Các đối tượng đe dọa từ nhóm Lone None đang khai thác các thông báo gỡ bỏ bản quyền giả mạo để phát tán mã độc tinh vi. Chiến dịch này bao gồm việc phân phối Pure Logs Stealer và một biến thể đánh cắp thông tin mới được gọi là Lone None Stealer (còn được biết đến là PXA Stealer), thể hiện sự phức tạp của mối đe dọa mạng hiện nay.

Phân tích này đi sâu vào các chiến thuật, kỹ thuật và quy trình (TTPs) của chiến dịch, đồng thời làm nổi bật các chỉ số nhận diện sự xâm nhập (IOCs) chính. Nó cũng nhấn mạnh cách Lone None liên tục cải tiến chuỗi tấn công của chúng.

Chiến dịch Lừa đảo qua Thông báo Gỡ bỏ Bản quyền Giả mạo

Chiến dịch bắt đầu bằng các yêu cầu gỡ bỏ bản quyền giả mạo, mạo danh các công ty luật hợp pháp trên toàn thế giới.

Các email này đề cập đến các tài khoản Facebook có thật do mục tiêu vận hành, tăng thêm độ tin cậy mặc dù nội dung là lừa đảo.

Cofense Intelligence đã theo dõi chiến dịch này từ tháng 11 năm 2024, ghi nhận sự phát triển qua nhiều lần lặp lại. Chiến thuật của nhóm bao gồm việc sử dụng mới các trình cài đặt Python bị che dấu, bot Telegram và các mẫu email được dịch bằng máy.

Để biết thêm chi tiết về chiến dịch này, độc giả có thể tham khảo báo cáo của Cofense tại: Inside Vietnamese Threat Actor Lone None’s Copyright Takedown Spoofing Campaign.

Kỹ thuật Ngôn ngữ và Phân phối

Các mẫu email xuất hiện bằng ít nhất mười ngôn ngữ—bao gồm tiếng Anh, Pháp, Đức, Hàn, Trung, Thái và nhiều ngôn ngữ khác. Điều này cho thấy khả năng chúng được tạo ra thông qua dịch thuật AI hoặc các dịch vụ dịch máy.

Nhúng trong các email này là các liên kết rút gọn (sử dụng tr[.]ee và goo[.]su). Các liên kết này chuyển hướng đến các kho lưu trữ được lưu trữ trên các dịch vụ như Dropbox hoặc MediaFire.

Sau khi tải xuống, người nhận sẽ giải nén một kho lưu trữ chứa các ứng dụng hợp pháp được tái sử dụng (thường là Haihaisoft PDF Reader). Kèm theo đó là các payload có phần mở rộng tệp không khớp, là dấu hiệu của một tấn công mạng có chủ đích.

Quy trình Khai thác và Lây nhiễm Mã độc

Một DLL độc hại, ngụy trang thành bộ nạp (loader), sử dụng certutil.exe của Windows để giải mã một tệp “Document.pdf” bị che giấu thành “Invoice.pdf”.

Sau đó, nó gọi một chương trình thực thi WinRAR đi kèm (ngụy trang thành images.png) để giải nén các payload vào thư mục C:UsersPublic.

Cuối cùng, một trình thông dịch Python được đổi tên (thành svchost.exe) được cài đặt vào C:UsersPublicWindows. Nó thực thi một tập lệnh nhúng (cũng là images.png) để thiết lập quyền truy cập liên tục thông qua khóa đăng ký.

Cách tiếp cận theo từng giai đoạn này giúp che giấu mã độc trong các quy trình hợp pháp. Đồng thời nó tận dụng các tiện ích tích hợp để tránh phát hiện theo kiểu heuristic và sandbox, đây là một thách thức lớn trong việc đối phó với các mối đe dọa mạng.

Lone None Stealer: Cơ chế Đánh cắp Tiền điện tử

Một tính năng nổi bật của chiến dịch này là Lone None Stealer. Đây là một mã độc đánh cắp thông tin được thiết kế riêng để chiếm đoạt các giao dịch tiền điện tử.

Phần mềm độc hại giám sát clipboard của Windows để tìm các mẫu khớp với định dạng địa chỉ tiền điện tử.

Khi nạn nhân sao chép một địa chỉ ví (Bitcoin, Ethereum, Ripple, Solana và nhiều loại khác), mã độc sẽ âm thầm thay thế nó bằng một địa chỉ do kẻ tấn công kiểm soát.

Ví dụ, địa chỉ Bitcoin của kẻ tấn công có thể là 1DPguuHEophw6rvPZZkjBA3d8Z9ntCqm1L.

