháp.
Để thiết lập tính dai dẳng (persistence), các tệp LNK được sao chép vào thư mục Windows Startup để chúng tự động khởi chạy sau khi hệ thống khởi động lại. Chuỗi tấn công sau đó hiển thị một URL chứa các mồi nhử liên quan đến việc cài đặt Starlink hoặc một tổ chức từ thiện của Ukraine có tên Come Back Alive Foundation.
Tệp HTML cuối cùng được thực thi thông qua trình duyệt Microsoft Edge ở headless mode, sau đó tải script đã bị làm rối (obfuscated) từ xa được lưu trữ trên Pastefy.
Trình duyệt được thực thi với các tham số bổ sung như –no-sandbox, –disable-web-security, –allow-file-access-from-files, –use-fake-ui-for-media-stream, –auto-select-screen-capture-source=true và –disable-user-media-security, cấp cho nó quyền truy cập vào hệ thống tệp cục bộ, cũng như camera, micro và khả năng chụp màn hình mà không cần bất kỳ tương tác nào của người dùng.
Về cơ bản, artifact này hoạt động như một backdoor hạng nhẹ để tạo điều kiện truy cập hệ thống tệp và thu âm thanh từ micro, video từ camera cũng như hình ảnh màn hình của thiết bị, tất cả đều thông qua trình duyệt. Nó cũng tạo ra một dấu vân tay thiết bị (device fingerprint) bằng kỹ thuật canvas fingerprinting khi chạy lần đầu tiên và sử dụng Pastefy làm dead drop resolver để lấy một WebSocket URL dùng cho liên lạc command‑and‑control (C2).
Mã độc này truyền dữ liệu device fingerprint cùng với quốc gia của nạn nhân, được xác định từ múi giờ của máy. Nó đặc biệt kiểm tra xem các múi giờ có tương ứng với Vương quốc Anh, Nga, Đức, Pháp, Trung Quốc, Nhật Bản, Hoa Kỳ, Brazil, Ấn Độ, Ukraine, Canada, Úc, Ý, Tây Ban Nha và Ba Lan hay không. Nếu không, nó sẽ mặc định là Hoa Kỳ.
Phiên bản thứ hai của chiến dịch, được phát hiện vào cuối tháng 2 năm 2026, đã bỏ qua các tệp LNK để sử dụng các module Windows Control Panel, đồng thời giữ nguyên trình tự lây nhiễm. Một thay đổi đáng chú ý khác liên quan đến chính backdoor, hiện đã được nâng cấp để cho phép liệt kê tệp đệ quy (recursive file enumeration), tải lên tệp hàng loạt (batch file uploads) và tải xuống tệp tùy ý (arbitrary file download).
"Vì lý do bảo mật, JavaScript không cho phép tải xuống tệp từ xa," LAB52 cho biết. "Đây là lý do tại sao những kẻ tấn công sử dụng Chrome DevTools Protocol (CDP), một giao thức nội bộ của các trình duyệt dựa trên Chromium mà chỉ có thể được sử dụng khi tham số –remote-debugging-port được bật."
Người ta tin rằng backdoor này vẫn đang trong giai đoạn phát triển ban đầu. Một biến thể sớm của mã độc được phát hiện trong tự nhiên vào ngày 28 tháng 1 năm 2026, đã được quan sát chỉ liên lạc với miền "gnome[.]com" thay vì tải payload chính từ Pastefy.
"Một trong những khía cạnh đáng chú ý nhất là việc sử dụng trình duyệt để triển khai một backdoor, điều này cho thấy những kẻ tấn công đang khám phá những cách mới để lẩn tránh sự phát hiện," nhà cung cấp bảo mật Tây Ban Nha cho biết.
"Trình duyệt có lợi cho loại hoạt động này vì nó là một tiến trình phổ biến và thường không gây nghi ngờ, nó cung cấp các khả năng mở rộng có thể truy cập thông qua các tham số gỡ lỗi cho phép các hành động không an toàn như tải xuống tệp từ xa, và nó cung cấp quyền truy cập hợp pháp vào các tài nguyên nhạy cảm như micro, camera hoặc ghi màn hình mà không gây ra cảnh báo ngay lập tức."
