Các nhà nghiên cứu bảo mật tại Volexity đã phát hiện bằng chứng thuyết phục cho thấy các tác nhân đe dọa có liên kết với Trung Quốc đang tận dụng các nền tảng trí tuệ nhân tạo như ChatGPT để tăng cường khả năng tấn công mạng tinh vi của họ.

Chiến Dịch Tấn Công Mạng của UTA0388 và AI

Nhóm APT này, được theo dõi với định danh UTA0388, đã tiến hành các chiến dịch spear phishing tinh vi kể từ tháng 6 năm 2025. Chúng sử dụng trợ giúp của AI để phát triển mã độc và soạn thảo các email lừa đảo đa ngôn ngữ.

Các chiến dịch này nhắm mục tiêu vào các tổ chức ở khắp Bắc Mỹ, Châu Á và Châu Âu. Chúng thể hiện sự tinh vi chưa từng có trong việc sử dụng các mô hình ngôn ngữ lớn (LLMs) để tự động hóa và tăng cường các hoạt động độc hại.

Các tác nhân đe dọa đã tạo ra các hồ sơ cá nhân giả mạo và các tổ chức nghiên cứu hư cấu để thực hiện kỹ thuật xã hội. Mục đích là để lừa các mục tiêu tải xuống các payload độc hại trong các cuộc tấn công mạng.

Kỹ Thuật Spear Phishing Đa Ngôn Ngữ

Điều làm cho các chiến dịch này khác biệt là khối lượng và sự đa dạng ngôn ngữ của các cuộc tấn công mạng. Các email được soạn thảo bằng tiếng Anh, tiếng Trung, tiếng Nhật, tiếng Pháp và tiếng Đức.

Volexity đã quan sát thấy hơn 50 email lừa đảo duy nhất. Chúng xuất hiện trôi chảy và tự nhiên ở nhiều ngôn ngữ khác nhau, một khả năng bất thường đối với các tác nhân đe dọa truyền thống thường chỉ có kỹ năng ngôn ngữ hạn chế.

Tuy nhiên, mặc dù có sự trôi chảy về ngôn ngữ, các email này thường xuyên thiếu tính mạch lạc. Chúng chứa các sự kết hợp vô nghĩa, ví dụ như các mục tiêu nói tiếng Anh nhận được email có tiêu đề bằng tiếng Quan Thoại và nội dung bằng tiếng Đức.

Các tác nhân đe dọa đã sử dụng kỹ thuật “phishing xây dựng lòng tin” (rapport-building phishing). Theo đó, liên hệ ban đầu xuất hiện lành tính, chỉ gửi nội dung độc hại sau khi các mục tiêu tham gia vào cuộc trò chuyện qua nhiều lần trao đổi email.

Cách tiếp cận này giúp giảm thiểu sự lộ diện hạ tầng. Đồng thời, nó xây dựng lòng tin với các nạn nhân tiềm năng trước khi triển khai các payload độc hại trong một tấn công mạng bài bản.

Mã Độc GOVERSHELL: Phân Tích Kỹ Thuật

Phân tích kỹ thuật tiết lộ năm biến thể riêng biệt của mã độc tùy chỉnh của UTA0388, được đặt tên là GOVERSHELL. Mỗi biến thể đại diện cho các bản viết lại đáng kể hơn là những cải tiến lặp đi lặp lại. Điều này thường thấy trong quá trình phát triển của con người.

Cách tiếp cận phát triển bất thường này gợi ý khả năng có sự hỗ trợ của AI. Điều này giúp nhanh chóng tạo ra các phương thức liên lạc và khả năng khác nhau giữa các lần lặp lại mã độc.

Các biến thể GOVERSHELL sử dụng nhiều cơ chế command-and-control (C2) khác nhau. Chúng bao gồm từ giao tiếp TLS giả mạo đến kết nối WebSocket. Mỗi lần lặp lại đều giới thiệu các tính năng mới và các ngăn xếp mạng được viết lại hoàn toàn.

Cơ Chế Duy Trì và Artifact Phát Hiện

Mã độc đạt được sự duy trì (persistence) thông qua các tác vụ đã lên lịch (scheduled tasks). Nó sử dụng các kỹ thuật search order hijacking để tải các tệp DLL độc hại cùng với các tệp thực thi hợp pháp.

Đặc biệt, các bằng chứng kỹ thuật được phát hiện trong các mẫu mã độc rất đáng chú ý. Chúng bao gồm các đường dẫn của nhà phát triển chứa các ký tự tiếng Trung giản thể và siêu dữ liệu cho thấy việc tạo ra bằng python-docx.

python-docx là một thư viện Python thường được các LLMs sử dụng cho các tác vụ tạo tài liệu. Thông tin này cung cấp thêm bằng chứng về việc sử dụng AI.

Bằng Chứng Về Việc Sử Dụng Nền Tảng AI

Đánh giá này đã nhận được sự xác nhận đáng kể khi OpenAI công bố một báo cáo toàn diện vào tháng 10 năm 2025. Báo cáo đã xác nhận rằng UTA0388 thực sự đã tận dụng nền tảng ChatGPT của họ cho các hoạt động spear phishing và phát triển mã độc. Đây là một phương thức mới trong các hình thức tấn công mạng hiện đại.

Bằng chứng về việc sử dụng AI bao gồm các chi tiết tổ chức giả mạo với các mẫu tuần tự có thể dự đoán được. Các “Easter eggs” kỳ lạ trong các kho lưu trữ mã độc, bao gồm nội dung khiêu dâm và các bản ghi âm tôn giáo Phật giáo, cũng là một dấu hiệu.

Ngoài ra, việc nhắm mục tiêu có hệ thống vào các địa chỉ email rõ ràng là giả mạo được cạo từ các trang web mà không có nhận thức ngữ cảnh phù hợp cũng cho thấy sự can thiệp của AI.

Để tìm hiểu thêm chi tiết, bạn có thể tham khảo báo cáo của Volexity tại: Volexity Blog.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Dựa trên nội dung được cung cấp, các chỉ số thỏa hiệp chính (IOCs) liên quan đến tấn công mạng này bao gồm:

• Tên tác nhân đe dọa (Threat Actor): UTA0388
• Tên mã độc (Malware Family): GOVERSHELL (năm biến thể khác nhau)
• Kỹ thuật phát triển mã độc: Sử dụng AI/LLMs (như ChatGPT)
• Kỹ thuật tấn công: Spear Phishing, Rapport-building Phishing
• Kỹ thuật duy trì: Scheduled Tasks, Search Order Hijacking (tải DLL độc hại)
• Cơ chế C2: Giao tiếp TLS giả mạo, kết nối WebSocket
• Ngôn ngữ nhắm mục tiêu: Tiếng Anh, tiếng Trung, tiếng Nhật, tiếng Pháp, tiếng Đức

Lưu ý: Nội dung này không cung cấp các chỉ số kỹ thuật cụ thể như hàm băm (hashes), địa chỉ IP, tên miền hoặc các mẫu regex cho email lừa đảo.

Nhiều tổ chức đang phải đối mặt với các mối đe dọa mạng ngày càng phức tạp, đặc biệt là các chiến thuật mới như việc sử dụng AI trong tấn công mạng. Với sự phát triển của công nghệ, việc tăng cường các biện pháp an ninh mạng trở nên cấp thiết hơn bao giờ hết.