Một nhóm tác nhân đe dọa có liên kết với Trung Quốc đã bị phát hiện thực hiện một cuộc "xâm nhập nhiều đợt" nhắm vào một công ty dầu khí không tên tuổi của Azerbaijan từ cuối tháng 12 năm 2025 đến cuối tháng 2 năm 2026, đánh dấu sự mở rộng phạm vi mục tiêu của nhóm này.
Hoạt động này được Bitdefender quy trách nhiệm với độ tin cậy từ trung bình đến cao cho một nhóm hacker có tên là FamousSparrow (còn gọi là UAT-9244). Nhóm này có sự trùng lặp về chiến thuật với các cụm thực thể được theo dõi dưới tên gọi Earth Estries và Salt Typhoon.
Cuộc tấn công đã dọn đường cho việc triển khai hai loại backdoor riêng biệt qua ba đợt khác nhau: Deed RAT (còn gọi là Snappybee) – hậu duệ của ShadowPad vốn được nhiều nhóm gián điệp liên kết với Trung Quốc sử dụng, và TernDoor – mã độc gần đây được phát hiện trong các cuộc tấn công nhắm vào hạ tầng viễn thông tại Nam Mỹ từ năm 2024.
Khai thác lặp lại lỗ hổng Microsoft Exchange
Điều đáng chú ý trong chiến dịch này là những kẻ tấn công đã liên tục tận dụng cùng một điểm xâm nhập trên Microsoft Exchange Server vốn đã bị hổng, bất chấp nhiều nỗ lực khắc phục của doanh nghiệp. Chúng thay đổi các backdoor sau mỗi lần xâm nhập: Deed RAT vào ngày 25 tháng 12 năm 2025, TernDoor vào cuối tháng 1 hoặc đầu tháng 2 năm 2026, và một phiên bản Deed RAT đã được chỉnh sửa vào cuối tháng 2 năm 2026. Các chuyên gia đánh giá rằng những kẻ tấn công đã khai thác chuỗi ProxyNotShell để giành quyền truy cập ban đầu.
"Việc nhắm mục tiêu này mở rộng phạm vi nạn nhân của FamousSparrow sang một khu vực mà vai trò của Azerbaijan đối với an ninh năng lượng châu Âu đã tăng lên đáng kể, sau khi thỏa thuận vận chuyển khí đốt của Nga qua Ukraine hết hạn vào năm 2024 và các gián đoạn tại eo biển Hormuz năm 2026," công ty an ninh mạng Romania cho biết trong một báo cáo.
"Cuộc xâm nhập minh họa rằng các tác nhân đe dọa sẽ khai thác và tái khai thác cùng một con đường truy cập cho đến khi lỗ hổng ban đầu được vá, các thông tin đăng nhập bị lộ được thay đổi và khả năng quay trở lại của kẻ tấn công bị ngăn chặn hoàn toàn."
Kỹ thuật DLL Side-loading tiến hóa
Sau khi giành được quyền truy cập ban đầu, kẻ tấn công đã cố gắng triển khai web shells để thiết lập chỗ đứng kiên cố, và cuối cùng triển khai Deed RAT bằng kỹ thuật DLL side-loading tiên tiến. Chúng lợi dụng tệp thực thi LogMeIn Hamachi hợp lệ để tải và kích hoạt một DLL độc hại chịu trách nhiệm thực thi payload chính.
Bitdefender giải thích: "Không giống như các phương pháp DLL side-loading tiêu chuẩn dựa trên việc thay thế tệp đơn giản, phương pháp này ghi đè lên hai hàm xuất (exported functions) cụ thể trong thư viện độc hại. Điều này tạo ra một trình kích hoạt hai giai đoạn nhằm kiểm soát việc thực thi trình tải Deed RAT thông qua luồng điều khiển tự nhiên của ứng dụng máy chủ, nâng cao khả năng lẩn tránh phòng thủ so với kỹ thuật DLL side-loading truyền thống."
Các cuộc tấn công cũng thực hiện lateral movement để mở rộng quyền truy cập trong mạng lưới bị xâm nhập và thiết lập các điểm tựa dự phòng nhằm đảm bảo khả năng phục hồi trong trường hợp hoạt động bị phát hiện và gỡ bỏ.
Các đợt tấn công liên tiếp
Đợt tấn công thứ hai diễn ra gần một tháng sau lần xâm nhập đầu tiên. Lần này, kẻ đối địch đã cố gắng sử dụng DLL side-loading để thả TernDoor thông qua Mofu Loader – một trình tải shellcode trước đây được quy cho nhóm GroundPeony – nhưng không thành công.
Công ty Azerbaijan tiếp tục bị nhắm mục tiêu lần thứ ba vào cuối tháng 2 năm 2026. Lần này, các tác nhân đe dọa một lần nữa cố gắng triển khai phiên bản Deed RAT đã được sửa đổi, cho thấy những nỗ lực không ngừng trong việc tinh chỉnh và phát triển kho vũ khí mã độc. Biến thể này sử dụng tên miền "sentinelonepro [.]com" làm máy chủ điều khiển (C2).
"Cuộc xâm nhập này không nên được coi là một vụ thỏa hiệp đơn lẻ, mà là một chiến dịch bền bỉ và có khả năng thích ứng cao, được thực hiện bởi một tác nhân liên tục tìm cách giành lại và mở rộng quyền truy cập trong môi trường nạn nhân," Bitdefender nhận định.
