Một chiến dịch spearphishing tinh vi đã nhắm mục tiêu vào các tổ chức nhân đạo đang hoạt động cứu trợ chiến tranh tại Ukraine. Chiến dịch này sử dụng các tài liệu PDF chứa mã độc và trang captcha Cloudflare giả mạo để triển khai một mã độc RAT tùy chỉnh.

Chiến dịch, được đặt tên là PhantomCaptcha, bắt đầu vào ngày 8 tháng 10 năm 2025. Nó tập trung vào các thành viên cá nhân của Ủy ban Chữ thập đỏ Quốc tế, văn phòng UNICEF Ukraine, Hội đồng Người tị nạn Na Uy và Sổ đăng ký Thiệt hại cho Ukraine của Hội đồng Châu Âu.

Mục Tiêu và Phạm Vi Ảnh Hưởng

Các cơ quan hành chính của chính phủ Ukraine tại các khu vực Donetsk, Dnipropetrovsk, Poltava và Mykolaivsk cũng nhận được các thông tin liên lạc độc hại. Chúng được ngụy trang thành các tài liệu chính phủ hợp pháp.

SentinelLABS và Digital Security Lab of Ukraine đã phát hiện ra cuộc tấn công phối hợp này. Chúng mạo danh Văn phòng Tổng thống Ukraine để gây nguy hiểm cho các tổ chức viện trợ quan trọng. Chi tiết nghiên cứu có thể tham khảo từ SentinelLABS.

Kỹ Thuật Khai Thác và Xâm Nhập Mạng

Phân Phối Mã Độc Qua PDF

Các tác nhân đe dọa đã phát tán một tài liệu PDF chứa mã độc dài tám trang. Tài liệu này có SHA-256: e8d0943042e34a37ae8d79aeb4f9a2fa07b4a37955af2b0cc0e232b79c2e72f3. Chúng được gửi qua email mạo danh Văn phòng Tổng thống Ukraine.

Dữ liệu trên VirusTotal cho thấy tệp độc hại được tải lên từ nhiều quốc gia. Bao gồm Ukraine, Ấn Độ, Ý và Slovakia. Điều này cho thấy mục tiêu rộng lớn và khả năng tương tác của nạn nhân.

Trang Cloudflare Giả Mạo và Kỹ Thuật Social Engineering

Liên kết được nhúng trong PDF đã dẫn nạn nhân đến zoomconference[.]app. Đây là một tên miền giả mạo trang Zoom hợp pháp, nhưng thực chất lại lưu trữ trên một máy chủ VPS của nhà cung cấp hạ tầng KVMKA do Nga sở hữu.

Các nhà nghiên cứu phát hiện tên miền độc hại này phân giải tới địa chỉ IP 193.233.23[.]81 đặt tại Phần Lan. Tên miền chỉ hoạt động trong một ngày trước khi bị gỡ xuống, thể hiện kỹ năng an ninh vận hành tinh vi của kẻ tấn công mạng.

Chiến dịch này đã sử dụng một biến thể của kỹ thuật kỹ thuật xã hội “ClickFix” hay “Paste and Run”. Kỹ thuật này đã trở nên phổ biến kể từ giữa năm 2024.

Sau khi truy cập trang Zoom giả, nạn nhân gặp phải một cổng bảo vệ DDoS của Cloudflare giả mạo rất thuyết phục. Nó cố gắng thiết lập kết nối WebSocket tới máy chủ của kẻ tấn công.

Khi nạn nhân nhấp vào hộp kiểm tra reCaptcha giả mạo “I’m not a robot”, một cửa sổ bật lên xuất hiện với hướng dẫn bằng tiếng Ukraine. Hướng dẫn này yêu cầu họ sao chép một token, nhấn Windows + R để mở hộp thoại Run, và dán lệnh.

Kỹ thuật này tỏ ra đặc biệt hiệu quả vì chính nạn nhân đã thực thi mã độc. Điều này bỏ qua các biện pháp kiểm soát an ninh điểm cuối truyền thống tập trung vào việc phát hiện tệp độc hại.