Sau khi thay thế, mã độc gửi một tin nhắn tóm tắt đến C2 của bot Telegram, báo cáo tên máy chủ bị xâm nhập và cả địa chỉ gốc lẫn địa chỉ đã thay thế. Đây là một phương pháp tinh vi để thực hiện đánh cắp dữ liệu tài chính.

Kênh Điều khiển & Chỉ huy (C2) Đổi mới

Cơ chế C2 dựa trên bot này là một điểm mới: URL payload ban đầu được lưu trữ trong tiểu sử của hồ sơ bot Telegram, có thể truy xuất qua HTTPS.

Tập lệnh sau đó tải xuống các payload bổ sung từ một liên kết paste[.]rs (ví dụ: paste[.]rs/RWqFD) và các module tiếp theo từ 0x0[.]st.

Các payload này có nhiều lớp che giấu—mã hóa văn bản Base64 hoặc Base85 và mã hóa AES—chủ yếu để ngăn chặn phân tích sandbox tự động, chứ không phải để thay đổi chức năng cốt lõi.

Diễn biến và Sự Tiến hóa của Chiến dịch Lone None

Kể từ tháng 6 năm 2025, Lone None Stealer đã xuất hiện trong 29% các báo cáo mối đe dọa đang hoạt động có chứa Pure Logs Stealer.

Điều này đánh dấu một sự phát triển đáng kể trong khả năng hoạt động của đối tượng. Nhóm liên tục tạo ra những mối đe dọa mạng mới.

Các trường hợp đầu tiên của chiến dịch triển khai các payload đơn giản hơn—XWorm RAT, DuckTail stealer và các stealer tùy chỉnh dựa trên Python.

Chúng được phân phối thông qua các mồi nhử chủ đề pháp lý tương tự. ATR 378532 đã sử dụng một trình cài đặt Python thô sơ để thả Pure Logs Stealer và XWorm RAT.

Trong khi đó, ATR 377263 đã giới thiệu DuckTail cùng với các biến thể ban đầu của Lone None Stealer.

Theo thời gian, nhóm đã loại bỏ các RAT để ủng hộ các bộ nạp dựa trên Python dạng module và tập trung vào đánh cắp dữ liệu thông tin. Điều này có thể là do các biến thể Pure Logs Stealer gần đây bao gồm chức năng điều khiển từ xa (“PureHVNC“).

Chỉ số Nhận diện Sự xâm nhập (IOCs)

Các nhà bảo vệ cần lưu ý cấu trúc lừa đảo email nhất quán: các thông báo vi phạm bản quyền được điều chỉnh, mạo danh các thực thể pháp lý và tham chiếu các tài khoản mạng xã hội có thật. Đối với các mối đe dọa mạng như vậy, việc nhận diện sớm IOC là rất quan trọng.

IOCs trên Endpoint:

• Các lệnh certutil.exe bất thường để giải mã tệp.
• Các chương trình thực thi WinRAR được đóng gói, đặt tên như các hình ảnh vô hại (ví dụ: images.png).
• Trình thông dịch Python ngụy trang thành svchost.exe trong các thư mục có thể ghi của người dùng (ví dụ: C:UsersPublicWindows).
• Các mục đăng ký để thiết lập quyền truy cập liên tục.

IOCs trên Mạng:

• Kết nối đi ra đến API của bot Telegram.
• Các tên miền chia sẻ tệp như tr[.]ee, goo[.]su, dropbox.com, mediafire.com.
• Các yêu cầu tải xuống từ paste[.]rs và 0x0[.]st.
• Địa chỉ ví tiền điện tử của kẻ tấn công được sử dụng để thay thế, ví dụ: 1DPguuHEophw6rvPZZkjBA3d8Z9ntCqm1L.

Biện pháp Phòng thủ và Giảm thiểu Rủi ro

Bằng cách kết hợp kỹ thuật xã hội với các công cụ hợp pháp và các kênh C2 đổi mới, Lone None cho thấy rằng các email lừa đảo cần thay đổi tối thiểu để duy trì hiệu quả, trong khi độ phức tạp của payload không ngừng tăng lên. Điều này đòi hỏi các biện pháp bảo mật mạnh mẽ để chống lại các tấn công mạng.

Các nhóm bảo mật cần tăng cường nhận thức của người dùng về các thông báo gỡ bỏ không mong muốn. Ngoài ra, việc triển khai danh sách trắng ứng dụng (application whitelisting), giám sát dòng lệnh (command-line monitoring) và lọc lưu lượng mạng đi ra (network egress filtering) là cần thiết để phá vỡ mối đe dọa mạng đang phát triển này.