Nhóm đe dọa dai dẳng nâng cao (APT) MuddyWater đã tiến hành một chiến dịch lừa đảo tinh vi, nhắm mục tiêu vào hơn 100 thực thể chính phủ trên khắp Trung Đông, Bắc Phi và các tổ chức quốc tế. Chiến dịch này được đánh giá là một tấn công mạng quy mô lớn, thể hiện sự leo thang đáng báo động trong năng lực gián điệp và mức độ tinh vi trong hoạt động của nhóm.

Theo báo cáo tình báo của Group-IB, MuddyWater, một nhóm tin tặc có liên kết với Iran, đã khai thác một hộp thư bị xâm nhập thông qua NordVPN. Mục tiêu của chiến dịch là phân phối mã độc Phoenix backdoor phiên bản 4 cùng với các công cụ đánh cắp thông tin xác thực tùy chỉnh, nhằm thu thập dữ liệu tình báo nhạy cảm từ các mục tiêu chính phủ có giá trị cao.

Chiến dịch tấn công mạng MuddyWater nhắm mục tiêu chính phủ

Chiến dịch này minh chứng cho sự phát triển trong kỹ thuật của MuddyWater và sự tập trung liên tục của chúng vào các hoạt động gián điệp mạng do nhà nước bảo trợ. Các mục tiêu chính là những tổ chức và cơ quan chính phủ ở các khu vực địa chính trị nhạy cảm.

Bằng cách khai thác các kênh liên lạc đáng tin cậy và lạm dụng các dịch vụ hợp pháp, tác nhân đe dọa đã thành công vượt qua các biện pháp phòng thủ an ninh thông thường. Điều này giúp chúng xâm nhập vào cơ sở hạ tầng quan trọng của chính phủ và các tổ chức quốc tế tham gia vào các nhiệm vụ ngoại giao và nhân đạo.

Phương thức xâm nhập ban đầu

MuddyWater khởi động hoạt động bằng cách gửi email độc hại từ một tài khoản bị xâm nhập. Tài khoản này được truy cập thông qua một nút thoát của NordVPN đặt tại Pháp, cho thấy một nỗ lực che giấu nguồn gốc.

Các email lừa đảo chứa tệp đính kèm Microsoft Word được thiết kế để lừa người nhận kích hoạt macro. Nội dung tài liệu bị làm mờ, kèm theo hướng dẫn “enable content” (bật nội dung) để xem tài liệu, đánh lừa người dùng cấp quyền thực thi mã độc.

Khi macro được kích hoạt, mã Visual Basic for Applications (VBA) nhúng bên trong sẽ thực thi, kích hoạt một chuỗi lây nhiễm nhiều giai đoạn. Đây là một kỹ thuật phổ biến trong các chiến dịch lừa đảo APT.

Chuỗi lây nhiễm và Mã độc Phoenix Backdoor v4

Kẻ tấn công đã sử dụng một dropper ban đầu, được xác định là FakeUpdate. Dropper này có nhiệm vụ giải mã payload giai đoạn hai được nhúng bằng mã hóa Advanced Encryption Standard (AES) và tiêm nó vào bộ nhớ của chính tiến trình.

Thành phần được tiêm vào là Phoenix backdoor phiên bản 4, một loại mã độc tinh vi. Sau khi được thực thi, nó tiến hành một loạt các hoạt động trinh sát và thiết lập cơ chế duy trì trên các hệ thống bị nhiễm.

Cơ chế hoạt động của Phoenix Backdoor

Backdoor Phoenix v4 tự sao chép vào đường dẫn C:ProgramDatasysprocupdate.exe để duy trì sự hiện diện trên hệ thống. Nó thiết lập tính dai dẳng bằng cách sửa đổi khóa đăng ký Windows HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon.

Cụ thể, mã độc thay đổi giá trị Shell trong khóa đăng ký này. Điều này giúp nó duy trì quyền truy cập ngay cả sau khi hệ thống khởi động lại, một kỹ thuật thường thấy trong các mối đe dọa mạng dai dẳng.

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon
    Shell = "C:ProgramDatasysprocupdate.exe"

Phoenix v4 đăng ký các máy chủ bị nhiễm với cơ sở hạ tầng lệnh và kiểm soát (C2) của kẻ tấn công và bắt đầu gửi tín hiệu liên tục để dò tìm các lệnh từ xa. Mã độc này thu thập thông tin hệ thống bao gồm tên máy tính, tên miền, phiên bản Windows và tên người dùng, sau đó truyền dữ liệu này đến các máy chủ của MuddyWater.

