Trong một chiến dịch được phát hiện gần đây, nhóm APT Mysterious Elephant đã thực hiện một loạt các cuộc xâm nhập tinh vi nhắm vào các cơ quan chính phủ và đối ngoại trong khu vực Châu Á-Thái Bình Dương. Các hoạt động mới nhất, bắt đầu từ đầu năm 2025, sử dụng các module mã độc được xây dựng tùy chỉnh và các tiện ích mã nguồn mở đã sửa đổi để nhắm mục tiêu và đánh cắp tài liệu, hình ảnh cũng như kho lưu trữ được truyền qua WhatsApp.

Chiến dịch tấn công và sự tiến hóa của nhóm APT Mysterious Elephant

Lần đầu tiên được xác định bởi Kaspersky Lab’s Global Research and Analysis Team (GReAT) vào năm 2023, nhóm này không ngừng tinh chỉnh các chiến thuật, kỹ thuật và quy trình (TTPs) để tránh bị phát hiện và đánh cắp dữ liệu nhạy cảm.

Kể từ lần phát hiện ban đầu, Mysterious Elephant đã tích hợp mã từ nhiều nhóm APT khác, bao gồm Origami Elephant, Confucius và SideWinder. Các chiến dịch trước đây đã khai thác lỗ hổng Office CVE-2017-11882 thông qua kỹ thuật chèn template từ xa, tận dụng trình tải xuống Vtyrei từng được Origami Elephant sử dụng.

Không giống như các nhóm tiền nhiệm, Mysterious Elephant đã bảo tồn, nâng cao và hiện đại hóa các công cụ này, tạo ra một bộ công cụ riêng biệt làm nền tảng cho các hoạt động hiện tại của mình.

Kỹ thuật Spear Phishing: Vector xâm nhập ban đầu

Chiến dịch mới mở đầu bằng spear phishing làm vector xâm nhập chính. Các email spear phishing được cá nhân hóa cao, thường đề cập đến các chủ đề ngoại giao khu vực như việc Pakistan ứng cử vào Hội đồng Bảo an Liên Hợp Quốc.

Người nhận sẽ nhận được các tệp đính kèm có vẻ hợp pháp được thiết kế để cài đặt mã độc khi mở. Cách tiếp cận có mục tiêu này làm nổi bật sự chú trọng của nhóm vào độ chính xác và tính bền bỉ trong việc giành quyền truy cập ban đầu vào các mạng có giá trị cao.

Các script này thiết lập khả năng duy trì bằng cách tạo các tác vụ theo lịch trình (scheduled tasks) được kích hoạt khi có thay đổi mạng và trì hoãn thực thi để trốn tránh các hệ thống phân tích tự động.

Kho công cụ độc hại và cơ chế hoạt động

BabShell: Reverse Shell tùy chỉnh

Một thành phần cốt lõi là BabShell, một reverse shell dựa trên C++, tạo ra các luồng để thực thi các lệnh nhận được từ các máy chủ do kẻ tấn công kiểm soát.

Nó thu thập thông tin chi tiết về hệ thống như tên người dùng, tên máy và địa chỉ MAC trước khi đi vào một vòng lặp vô hạn để xử lý các hướng dẫn và lưu trữ kết quả vào các tệp văn bản có dấu thời gian để truy xuất sau này. Điều này cho thấy một mối đe dọa mạng được tổ chức bài bản.

MemLoader: Bộ tải PE độc hại

Bổ sung cho BabShell là hai biến thể của bộ tải PE phản chiếu MemLoader: MemLoader HidenDesk và MemLoader Edge.

• MemLoader HidenDesk: Sử dụng thuật toán giống RC4 để giải mã và thực thi shellcode, sau đó lấy một mẫu RAT thương mại (Remcos) hoàn toàn trong bộ nhớ. Nó cũng tạo ra một môi trường desktop ẩn để che giấu các hoạt động của mình.

• MemLoader Edge: Tích hợp các kiểm tra né tránh sandbox bằng cách thăm dò cổng 445 trên bing.com. Kết nối thành công sẽ kích hoạt các cửa sổ bật lên giả mạo, trong khi các kết nối thất bại dẫn đến giải mã và tải backdoor VRat vào bộ nhớ.

Kỹ thuật Đánh cắp và Rò rỉ Dữ liệu

Mục tiêu chính: Dữ liệu WhatsApp và Chrome

Việc đánh cắp dữ liệu tập trung nhiều vào các hiện vật của WhatsApp. Các module như Uplo Exfiltrator và Stom Exfiltrator đệ quy duyệt các thư mục để định vị các loại tệp mục tiêu—tài liệu, bảng tính, kho lưu trữ, chứng chỉ và phương tiện—và tải chúng lên các máy chủ command-and-control bằng cách sử dụng giải mã XOR và mã hóa Base64 để ngăn chặn phát hiện.

ChromeStealer Exfiltrator còn thu thập thêm cookie, token và dữ liệu người dùng Chrome, bao gồm cả các giao dịch web WhatsApp, bằng cách khai thác kỹ thuật che giấu chuỗi (string obfuscation) để che dấu hoạt động của nó. Đây là một phương thức tinh vi dẫn đến rò rỉ dữ liệu nhạy cảm.

Cơ sở hạ tầng Command-and-Control (C2)

Cơ sở hạ tầng của nhóm tận dụng các bản ghi DNS wildcard để tạo các miền duy nhất cho mỗi yêu cầu và sử dụng nhiều nhà cung cấp máy chủ riêng ảo (VPS) để lưu trữ. Môi trường động này làm phức tạp việc theo dõi phòng thủ và cản trở các nỗ lực quy kết.

Phân tích thống kê chỉ ra rằng nhóm APT Mysterious Elephant có sự ưu tiên nhất quán đối với một số nhà cung cấp VPS nhất định, cho thấy một cơ sở hạ tầng hoạt động lâu dài được điều chỉnh để mở rộng quy mô và thích ứng nhanh chóng.

Đối tượng Mục tiêu và Tác động

Các nạn nhân chính của Mysterious Elephant là các cơ quan chính phủ và đối ngoại tại Pakistan, Bangladesh, Sri Lanka, Afghanistan và Nepal. Việc các kẻ tấn công nhắm mục tiêu chính xác bằng phishing và các mã độc được tùy chỉnh cho thấy sự hiểu biết sâu sắc về bối cảnh chính trị khu vực và các kênh liên lạc của tổ chức.

Biện pháp Giảm thiểu và Phòng ngừa

Để giảm thiểu mối đe dọa mạng này, các tổ chức nên thực thi quản lý bản vá nghiêm ngặt, triển khai giám sát mạng để phát hiện việc tạo tác vụ theo lịch trình bất thường và các bất thường về DNS, đồng thời cung cấp đào tạo nhận thức về phishing thường xuyên.

Sự hợp tác chặt chẽ giữa các nhóm an ninh mạng khu vực và việc chia sẻ thông tin quốc tế sẽ rất quan trọng để phát hiện các dấu hiệu xâm nhập (IOC) mới nổi và làm gián đoạn các hoạt động đang phát triển của nhóm.

Bằng cách nghiên cứu các TTPs không ngừng thay đổi của nhóm APT Mysterious Elephant và áp dụng các biện pháp bảo mật chủ động, các thực thể bị ảnh hưởng có thể tăng cường phòng thủ chống lại đối thủ kiên trì và tinh vi về mặt kỹ thuật này.