Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch lừa đảo (phishing) đang hoạt động, nhắm mục tiêu vào nhiều lĩnh vực ở Nga bằng các email phishing phân phối Phantom Stealer thông qua các tệp ảnh đĩa quang ISO độc hại.
Hoạt động này, được Seqrite Labs đặt tên mã là Operation MoneyMount-ISO, chủ yếu nhắm vào các tổ chức tài chính và kế toán, cùng với các lĩnh vực mua sắm, pháp lý, tiền lương là các mục tiêu thứ yếu.
"Chiến dịch này sử dụng mồi nhử xác nhận thanh toán giả mạo để phân phối phần mềm độc hại đánh cắp thông tin Phantom thông qua một chuỗi tệp đính kèm nhiều giai đoạn," công ty an ninh mạng cho biết.
Chuỗi lây nhiễm bắt đầu bằng một email phishing giả mạo các thông tin liên lạc tài chính hợp pháp, thúc giục người nhận xác nhận một giao dịch chuyển khoản ngân hàng gần đây. Kèm theo email là một tệp lưu trữ ZIP tự nhận là chứa các chi tiết bổ sung, nhưng thay vào đó, lại chứa một tệp ISO mà khi được khởi chạy, sẽ gắn vào hệ thống như một ổ đĩa CD ảo.
Tệp ảnh ISO ("Подтверждение банковского перевода.iso" hoặc "Bank transfer confirmation.iso") đóng vai trò là một tệp thực thi được thiết kế để khởi chạy Phantom Stealer thông qua một DLL được nhúng ("CreativeAI.dll").
Phantom Stealer có khả năng trích xuất dữ liệu từ các tiện ích mở rộng trình duyệt ví tiền điện tử được cài đặt trong các trình duyệt dựa trên Chromium và các ứng dụng ví trên máy tính, cũng như lấy các tệp, token xác thực Discord, và các thông tin liên quan đến trình duyệt như mật khẩu, cookie và chi tiết thẻ tín dụng.
Nó cũng giám sát nội dung bảng tạm (clipboard), ghi lại các lần gõ phím, và chạy một loạt các kiểm tra để phát hiện môi trường ảo hóa, hộp cát (sandbox) hoặc phân tích, và nếu có, sẽ hủy bỏ quá trình thực thi của nó. Đánh cắp dữ liệu (Data exfiltration) được thực hiện thông qua một Telegram bot hoặc đến một webhook Discord do kẻ tấn công kiểm soát. Ngoài ra, phần mềm đánh cắp này còn cho phép chuyển tệp đến một máy chủ FTP.
Các chiến dịch Phishing khác nhắm vào Nga
Trong những tháng gần đây, các tổ chức của Nga, chủ yếu là các phòng ban nhân sự và tiền lương, cũng đã bị nhắm mục tiêu bởi các email phishing sử dụng mồi nhử liên quan đến tiền thưởng hoặc các chính sách tài chính nội bộ để triển khai một công cụ cấy ghép (implant) chưa từng được ghi nhận trước đây có tên DUPERUNNER, tải AdaptixC2, một khung Command-and-Control (C2) mã nguồn mở.
Được gọi là DupeHike, chiến dịch này đã được gán cho một nhóm đe dọa có tên UNG0902.
"Tệp ZIP đã được sử dụng làm nguồn lây nhiễm sơ bộ dựa trên spear-phishing, chứa các tệp mồi nhử với tiện ích mở rộng PDF và LNK, tải xuống công cụ cấy ghép DUPERUNNER, cuối cùng thực thi Adaptix C2 Beacon," Seqrite cho biết.
Tệp LNK ("Документ_1_О_размере_годовой_премии.pdf.lnk" hoặc "Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk"), đến lượt nó, tiến hành tải DUPERUNNER từ một máy chủ bên ngoài bằng "powershell.exe". Trách nhiệm chính của công cụ cấy ghép này là truy xuất và hiển thị một tệp PDF mồi nhử, đồng thời khởi chạy AdaptixC2 bằng cách tiêm nó vào một tiến trình Windows hợp pháp như "explorer.exe", "notepad.exe" và "msedge.exe".
Các chiến dịch phishing khác đã nhắm mục tiêu vào các lĩnh vực tài chính, pháp lý và hàng không vũ trụ ở Nga để phân phối Cobalt Strike và các công cụ độc hại như Formbook, DarkWatchman, và PhantomRemote, có khả năng đánh cắp dữ liệu và kiểm soát trực tiếp bàn phím. Các máy chủ email của các công ty Nga bị xâm nhập được được sử dụng để gửi các tin nhắn spear-phishing này.
Hacktivist nhắm vào ngành hàng không vũ trụ Nga
Công ty an ninh mạng Pháp Intrinsec đã gán bộ công cụ xâm nhập nhắm vào ngành hàng không vũ trụ Nga cho các nhóm hacktivist có liên kết với lợi ích của Ukraine. Hoạt động này, được phát hiện từ tháng 6 đến tháng 9 năm 2025, có sự chồng chéo với Hive0117, Operation CargoTalon, và Rainbow Hyena (còn gọi là Fairy Trickster, Head Mare, và PhantomCore).
Một số nỗ lực này cũng được phát hiện đã chuyển hướng người dùng đến các trang đăng nhập phishing được lưu trữ trên InterPlanetary File System (IPFS) và Vercel, được thiết kế để đánh cắp thông tin đăng nhập liên quan đến Microsoft Outlook và Bureau 1440, một công ty hàng không vũ trụ của Nga.
"Các chiến dịch được quan sát từ tháng 6 đến tháng 9 năm 2025 [...] nhằm mục đích xâm nhập các thực thể đang tích cực hợp tác với quân đội Nga trong bối cảnh xung đột hiện tại với Ukraine, phần lớn được đánh giá qua các lệnh trừng phạt của phương Tây áp đặt lên họ," Intrinsec cho biết.
