Văn phòng Liên bang Bảo vệ Hiến pháp Đức (Bundesamt für Verfassungsschutz hay BfV) và Văn phòng Liên bang về An toàn Thông tin (BSI) đã cùng đưa ra cảnh báo về một chiến dịch tấn công mạng độc hại, khả năng cao được thực hiện bởi một nhóm tấn công do nhà nước bảo trợ, liên quan đến các cuộc tấn công lừa đảo (phishing) qua ứng dụng nhắn tin Signal.
"Trọng tâm là các mục tiêu cấp cao trong chính trị, quân đội và ngoại giao, cũng như các nhà báo điều tra ở Đức và Châu Âu," các cơ quan này cho biết. "Việc truy cập trái phép vào các tài khoản nhắn tin không chỉ cho phép truy cập vào các liên lạc riêng tư bí mật mà còn có khả năng làm tổn hại toàn bộ mạng lưới."
Một khía cạnh đáng chú ý của chiến dịch này là nó không liên quan đến việc phát tán malware hay khai thác bất kỳ lỗ hổng bảo mật nào trong nền tảng nhắn tin tập trung vào quyền riêng tư này. Thay vào đó, mục tiêu cuối cùng là vũ khí hóa các tính năng hợp pháp của nó để có được quyền truy cập bí mật vào các cuộc trò chuyện của nạn nhân, cùng với danh sách liên hệ của họ.
Chi tiết chuỗi tấn công
Chuỗi tấn công như sau: các tác nhân đe dọa giả mạo là "Signal Support" hoặc một chatbot hỗ trợ có tên "Signal Security ChatBot" để liên hệ trực tiếp với các mục tiêu tiềm năng, thúc giục họ cung cấp PIN hoặc mã xác minh nhận được qua SMS, hoặc có nguy cơ mất dữ liệu.
Nếu nạn nhân tuân thủ, kẻ tấn công có thể đăng ký tài khoản và truy cập vào hồ sơ, cài đặt, danh bạ và danh sách chặn của nạn nhân thông qua một thiết bị và số điện thoại di động dưới sự kiểm soát của chúng. Mặc dù PIN bị đánh cắp không cho phép truy cập vào các cuộc trò chuyện trước đây của nạn nhân, nhưng tác nhân đe dọa có thể sử dụng nó để chặn các tin nhắn đến và gửi tin nhắn giả mạo nạn nhân.
Người dùng mục tiêu, người lúc này đã mất quyền truy cập vào tài khoản của họ, sau đó được tác nhân đe dọa giả dạng chatbot hỗ trợ hướng dẫn đăng ký tài khoản mới.
Cũng tồn tại một chuỗi lây nhiễm thay thế lợi dụng tùy chọn liên kết thiết bị để lừa nạn nhân quét mã QR, từ đó cấp cho kẻ tấn công quyền truy cập vào tài khoản của nạn nhân, bao gồm các tin nhắn trong 45 ngày gần nhất, trên một thiết bị do chúng quản lý.
Tuy nhiên, trong trường hợp này, các cá nhân bị nhắm mục tiêu vẫn có quyền truy cập vào tài khoản của họ, ít nhận ra rằng các cuộc trò chuyện và danh sách liên hệ của họ hiện cũng đã bị lộ cho các tác nhân đe dọa.
Tấn công mở rộng và các nhóm liên quan
Các cơ quan an ninh cảnh báo rằng mặc dù trọng tâm hiện tại của chiến dịch dường như là Signal, nhưng cuộc tấn công cũng có thể mở rộng sang WhatsApp vì ứng dụng này cũng tích hợp các tính năng liên kết thiết bị và PIN tương tự như một phần của two-step verification.
"Việc truy cập thành công vào tài khoản nhắn tin không chỉ cho phép xem các liên lạc cá nhân bí mật mà còn có khả năng làm tổn hại toàn bộ mạng lưới thông qua các cuộc trò chuyện nhóm," BfV và BSI cho biết.
