Tác nhân đe dọa tiên tiến có liên hệ với Trung Quốc, Mustang Panda, đã tinh chỉnh kho vũ khí gián điệp mạng của mình với một kỹ thuật DLL side-loading nâng cao, nhắm mục tiêu cụ thể vào cộng đồng Tây Tạng. Chiến dịch này, được IBM X-Force xác định lần đầu vào tháng 6 năm 2025, minh chứng cho sự phát triển không ngừng của các mối đe dọa mạng trong việc che giấu nhằm vượt qua các biện pháp kiểm soát bảo mật và duy trì sự hiện diện trên các hệ thống bị xâm nhập.

Vectơ Tấn công và Kỹ thuật Che giấu Ban đầu

Vectơ tấn công bắt đầu bằng một file .ZIP được tạo tác cẩn thận, chứa một file thực thi dường như vô hại mang tên ‘Voice for the Voiceless Photos.exe’. Đây là một tham chiếu có chủ đích đến cuốn sách của Đức Đạt Lai Lạt Ma, được thiết kế để thu hút đối tượng mục tiêu.

Kỹ thuật Giấu file DLL Tinh vi

Tuy nhiên, bên trong file nén này lại ẩn chứa một payload nguy hiểm hơn: một file DLL ẩn tên libjyy.dll. File này không hiển thị với người dùng thông qua các phương pháp khám phá file tiêu chuẩn.

DLL độc hại sử dụng các thuộc tính file của Windows để duy trì sự tàng hình, đặc biệt là sự kết hợp thuộc tính –arhs–:

• A: Archive (Lưu trữ)
• R: Read-only (Chỉ đọc)
• H: Hidden (Ẩn)
• S: System (Hệ thống)

Kỹ thuật che giấu tinh vi này đảm bảo file DLL vẫn không bị phát hiện, trừ khi người dùng điều hướng cụ thể đến Folder Options và bỏ chọn “Hide protected operating system files” – một hành động hiếm khi được người dùng thông thường thực hiện. Điều này làm tăng nguy cơ bị ảnh hưởng bởi mối đe dọa mạng này.

Phân tích Nhị phân và Lộ Trình Khai thác Ban đầu

Phân tích kỹ thuật file thực thi chính cho thấy những dấu hiệu đặc trưng thường liên quan đến các hoạt động của tác nhân đe dọa có liên hệ với Trung Quốc. File nhị phân chứa thông tin công ty bịa đặt, bao gồm “Hefei Nora Network Technology Co., Ltd.” làm tên công ty và chủ sở hữu bản quyền, cùng với tên sản phẩm “FFWallpaper Widgets Jyy.”

Dấu hiệu Nhận biết và API Loader

Nghiên cứu chỉ ra rằng không có công ty hợp pháp nào tồn tại dưới tên này, mặc dù các thực thể bịa đặt tương tự đã xuất hiện trong các chiến dịch liên quan đến Trung Quốc trước đây. Đây là một dấu hiệu rõ ràng của tấn công mạng có tổ chức.

File thực thi hoạt động như một loader với mục đích duy nhất là tải động file DLL bị che giấu thông qua API LoadLibraryW, cụ thể là gọi hàm ProcessMain. Cách tiếp cận tối giản này giảm thiểu bề mặt tấn công trong khi đảm bảo chức năng độc hại chính vẫn được phân tách trong thành phần DLL ẩn, tạo ra một mối đe dọa mạng khó phát hiện.

Payload Chính: Claimloader và Các Chức năng Độc hại

File libjyy.dll bị ẩn chứa các khả năng tinh vi hơn đáng kể, ngụy trang thành phần mềm hợp pháp từ “Wargaming.net Game Center” để tránh bị nghi ngờ. Phân tích cho thấy thành phần này đóng vai trò là Claimloader – một mã độc đa giai đoạn thực hiện nhiều chức năng quan trọng.

Cơ chế Giải mã và Kiểm tra Đối số

Claimloader triển khai một thuật toán mã hóa XOR đơn giản sử dụng khóa một byte 0x19 để che giấu các lệnh gọi API và chuỗi. Kỹ thuật này cho phép tải động các API quan trọng của Windows trong khi tránh được sự phát hiện của phân tích tĩnh. Mã độc Claimloader kiểm tra cụ thể đối số “Licensing” trong quá trình thực thi, đi theo các đường dẫn mã khác nhau tùy thuộc vào sự hiện diện của tham số này. Đây là một chiến thuật phổ biến trong các mối đe dọa mạng phức tạp.

Tham khảo thêm về các kỹ thuật tương tự được Mustang Panda sử dụng tại: 0x0d4y Blog – Mustang Panda.

