Một tác nhân đe dọa do Trung Quốc hậu thuẫn với tên mã UTA0388 đã được xác định đứng sau một loạt các chiến dịch spear-phishing nhắm vào Bắc Mỹ, Châu Á và Châu Âu, được thiết kế để phát tán một implant dựa trên Go có tên là GOVERSHELL.
Các chiến dịch được quan sát ban đầu được tùy chỉnh cho từng mục tiêu, và các tin nhắn được cho là gửi bởi các nhà nghiên cứu và nhà phân tích cấp cao từ các tổ chức có vẻ hợp pháp nhưng hoàn toàn bịa đặt.
Volexity cho biết trong một báo cáo hôm thứ Tư: "Mục tiêu của các chiến dịch spear-phishing này là đánh lừa mục tiêu nhấp vào các liên kết dẫn đến một kho lưu trữ được lưu trữ từ xa chứa một tải trọng độc hại."
Kể từ đó, tác nhân đe dọa đứng sau các cuộc tấn công được cho là đã sử dụng nhiều mồi nhử và danh tính giả mạo khác nhau, trải rộng trên nhiều ngôn ngữ, bao gồm tiếng Anh, tiếng Trung, tiếng Nhật, tiếng Pháp và tiếng Đức.
Các phiên bản ban đầu của các chiến dịch đã được tìm thấy là nhúng các liên kết đến nội dung lừa đảo được lưu trữ trên một dịch vụ dựa trên đám mây hoặc cơ sở hạ tầng của chính chúng, trong một số trường hợp, dẫn đến việc triển khai mã độc. Tuy nhiên, các đợt tiếp theo được mô tả là "được tùy chỉnh cao", trong đó các tác nhân đe dọa phải xây dựng lòng tin với người nhận theo thời gian trước khi gửi liên kết – một kỹ thuật được gọi là rapport-building phishing.
Bất kể phương pháp nào được sử dụng, các liên kết đều dẫn đến một kho lưu trữ ZIP hoặc RAR chứa một tải trọng DLL độc hại được khởi chạy bằng cách sử dụng DLL side-loading. Tải trọng này là một backdoor đang được phát triển tích cực có tên là GOVERSHELL. Đáng chú ý là hoạt động này trùng lặp với một nhóm được Proofpoint theo dõi dưới tên UNK_DropPitch, với Volexity mô tả GOVERSHELL là phiên bản kế nhiệm của một họ mã độc C++ được gọi là HealthKick.
Tính đến nay, có tới năm biến thể riêng biệt của GOVERSHELL đã được xác định:
- HealthKick (lần đầu tiên được quan sát vào tháng 4 năm 2025), được trang bị để chạy các lệnh bằng cách sử dụng cmd.exe
- TE32 (lần đầu tiên được quan sát vào tháng 6 năm 2025), được trang bị để thực thi các lệnh trực tiếp thông qua một PowerShell reverse shell
- TE64 (lần đầu tiên được quan sát vào đầu tháng 7 năm 2025), được trang bị để chạy các lệnh gốc và động bằng PowerShell để lấy thông tin hệ thống, thời gian hệ thống hiện tại, chạy lệnh thông qua powershell.exe và thăm dò một máy chủ bên ngoài để nhận các hướng dẫn mới
- WebSocket (lần đầu tiên được quan sát vào giữa tháng 7 năm 2025), được trang bị để chạy một lệnh PowerShell thông qua powershell.exe và một lệnh phụ "update" chưa được triển khai như một phần của lệnh hệ thống
- Beacon (lần đầu tiên được quan sát vào tháng 9 năm 2025), được trang bị để chạy các lệnh gốc và động bằng PowerShell để đặt một base polling interval, ngẫu nhiên hóa nó hoặc thực thi một lệnh PowerShell thông qua powershell.exe
Một số dịch vụ hợp pháp bị lạm dụng để dàn dựng các tệp lưu trữ bao gồm Netlify, Sync và OneDrive, trong khi các tin nhắn email đã được xác định là được gửi từ Proton Mail, Microsoft Outlook và Gmail.
Một khía cạnh đáng chú ý trong cách thức hoạt động của UTA0388 là việc sử dụng OpenAI ChatGPT để tạo nội dung cho các chiến dịch phishing bằng tiếng Anh, tiếng Trung và tiếng Nhật; hỗ trợ các quy trình làm việc độc hại; và tìm kiếm thông tin liên quan đến việc cài đặt các công cụ mã nguồn mở như nuclei và fscan, như công ty AI đã tiết lộ vào đầu tuần này. Các tài khoản ChatGPT được tác nhân đe dọa sử dụng đã bị cấm.
Việc sử dụng mô hình ngôn ngữ lớn (LLM) để tăng cường hoạt động được thể hiện rõ ràng trong những thông tin bịa đặt phổ biến trong các email phishing, từ những danh tính được sử dụng để gửi tin nhắn đến việc thiếu tính mạch lạc chung trong nội dung tin nhắn đó.
Volexity cho biết: "Hồ sơ mục tiêu của chiến dịch phù hợp với một tác nhân đe dọa quan tâm đến các vấn đề địa chính trị châu Á, đặc biệt tập trung vào Đài Loan." Công ty nói thêm: "Các email và tệp được sử dụng trong chiến dịch này khiến Volexity đánh giá với mức độ tin cậy trung bình rằng UTA0388 đã sử dụng tự động hóa, LLM hoặc các phương pháp khác, đã tạo và gửi nội dung này đến các mục tiêu với rất ít hoặc không có sự giám sát của con người trong một số trường hợp."
Tiết lộ này được đưa ra khi StrikeReady Labs cho biết một chiến dịch gián điệp mạng bị nghi ngờ do Trung Quốc liên kết đã nhắm mục tiêu vào một bộ phận chính phủ Serbia liên quan đến hàng không, cũng như các tổ chức châu Âu khác ở Hungary, Bỉ, Ý và Hà Lan.
Chiến dịch, được quan sát vào cuối tháng 9, liên quan đến việc gửi các email phishing có chứa một liên kết mà khi nhấp vào, sẽ chuyển hướng nạn nhân đến một trang xác minh Cloudflare CAPTCHA giả mạo dẫn đến việc tải xuống một kho lưu trữ ZIP, bên trong đó có một tệp Windows shortcut (LNK) thực thi PowerShell chịu trách nhiệm mở một tài liệu mồi nhử và âm thầm khởi chạy PlugX bằng cách sử dụng DLL side-loading.
