Nhóm tác chiến mạng có chủ quyền (APT) liên kết với Trung Quốc, được biết đến với tên APT31, đã bị cáo buộc thực hiện các cuộc tấn công mạng nhắm vào lĩnh vực công nghệ thông tin (IT) của Nga từ năm 2024 đến 2025, duy trì trạng thái không bị phát hiện trong thời gian dài.
"Trong giai đoạn từ năm 2024 đến 2025, lĩnh vực IT của Nga, đặc biệt là các công ty làm nhà thầu và tích hợp giải pháp cho các cơ quan chính phủ, đã phải đối mặt với một loạt các cuộc tấn công máy tính có chủ đích," các nhà nghiên cứu Daniil Grigoryan và Varvara Koloskova từ Positive Technologies cho biết trong một báo cáo kỹ thuật.
APT31, còn được biết đến với các tên khác như Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres và Violet Typhoon (trước đây là Zirconium), được đánh giá là hoạt động từ ít nhất năm 2010. Nhóm này có lịch sử tấn công nhiều lĩnh vực khác nhau, bao gồm chính phủ, tài chính, hàng không vũ trụ và quốc phòng, công nghệ cao, xây dựng và kỹ thuật, viễn thông, truyền thông và bảo hiểm.
Nhóm gián điệp mạng này chủ yếu tập trung vào việc thu thập thông tin tình báo có thể mang lại lợi thế chính trị, kinh tế và quân sự cho Bắc Kinh và các doanh nghiệp nhà nước. Vào tháng 5 năm 2025, nhóm tin tặc này đã bị Cộng hòa Séc cáo buộc nhắm mục tiêu vào Bộ Ngoại giao nước này.
Các cuộc tấn công nhằm vào Nga được đặc trưng bởi việc sử dụng các dịch vụ đám mây hợp pháp, chủ yếu là những dịch vụ phổ biến ở quốc gia này, như Yandex Cloud, cho hoạt động Command-and-Control (C2) và đánh cắp dữ liệu, nhằm mục đích hòa lẫn vào lưu lượng truy cập bình thường và tránh bị phát hiện.
Kẻ tấn công còn được cho là đã dàn dựng các lệnh và payload được mã hóa trong các hồ sơ mạng xã hội, cả trong nước và nước ngoài, đồng thời thực hiện các cuộc tấn công vào cuối tuần và ngày lễ. Trong ít nhất một cuộc tấn công nhắm vào một công ty IT, APT31 đã xâm nhập mạng lưới của họ từ cuối năm 2022, trước khi leo thang hoạt động trùng với kỳ nghỉ Tết Dương lịch 2023.
Trong một cuộc xâm nhập khác được phát hiện vào tháng 12 năm 2024, các tác nhân đe dọa đã gửi một email spear-phishing chứa một tệp RAR lưu trữ mà trong đó lại bao gồm một phím tắt Windows (LNK) chịu trách nhiệm khởi chạy một Cobalt Strike loader có tên CloudyLoader thông qua kỹ thuật DLL side-loading. Chi tiết về hoạt động này đã được Kaspersky ghi nhận trước đó vào tháng 7 năm 2025, đồng thời xác định một số trùng lặp với một nhóm đe dọa được biết đến với tên EastWind.
Công ty an ninh mạng của Nga cũng cho biết họ đã xác định một tệp ZIP lưu trữ mồi nhử được ngụy trang thành một báo cáo từ Bộ Ngoại giao Peru nhằm cuối cùng triển khai CloudyLoader.
Công cụ và Kỹ thuật Tấn công
Để tạo điều kiện thuận lợi cho các giai đoạn tiếp theo của chu kỳ tấn công, APT31 đã tận dụng một bộ công cụ rộng lớn bao gồm cả công cụ có sẵn công khai và công cụ tùy chỉnh. Khả năng duy trì truy cập được thực hiện bằng cách thiết lập các tác vụ theo lịch trình (scheduled tasks) mô phỏng các ứng dụng hợp pháp, chẳng hạn như Yandex Disk và Google Chrome. Một số công cụ trong số đó được liệt kê dưới đây:
- SharpADUserIP, một tiện ích C# để trinh sát và khám phá.
- SharpChrome.exe, để trích xuất mật khẩu và cookie từ các trình duyệt Google Chrome và Microsoft Edge.
- SharpDir, để tìm kiếm tệp.
- StickyNotesExtract.exe, để trích xuất dữ liệu từ cơ sở dữ liệu Windows Sticky Notes.
- Tailscale VPN, để tạo một đường hầm mã hóa và thiết lập mạng peer-to-peer (P2P) giữa máy chủ bị xâm nhập và cơ sở hạ tầng của chúng.
- Microsoft dev tunnels, để điều hướng lưu lượng truy cập.
- Owawa, một module IIS độc hại để đánh cắp thông tin xác thực.
- AufTime, một backdoor Linux sử dụng thư viện wolfSSL để giao tiếp với C2.
- COFFProxy, một backdoor Golang hỗ trợ các lệnh cho việc tạo đường hầm lưu lượng truy cập, thực thi lệnh, quản lý tệp và phân phối các payload bổ sung.
- VtChatter, một công cụ sử dụng các bình luận được mã hóa Base64 cho một tệp văn bản được lưu trữ trên VirusTotal làm kênh C2 hai chiều cứ sau hai giờ.
- OneDriveDoor, một backdoor sử dụng Microsoft OneDrive làm C2.
- LocalPlugX, một biến thể của PlugX được sử dụng để lây lan trong mạng cục bộ, thay vì giao tiếp với C2.
- CloudSorcerer, một backdoor sử dụng các dịch vụ đám mây làm C2.
- YaLeak, một công cụ .NET để tải thông tin lên Yandex Cloud.
"APT31 không ngừng bổ sung kho vũ khí của mình: mặc dù chúng tiếp tục sử dụng một số công cụ cũ," Positive Technologies cho biết. "Với vai trò C2, những kẻ tấn công tích cực sử dụng các dịch vụ đám mây, đặc biệt là các dịch vụ Yandex và Microsoft OneDrive. Nhiều công cụ cũng được cấu hình để hoạt động ở chế độ máy chủ, chờ đợi những kẻ tấn công kết nối đến một máy chủ bị nhiễm."
"Ngoài ra, nhóm này còn đánh cắp dữ liệu thông qua bộ nhớ đám mây của Yandex. Những công cụ và kỹ thuật này đã giúp APT31 ẩn mình trong cơ sở hạ tầng của nạn nhân trong nhiều năm. Đồng thời, những kẻ tấn công đã tải xuống tệp và thu thập thông tin mật từ các thiết bị, bao gồm mật khẩu từ hộp thư và các dịch vụ nội bộ của nạn nhân."
