MuddyWater sử dụng DLL Side-Loading trong chiến dịch gián điệp nhắm vào 9 quốc gia

Nhóm hacker Iran MuddyWater bị phát hiện liên quan đến chiến dịch gián điệp mới ảnh hưởng đến ít nhất 9 tổ chức tại 9 quốc gia trong quý 1 năm 2026. Hoạt động này nhắm vào các ngành sản xuất công nghiệp, điện tử, giáo dục và dịch vụ tài chính, sử dụng các kỹ thuật tinh vi như DLL side-loading và các công cụ đánh cắp dữ liệu trình duyệt.
MuddyWater Cyber Espionage

Nhóm hacker Iran được biết đến với tên gọi MuddyWater đã bị phát hiện có liên quan đến một chiến dịch mới gây ảnh hưởng đến ít nhất chín tổ chức tại chín quốc gia thuộc bốn châu lục trong quý đầu tiên của năm 2026.

Theo Đội săn tìm mối đe dọa (Threat Hunter Team) từ Symantec và Carbon Black, hoạt động này nhắm vào các ngành sản xuất công nghiệp và điện tử, giáo dục, các cơ quan thuộc khu vực công, dịch vụ tài chính và dịch vụ chuyên nghiệp. Trong số các nạn nhân có một nhà sản xuất điện tử lớn của Hàn Quốc, nơi những kẻ tấn công đã xâm nhập vào mạng lưới trong một tuần vào tháng 2 năm 2026.

Cũng nằm trong nỗ lực gián điệp quy mô lớn này còn có một sân bay quốc tế ở Trung Đông, các nhà sản xuất công nghiệp Đông Nam Á và một nhà cung cấp dịch vụ tài chính ở Mỹ Latinh.

"Các kẻ tấn công đã phụ thuộc nặng nề vào DLL side-loading sử dụng các tệp thực thi Fortemedia (fmapp.exe) và SentinelOne (sentinelmemoryscanner.exe) được ký hợp lệ để thực thi các tệp DLL độc hại trong khi giả dạng là phần mềm vô hại," các nhóm an ninh mạng của Broadcom cho biết.

Việc sử dụng "fmapp.exe" để thực hiện side-loading "fmapp.dll" trước đây đã được Group-IB ghi nhận có liên quan đến một chiến dịch khác của MuddyWater mang mật danh Operation Olalampo. Theo Huntress, DLL này chứa mã để kết nối với một địa chỉ IP do kẻ tấn công kiểm soát ("157.20.182[.]49").

Kỹ thuật tinh vi nhằm vượt qua các biện pháp bảo mật

Mặt khác, việc lạm dụng "sentinelmemoryscanner.exe" - một tệp thực thi liên quan đến một sản phẩm bảo mật - được đánh giá là một lựa chọn có chủ đích, vì nó có thể vượt qua các cơ chế phát hiện dựa trên chữ ký (signature-based detection). Nó được thiết kế để side-loading một DLL độc hại có tên là "sentinelagentcore.dll."

Cả hai DLL này đều nhúng một công cụ mã nguồn mở có tên là ChromElevator để trích xuất mật khẩu, cookies và dữ liệu thẻ thanh toán từ các trình duyệt dựa trên Chromium, vượt qua các biện pháp bảo vệ App-Bound Encryption (ABE) một cách hiệu quả.

Một khía cạnh đáng chú ý của các cuộc tấn công là việc sử dụng các script Node.js để khởi chạy mã PowerShell chịu trách nhiệm thực hiện các hoạt động trinh sát và thu thập thông tin. Trong ít nhất một trường hợp, những kẻ tấn công đã bị phát hiện đưa dữ liệu bị đánh cắp lên sendit[.]sh, một dịch vụ chuyển tệp công cộng.

"Một chuỗi mã độc dựa trên node.exe đã được sử dụng để thả các script PowerShell thực hiện trinh sát, chụp màn hình, đánh cắp SAM hive, leo thang đặc quyền và thiết lập đường truyền SOCKS5 reverse-proxy tunnelling," Symantec và Carbon Black cho biết.

Hai cặp DLL side-loading kể trên cũng được triển khai nhằm cung cấp cho kẻ tấn công một đường truyền bí mật để chuyển tiếp lưu lượng và khởi chạy ChromElevator. Các cuộc tấn công cũng đặc trưng bởi nỗ lực đánh cắp thông tin xác thực (dump credentials) cho phép chúng di chuyển ngang (move laterally) qua các mạng lưới.

