Hoạt động gián điệp mạng kéo dài của nhóm Confucius hacking group đã chứng kiến sự thay đổi đáng kể trong phương pháp tấn công. Trong vòng một năm qua, nhóm này đã chuyển dịch từ việc sử dụng các công cụ đánh cắp tài liệu như WooperStealer sang các backdoor dựa trên Python tinh vi, bao gồm cả AnonDoor malware.

Sự Tiến Hóa Kỹ Thuật Tấn Công của Confucius Hacking Group

Phân tích gần đây từ FortiGuard Labs tiết lộ cách thức hoạt động của tác nhân đe dọa đến từ Nam Á này. Nhóm đã vũ khí hóa các tài liệu Office và file LNK độc hại để xâm phạm các hệ thống Windows trong khu vực, đặc biệt nhắm mục tiêu vào các tổ chức có trụ sở tại Pakistan. Đây là một ví dụ điển hình về chiến dịch tấn công mạng có tổ chức.

Chiến Dịch Tháng 12/2024: Kỹ Thuật Social Engineering

Chiến dịch diễn ra vào tháng 12 năm 2024 đã phô diễn các chiến thuật social engineering tinh vi của Confucius. Nhóm đã sử dụng email lừa đảo (phishing emails) với các tệp trình chiếu PowerPoint độc hại (ví dụ: Document.ppsx).

• Các tệp này hiển thị thông báo “Corrupted Page” (Trang bị lỗi) cho nạn nhân.
• Tài liệu độc hại chứa các đối tượng OLE nhúng (embedded OLE objects).
• Các đối tượng OLE này kích hoạt thực thi VBScript từ hạ tầng từ xa tại greenxeonsr.info, khởi đầu một chuỗi lây nhiễm phức tạp.

Kỹ Thuật DLL Side-Loading và Cơ Chế Duy Trì Quyền Truy Cập

Phương pháp tấn công của nhóm bao gồm các kỹ thuật DLL side-loading. Mã độc sao chép các tệp thực thi hợp pháp của Windows, chẳng hạn như fixmapi.exe, vào thư mục người dùng.

• Tệp này sau đó được đổi tên thành Swom.exe để thiết lập khả năng duy trì quyền truy cập (persistence).
• Nhóm này thiết lập persistence dựa trên registry tại đường dẫn sau, đảm bảo tự động thực thi khi hệ thống khởi động:

HKCUSOFTWAREMicrosoftWindows NTCurrentVersionWindowsload

Chuyển Hướng sang File LNK Độc Hại vào Tháng 3/2025

Đến tháng 3 năm 2025, nhóm Confucius hacking group đã chuyển hướng chiến thuật sang sử dụng các tệp LNK độc hại. Các tệp này được ngụy trang thành tài liệu hợp pháp, ví dụ như “Invoice_Jan25.pdf.lnk”.

• Các tệp LNK này thực thi các lệnh PowerShell.
• Lệnh PowerShell tải xuống các DLL độc hại và tài liệu PDF mồi nhử từ các máy chủ từ xa.
• Mục đích là duy trì ảo giác truy cập tệp hợp pháp trong khi thiết lập quyền truy cập backdoor.

Mã Độc WooperStealer và Cơ Chế Giao Tiếp

Tệp Mapistub.dll được tải xuống sẽ tạo thêm các cơ chế duy trì quyền truy cập. Nó chuẩn bị các địa chỉ máy chủ từ xa được mã hóa Base64 cho việc phân phối payload. Phân tích cho thấy payload cuối cùng vẫn là WooperStealer, được cấu hình để đánh cắp (exfiltrate) một loạt các loại tệp:

• Tài liệu (.txt, .pdf)
• Hình ảnh
• Tệp lưu trữ
• Tệp email (.pst, .eml)

Sự Ra Đời của Mã Độc AnonDoor vào Tháng 8/2025

Sự tiến hóa quan trọng nhất của nhóm diễn ra vào tháng 8 năm 2025 với sự ra đời của AnonDoor malware. Đây là một backdoor dựa trên Python tinh vi, đánh dấu sự khác biệt rõ rệt so với các công cụ dựa trên .NET trước đây của nhóm.

AnonDoor: Backdoor Dựa trên Python với Khả Năng Trinh Sát Nâng Cao

Mã độc mới này thiết lập môi trường thực thi bằng cách tải xuống và cấu hình Python thông qua trình quản lý gói Scoop. Nó tạo ra các tệp .pyc ẩn trong thư mục người dùng.

AnonDoor triển khai các khả năng trinh sát (reconnaissance) nâng cao, lấy dấu vân tay hệ thống nạn nhân thông qua nhiều kỹ thuật:

• Trích xuất WMIC hardware UUID.
• Định vị địa lý IP công khai thông qua các dịch vụ như api.ipify.org và ip-api.com.
• Liệt kê không gian đĩa toàn diện trên tất cả các ổ đĩa.

Khả Năng Thực Thi Lệnh và Cấu Trúc C2 của AnonDoor

Backdoor này hỗ trợ các khả năng thực thi lệnh mở rộng, cho phép kẻ tấn công kiểm soát hệ thống bị xâm nhập:

• Chụp ảnh màn hình (screenshot capture).
• Liệt kê và tải xuống tệp.
• Duyệt qua thư mục (directory traversal).
• Thu thập thông tin đăng nhập từ các trình duyệt như Firefox và Edge.

AnonDoor giao tiếp với hạ tầng command-and-control (C2) thông qua các gói dữ liệu có cấu trúc. Mã độc sử dụng các dấu phân cách cụ thể là $!!$ và #$$. Để duy trì an ninh hoạt động và giảm khả năng bị phát hiện, nó duy trì các khoảng thời gian thực thi 6 phút.

Cấu trúc mô-đun của mã độc cho phép tải động các mô-đun Python bổ sung từ máy chủ từ xa. Điều này giúp các nhà điều hành mở rộng chức năng dựa trên các yêu cầu tình báo cụ thể của Confucius hacking group.

Đối Tượng Mục Tiêu và Biện Pháp Phát Hiện

Mục tiêu địa lý của nhóm vẫn tập trung vào các khu vực Nam Á, đặc biệt là Pakistan. Điều này phù hợp với các mô hình hoạt động lịch sử của nhóm Confucius. Sự tiến hóa chiến thuật của nhóm Confucius hacking group chứng minh khả năng thích ứng liên tục của các tác nhân đe dọa được nhà nước bảo trợ.

FortiGuard Labs đã triển khai các khả năng phát hiện toàn diện cho chiến dịch đe dọa này. FortiGuard Antivirus xác định các thành phần khác nhau, bao gồm các biến thể LNK/Agent, mẫu MSOffice/Agent và phân loại Python/Agent.

Các tổ chức sử dụng giải pháp bảo mật của Fortinet, bao gồm FortiGate, FortiMail, FortiClient và FortiEDR, sẽ nhận được sự bảo vệ tự động chống lại các vector tấn công đang phát triển này. Điều này nhấn mạnh tầm quan trọng của các phương pháp bảo mật đa lớp và giám sát tình báo mối đe dọa liên tục trong việc phòng thủ chống lại các hoạt động gián điệp tinh vi nhắm vào các tổ chức chính phủ và quốc phòng trong khu vực.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Các chỉ số thỏa hiệp sau đây đã được xác định liên quan đến các chiến dịch của nhóm Confucius:

• C2 Domain:
  • greenxeonsr.info