Cơ Chế Triển Khai Mã Độc RAT

Việc phân phối mã độc diễn ra qua ba giai đoạn khác nhau.

Giai Đoạn 1: Script PowerShell Khởi Tạo

Một script PowerShell ban đầu bị làm rối mạnh mẽ, kích thước hơn 500KB, đã tải xuống một payload giai đoạn hai.

Giai Đoạn 2: Do Thám Hệ Thống

Payload giai đoạn hai thực hiện do thám hệ thống, thu thập thông tin như:

• Tên máy tính
• Thông tin miền
• Tên người dùng
• UUID hệ thống

Dữ liệu này được mã hóa bằng XOR sử dụng một khóa cố định và được truyền tới máy chủ C2 (Command-and-Control).

Giai Đoạn 3: Payload Cuối Cùng – Mã Độc RAT Dựa Trên WebSocket

Payload cuối cùng triển khai một backdoor PowerShell nhẹ. Backdoor này thiết lập các kết nối WebSocket liên tục tới wss://bsnowcommunications[.]com:80.

Mã độc RAT dựa trên WebSocket này cho phép thực thi lệnh từ xa tùy ý, trích xuất dữ liệu, và khả năng triển khai thêm mã độc trên các hệ thống đã bị xâm nhập mạng.

Hạ Tầng Kẻ Tấn Công và Mối Liên Hệ

Phân tích cho thấy kẻ tấn công bắt đầu chuẩn bị hạ tầng của mình vào tháng 3 năm 2025. Tên miền liên quan sớm nhất là goodhillsenterprise[.]com, được đăng ký vào ngày 27 tháng 3.

Nội dung của tên miền và các tệp APK được thiết kế xoay quanh một địa điểm giải trí dành cho người lớn ở Lviv, Ukraine, có tên là Princess Men’s Club. Các APK tương tự cũng có thể được tìm thấy với các chủ đề khác, chẳng hạn như “Cloud Storage”.

Chứng chỉ SSL được cấp vào tháng 9. Dấu thời gian nội bộ từ tệp PDF mồi nhử có từ tháng 8 năm 2025, nhưng đã được cập nhật ngay trước cuộc tấn công vào tháng 10.

Vector Tấn Công Di Động

Các thay đổi hạ tầng đã phát hiện thêm một vector tấn công di động. Nó bao gồm các ứng dụng Android giả mạo được thiết kế theo chủ đề các doanh nghiệp Ukraine.

APK độc hại này đã thu thập dữ liệu thiết bị mở rộng, bao gồm:

• Danh bạ
• Nhật ký cuộc gọi
• Ứng dụng đã cài đặt
• Dữ liệu vị trí
• Ảnh thư viện
• Thông tin mạng

Tất cả dữ liệu này được truyền tới các máy chủ C2 cố định.

Khả Năng Liên Quan Đến COLDRIVER

SentinelLABS đã xác định khả năng trùng lặp với COLDRIVER, một nhóm đe dọa liên kết với FSB của Nga. Điều này dựa trên các chiến thuật, kỹ thuật và quy trình (TTPs) được quan sát trong chiến dịch tấn công mạng này.

Hạ tầng C2 backend tại bsnowcommunications[.]com vẫn hoạt động ngay cả sau khi các tên miền hướng tới người dùng bị gỡ xuống. Điều này cho thấy các hoạt động được phân vùng để duy trì quyền truy cập vào các hệ thống đã bị xâm phạm, đồng thời bảo vệ hạ tầng cốt lõi khỏi bị phát hiện.

Indicators of Compromise (IOCs)

Các chỉ số về sự xâm nhập (IOCs) được xác định từ chiến dịch này bao gồm:

• SHA-256 (PDF độc hại):e8d0943042e34a37ae8d79aeb4f9a2fa07b4a37955af2b0cc0e232b79c2e72f3
• Tên miền độc hại:
  • zoomconference[.]app
  • bsnowcommunications[.]com
  • goodhillsenterprise[.]com
• Địa chỉ IP C2:193.233.23[.]81