Theo những phát hiện mới từ Palo Alto Networks Unit 42, một nhóm gián điệp mạng chưa từng được ghi nhận trước đây, hoạt động từ châu Á, đã xâm nhập vào mạng lưới của ít nhất 70 tổ chức chính phủ và hạ tầng quan trọng tại 37 quốc gia trong năm qua.
Ngoài ra, nhóm hacker này còn được quan sát tiến hành trinh sát chủ động vào hạ tầng chính phủ liên quan đến 155 quốc gia trong khoảng thời gian từ tháng 11 đến tháng 12 năm 2025. Một số tổ chức đã bị xâm phạm thành công bao gồm năm cơ quan thực thi pháp luật/kiểm soát biên giới cấp quốc gia, ba bộ tài chính và các bộ, ban ngành khác liên quan đến chức năng kinh tế, thương mại, tài nguyên thiên nhiên và ngoại giao.
Hoạt động này đang được công ty an ninh mạng theo dõi dưới biệt danh TGR-STA-1030, trong đó "TGR" là viết tắt của nhóm đe dọa tạm thời (temporary threat group) và "STA" đề cập đến động cơ được nhà nước hậu thuẫn (state-backed motivation). Bằng chứng cho thấy tác nhân đe dọa này đã hoạt động từ tháng 1 năm 2024.
Mặc dù quốc gia xuất xứ của các hacker vẫn chưa rõ ràng, họ được đánh giá là có nguồn gốc châu Á, dựa trên việc sử dụng công cụ và dịch vụ khu vực, tùy chọn cài đặt ngôn ngữ, mục tiêu phù hợp với các sự kiện và thông tin tình báo có lợi cho khu vực, cùng với múi giờ hoạt động GMT+8.
Phương thức tấn công
Các chuỗi tấn công được phát hiện đã lợi dụng email phishing làm điểm khởi đầu để lừa người nhận nhấp vào một liên kết trỏ đến dịch vụ lưu trữ tệp tin MEGA có trụ sở tại New Zealand. Liên kết này chứa một tệp ZIP archive bao gồm một tệp thực thi có tên Diaoyu Loader và một tệp "pic1.png" kích thước zero-byte.
"Malware này sử dụng cơ chế bảo vệ thực thi hai giai đoạn để ngăn chặn phân tích sandbox tự động," Unit 42 cho biết. "Ngoài yêu cầu về phần cứng là độ phân giải màn hình ngang lớn hơn hoặc bằng 1440, mẫu mã độc này còn thực hiện kiểm tra phụ thuộc môi trường đối với một tệp cụ thể (pic1.png) trong thư mục thực thi của nó."
Tệp ảnh PNG hoạt động như một cơ chế kiểm tra tính toàn vẹn dựa trên tệp, khiến mã độc chấm dứt hoạt động trước khi thực hiện hành vi độc hại nếu tệp này không có mặt ở cùng vị trí. Chỉ sau khi điều kiện này được thỏa mãn, malware mới kiểm tra sự hiện diện của các chương trình an ninh mạng cụ thể từ Avira ("SentryEye.exe"), Bitdefender ("EPSecurityService.exe"), Kaspersky ("Avp.exe"), Sentinel One ("SentinelUI.exe") và Symantec ("NortonSecurity.exe").
Hiện vẫn chưa rõ tại sao các tác nhân đe dọa lại chọn tìm kiếm một số lượng sản phẩm giới hạn. Mục tiêu cuối cùng của loader là tải xuống ba hình ảnh ("admin-bar-sprite.png", "Linux.jpg" và "Windows.jpg") từ một kho lưu trữ GitHub có tên "WordPress", đóng vai trò là kênh để triển khai payload Cobalt Strike. Tài khoản GitHub liên quan ("github[.]com/padeqav") hiện không còn khả dụng.
TGR-STA-1030 cũng được quan sát đã cố gắng exploit nhiều loại N-day vulnerabilities ảnh hưởng đến một số lượng lớn sản phẩm phần mềm từ Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault và Eyou Email System để giành quyền truy cập ban đầu vào mạng mục tiêu. Không có bằng chứng nào cho thấy nhóm này đã phát triển hoặc lợi dụng bất kỳ zero-day exploit nào trong các cuộc tấn công của họ.
Các công cụ và kỹ thuật
Trong số các công cụ được tác nhân đe dọa sử dụng có các C2 frameworks, web shells và tunneling utilities:
- C2 frameworks - Cobalt Strike, VShell, Havoc, Sliver và SparkRAT
- Web shells - Behinder, neo-reGeorg và Godzilla
- Tunnelers - GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) và IOX
Đáng chú ý là việc sử dụng các web shells nói trên thường liên quan đến các nhóm hacker Trung Quốc. Một công cụ đáng chú ý khác là Linux kernel rootkit có tên mã ShadowGuard sử dụng công nghệ Extended Berkeley Packet Filter (eBPF) để che giấu thông tin chi tiết về tiến trình, chặn các system calls quan trọng để ẩn các tiến trình cụ thể khỏi các công cụ phân tích user-space như ps, và che giấu các thư mục và tệp tin có tên "swsecret."
"Nhóm này thường xuyên thuê và cấu hình các C2 servers của mình trên hạ tầng thuộc sở hữu của nhiều nhà cung cấp VPS hợp pháp và nổi tiếng," Unit 42 cho biết. "Để kết nối với hạ tầng C2, nhóm này thuê thêm hạ tầng VPS mà họ sử dụng để chuyển tiếp lưu lượng."
Nhà cung cấp an ninh mạng cho biết đối thủ đã duy trì quyền truy cập vào một số thực thể bị ảnh hưởng trong nhiều tháng, cho thấy nỗ lực thu thập thông tin tình báo trong thời gian dài.
Kết luận và Đánh giá
"TGR-STA-1030 vẫn là một mối đe dọa tích cực đối với các chính phủ và hạ tầng quan trọng trên toàn thế giới. Nhóm này chủ yếu nhắm mục tiêu vào các bộ, ban ngành của chính phủ vì mục đích gián điệp," báo cáo kết luận. "Chúng tôi đánh giá rằng nhóm này ưu tiên các nỗ lực chống lại các quốc gia đã thiết lập hoặc đang khám phá các quan hệ đối tác kinh tế nhất định."
"Mặc dù nhóm này có thể đang theo đuổi các mục tiêu gián điệp, nhưng các phương pháp, mục tiêu và quy mô hoạt động của nó đang ở mức đáng báo động, với những hậu quả tiềm tàng lâu dài đối với an ninh quốc gia và các dịch vụ quan trọng."