Cơ chế Duy trì Quyền truy cập (Persistence)

Khi được thực thi mà không có đối số thích hợp, mã độc sẽ thiết lập cơ chế duy trì kép trên hệ thống bị nhiễm. Điều này cực kỳ quan trọng đối với các tấn công mạng muốn duy trì quyền kiểm soát.

• Sao chép File và Đổi tên: Mã độc sao chép cả file thực thi mồi nhử và DLL độc hại vào một thư mục Adobe bịa đặt tại C:ProgramDataAdobeLicensingPlugin. Chúng được đổi tên thành WF_Adobe_licensing_helper.exe và NewUI.dll tương ứng.
• Thiết lập Registry: Mã độc tạo persistence thông qua khóa registry SoftwareMicrosoftWindowsCurrentVersionRun. Điều này đảm bảo việc thực thi với đối số “Licensing” thích hợp khi hệ thống khởi động lại.
• Windows Task Scheduler: Ngoài persistence dựa trên registry, mã độc còn triển khai một cơ chế thứ cấp sử dụng Windows Task Scheduler. Claimloader giải mã và thực thi một lệnh tạo ra một tác vụ theo lịch trình có tên “AdobeExperienceManager”, chạy cứ mỗi hai phút.

Cách tiếp cận duy trì quyền truy cập dự phòng này làm phức tạp các nỗ lực phản ứng sự cố và tăng khả năng duy trì quyền truy cập ngay cả khi một cơ chế duy trì bị phát hiện và gỡ bỏ. Đây là một đặc điểm của mối đe dọa mạng kiên trì.

Triển khai Payload Thứ cấp: Publoader

Khi được thực thi với đối số chính xác, Claimloader chuyển sang giai đoạn triển khai payload chính của nó. Mã độc cấp phát bộ nhớ thực thi bằng cách sử dụng VirtualAlloc với quyền PAGE_EXECUTE_READWRITE, sau đó sao chép shellcode đã giải mã vào vùng đệm này.

Kỹ thuật Lẩn tránh và Giao tiếp C2

Thay vì trực tiếp thực thi shellcode, mã độc lạm dụng cơ chế gọi lại API EnumFontsW bằng cách truyền địa chỉ shellcode làm con trỏ hàm gọi lại. Đây là một kỹ thuật lẩn tránh nhiều giải pháp giám sát an ninh mạng.

Shellcode được triển khai, được xác định là Publoader, thực hiện băm API bằng thuật toán ROR13 để giải quyết động các API Windows cần thiết. Thành phần này thực hiện Process Environment Block (PEB) walking để định vị và tải các module cần thiết, cuối cùng thiết lập giao tiếp với cơ sở hạ tầng Command-and-Control (C2) để trích xuất thông tin hệ thống. Đây là một bước quan trọng trong chuỗi tấn công của mối đe dọa mạng này.

Sự Phát triển của Mustang Panda và Khuyến nghị Phòng thủ

Chiến dịch này chứng minh sự phát triển liên tục của Mustang Panda trong các phương pháp nhắm mục tiêu, kết hợp các yếu tố kỹ thuật xã hội cụ thể theo lợi ích của cộng đồng Tây Tạng với các kỹ thuật che giấu kỹ thuật tiên tiến. Điều này cho thấy tầm quan trọng của việc duy trì một hệ thống an ninh mạng mạnh mẽ.

Các nhóm bảo mật nên triển khai giám sát toàn diện đối với các mẫu tải DLL bất thường, tạo tác vụ theo lịch trình và sửa đổi registry đáng ngờ để phát hiện các chiến dịch tương tự một cách hiệu quả. Nhận diện sớm các mối đe dọa mạng như vậy là chìa khóa để bảo vệ hệ thống.

Chỉ số Đe dọa (IOCs)

Để hỗ trợ phát hiện và ứng phó, dưới đây là các chỉ số đe dọa liên quan đến chiến dịch này:

• Tên file DLL độc hại:libjyy.dll
• Đường dẫn và tên file độc hại được sao chép:
  • C:ProgramDataAdobeLicensingPluginWF_Adobe_licensing_helper.exe
  • C:ProgramDataAdobeLicensingPluginNewUI.dll
• Khóa Registry Persistence:SoftwareMicrosoftWindowsCurrentVersionRun (dưới một entry liên quan đến WF_Adobe_licensing_helper.exe)
• Tên Scheduled Task:AdobeExperienceManager
• Khóa mã hóa XOR:0x19 (được sử dụng bởi Claimloader)
• Tên công ty bịa đặt trong metadata:Hefei Nora Network Technology Co., Ltd.
• Tên sản phẩm bịa đặt trong metadata:FFWallpaper Widgets Jyy.