Trong vụ xâm nhập nhắm vào nhà sản xuất điện tử Hàn Quốc, MuddyWater được tin là đã liên tục thực hiện các hoạt động trinh sát dựa trên PowerShell, cũng như thực thi lại hai tệp nhị phân để đảm bảo duy trì quyền truy cập vào máy chủ bị xâm nhập. Vector truy cập ban đầu được sử dụng để xâm nhập vào tổ chức vẫn chưa được xác định.

Sự chuyển mình sang các hoạt động kỷ luật hơn

"Nhịp độ này một lần nữa phù hợp với hoạt động do mã độc điều khiển hơn là sự hiện diện liên tục của điều hành viên," các nhà nghiên cứu cho biết. "Lịch sử chiến dịch của nhóm cho thấy một sự chuyển dịch rõ ràng sang các hoạt động yên tĩnh và kỷ luật hơn. Không có kỹ thuật nào trong số này là mới mẻ về mặt cá nhân, nhưng khi kết hợp lại, chúng cung cấp thêm bằng chứng về một bước tiến đáng kể trong quy trình vận hành so với Seedworm mà chúng ta đã biết cách đây hai hoặc ba năm."

Diễn biến này diễn ra khi Hội đồng Châu Âu áp đặt các lệnh trừng phạt đối với công ty Iran Emennet Pasargad vì đã tấn công một dịch vụ SMS của Thụy Điển, truy cập nội dung cơ sở dữ liệu thuê bao của Pháp và rao bán nó, cũng như truyền bá thông tin sai lệch thông qua các bảng quảng cáo bị xâm nhập trong Thế vận hội Paris 2024.

Theo Bộ Ngoại giao Hoa Kỳ, công ty này còn có tên là Shahid Shushtari và trực thuộc Bộ Tư lệnh Điện tử-Cyber của Quân đội Vệ binh Cách mạng Hồi giáo Iran (IRGC-CEC). Nhóm này được theo dõi dưới các tên gọi như Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten, Marnanbridge và UNC5866.

Các chiến dịch đánh cắp và phá hoại dữ liệu khác

Các hacker được Iran hậu thuẫn cũng có liên quan đến một chiến dịch trích xuất dữ liệu nhắm vào các tổ chức ở Mỹ, Israel, Ả Rập Xê Út và Thổ Nhĩ Kỳ từ cuối tháng 3 đến đầu tháng 4 năm 2026, với ít nhất hai nạn nhân ở Mỹ cũng bị nhắm mục tiêu bởi các hoạt động phá hoại, chẳng hạn như xóa phân vùng và sao lưu dữ liệu.

Mặc dù các sự cố này được tuyên bố bởi một nhân vật thân Iran tên là Ababil of Minab, một phân tích mới từ Gambit Security đã liên kết hạ tầng chiến dịch với Bộ Tình báo và An ninh Iran (MOIS).

Các mục tiêu khác bao gồm một tổ chức Israel trong lĩnh vực truyền thông, một tổ chức giáo dục đại học của Israel, một công ty môi giới bảo hiểm Thổ Nhĩ Kỳ và một số trang web bổ sung thuộc các lĩnh vực nhà hàng, văn hóa, dịch vụ kỹ thuật số và tin tức.

Không có hoạt động phá hoại nào được quan sát thấy đối với những nạn nhân này. Trong các trường hợp này, đối thủ bị phát hiện sử dụng một công cụ thu thập và trích xuất tệp C++ tùy chỉnh có mật danh nội bộ là FileFiend.

"Tệp nhị phân này có thể liệt kê các ổ đĩa cục bộ và chia sẻ SMB, quét hệ thống tệp và gửi tệp đến một máy chủ C2 [command-and-control] được mã hóa cứng," các nhà nghiên cứu của Gambit Security là Eyal Sela và Nir Varon cho biết trong một báo cáo công bố hôm nay.

Ngoài ra, dữ liệu quan tâm được nén vào các kho lưu trữ RAR trên một máy chủ bên trong môi trường nạn nhân và tải lên trang web công cộng của tổ chức tại thư mục gốc của web, từ đó chúng được trích xuất bằng trình tăng tốc tải xuống dòng lệnh Axel và truyền qua proxychains.