Mặc dù chưa rõ ai đứng đằng sau hoạt động này, nhưng các cuộc tấn công tương tự đã được thực hiện bởi nhiều nhóm tấn công liên quan đến Nga, được theo dõi là Star Blizzard, UNC5792 (hay UAC-0195), và UNC4221 (hay UAC-0185), theo các báo cáo từ Microsoft và Google Threat Intelligence Group vào đầu năm ngoái.
Vào tháng 12 năm 2025, Gen Digital cũng chi tiết một chiến dịch khác có tên mã GhostPairing, trong đó tội phạm mạng đã sử dụng tính năng liên kết thiết bị trên WhatsApp để chiếm quyền kiểm soát tài khoản nhằm giả mạo người dùng hoặc thực hiện hành vi lừa đảo.
Biện pháp phòng ngừa
Để tự bảo vệ khỏi mối đe dọa này, người dùng được khuyên không nên tương tác với các tài khoản hỗ trợ và không nhập PIN Signal của họ dưới dạng tin nhắn văn bản. Một biện pháp phòng thủ quan trọng là bật Registration Lock, tính năng này ngăn người dùng trái phép đăng ký số điện thoại trên một thiết bị khác. Cũng nên định kỳ xem lại danh sách các thiết bị được liên kết và xóa bất kỳ thiết bị lạ nào.
Các cảnh báo an ninh mạng khác
Sự phát triển này diễn ra khi chính phủ Na Uy cáo buộc các nhóm hacker được Trung Quốc hậu thuẫn, bao gồm Salt Typhoon, đã đột nhập vào một số tổ chức trong nước bằng cách khai thác các thiết bị mạng dễ bị tổn thương, đồng thời cũng chỉ trích Nga vì theo dõi chặt chẽ các mục tiêu quân sự và hoạt động của đồng minh, và Iran vì theo dõi những người bất đồng chính kiến.
Tuyên bố rằng các dịch vụ tình báo Trung Quốc cố gắng tuyển mộ công dân Na Uy để tiếp cận dữ liệu mật, Cơ quan An ninh Cảnh sát Na Uy (PST) lưu ý rằng các nguồn tin này sau đó được khuyến khích thiết lập mạng lưới "nguồn tin con người" của riêng họ bằng cách quảng cáo các vị trí bán thời gian trên các trang tìm việc hoặc tiếp cận họ qua LinkedIn.
Cơ quan này cũng cảnh báo rằng Trung Quốc đang "có hệ thống" khai thác các nỗ lực nghiên cứu và phát triển hợp tác để củng cố khả năng an ninh và tình báo của riêng mình. Đáng chú ý là luật pháp Trung Quốc yêu cầu các lỗ hổng phần mềm được các nhà nghiên cứu Trung Quốc xác định phải được báo cáo cho các cơ quan chức năng không muộn hơn hai ngày sau khi phát hiện.
"Các tác nhân đe dọa mạng của Iran làm tổn hại tài khoản email, hồ sơ mạng xã hội và máy tính cá nhân thuộc về những người bất đồng chính kiến để thu thập thông tin về họ và mạng lưới của họ," PST cho biết. "Các tác nhân này có khả năng tiên tiến và sẽ tiếp tục phát triển các phương pháp của họ để thực hiện các hoạt động ngày càng nhắm mục tiêu và xâm nhập hơn chống lại các cá nhân ở Na Uy."
Thông tin này được đưa ra sau một cảnh báo từ CERT Polska, đánh giá rằng một nhóm hacker do nhà nước Nga hậu thuẫn có tên Static Tundra có thể đứng đằng sau các cuộc tấn công mạng phối hợp nhắm vào hơn 30 trang trại gió và điện mặt trời, một công ty tư nhân trong lĩnh vực sản xuất, và một nhà máy nhiệt điện kết hợp (CHP) lớn cung cấp nhiệt cho gần nửa triệu khách hàng trong nước.
"Tại mỗi cơ sở bị ảnh hưởng, một thiết bị FortiGate đã hiện diện, đóng vai trò vừa là VPN concentrator vừa là firewall," họ cho biết. "Trong mọi trường hợp, giao diện VPN đã bị phơi bày ra internet và cho phép xác thực vào các tài khoản được định nghĩa trong cấu hình mà không có multi-factor authentication."