Phần mềm độc hại hỗ trợ nhiều lệnh hoạt động khác nhau, bao gồm khả năng tải lên và tải xuống tệp, thực thi shell và các chức năng giám sát từ xa. Điều này cung cấp cho kẻ tấn công quyền kiểm soát toàn diện đối với hệ thống bị xâm nhập, cho phép chúng tiếp tục tấn công mạng.

Công cụ thu thập thông tin đăng nhập Chromium_Stealer

Ngoài Phoenix backdoor, chiến dịch còn triển khai công cụ Chromium_Stealer. Công cụ này ngụy trang dưới dạng một ứng dụng máy tính và được thiết kế để nhắm mục tiêu vào thông tin xác thực được lưu trữ bởi các trình duyệt dựa trên Chromium như Google Chrome, Opera, Brave và Microsoft Edge.

Chromium_Stealer hoạt động bằng cách giải mã các khóa chính sử dụng API mã hóa của hệ điều hành. Sau đó, nó thu thập các thông tin đăng nhập được lưu trữ, cho phép kẻ tấn công truy cập vào các tài khoản trực tuyến của nạn nhân, mở rộng phạm vi của tấn công mạng.

Cơ sở hạ tầng C2 và Dấu hiệu nhận biết (IOCs)

Group-IB đã phát hiện các chi tiết quan trọng về cơ sở hạ tầng, hé lộ các biện pháp bảo mật hoạt động và thời gian tấn công của MuddyWater. Đây là thông tin then chốt để hiểu rõ mối đe dọa mạng này.

Phân tích cơ sở hạ tầng Command-and-Control

Cơ sở hạ tầng máy chủ C2 thực tế được đặt tại địa chỉ IP 159.198.36.115. Địa chỉ này chứa một thư mục bị lộ với nhiều công cụ hậu khai thác, bao gồm một công cụ đánh cắp thông tin xác thực trình duyệt tùy chỉnh, công cụ PDQ Remote Monitoring and Management (RMM) và tiện ích Action1 RMM.

Các mẫu mã độc chứa một tên miền C2 được mã hóa cứng: screenai[.]online. Tên miền này được đăng ký vào ngày 17 tháng 8 năm 2025 thông qua NameCheap. Điều đáng chú ý là tên miền chỉ hoạt động trong năm ngày, từ ngày 19 tháng 8 đến ngày 24 tháng 8 năm 2025, cho thấy một chiến dịch tấn công mạng được lên kế hoạch cẩn thận và giới hạn về thời gian.

Mặc dù sử dụng NordVPN để gửi email, địa chỉ IP thực của máy chủ C2 (159[.]198[.]36[.]115) đã được phát hiện thông qua chứng chỉ Secure Sockets Layer (SSL). IP này được đăng ký dưới Autonomous System Number (ASN) của NameCheap, cung cấp thêm bằng chứng về cơ sở hạ tầng của kẻ tấn công.

Các chỉ số thỏa hiệp (IOCs)

Để hỗ trợ các tổ chức trong việc phát hiện và ứng phó với mối đe dọa mạng này, dưới đây là các chỉ số thỏa hiệp chính (IOCs) liên quan đến chiến dịch tấn công mạng của MuddyWater:

• Địa chỉ IP C2:159.198.36.115
• Tên miền C2:screenai[.]online
• Đường dẫn file mã độc:C:ProgramDatasysprocupdate.exe
• Khóa Registry Persistent:HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon (thay đổi giá trị Shell)
• Mã độc được triển khai:Phoenix backdoor v4, Chromium_Stealer, FakeUpdate.

Đánh giá và Phân tích chuyên sâu về mối đe dọa mạng

Group-IB đã quy kết chiến dịch này cho MuddyWater dựa trên nhiều chỉ số. Các chỉ số này bao gồm việc sử dụng các họ mã độc tùy chỉnh chỉ được sử dụng trong các hoạt động trước đây của MuddyWater, các mã macro có chữ ký hash giống hệt nhau và cơ sở hạ tầng C2 lưu trữ các công cụ từng được liên kết với tác nhân đe dọa này.

Mức độ tinh vi của APT MuddyWater

Mô hình nhắm mục tiêu của chiến dịch hoàn toàn phù hợp với trọng tâm lịch sử của MuddyWater vào các thực thể chính phủ Trung Đông và các tổ chức quốc tế. Sự nhất quán này củng cố thêm việc quy kết.

Khả năng khai thác các kênh liên lạc đáng tin cậy và lạm dụng các dịch vụ hợp pháp cho thấy mức độ tinh vi cao của MuddyWater. Nhóm này không chỉ đơn thuần thực hiện một tấn công mạng mà còn có khả năng vượt qua các biện pháp phòng thủ an ninh truyền thống.

Mục tiêu chiến lược và dự báo

Sự tập trung dai dẳng của MuddyWater vào các mục tiêu chính phủ giữa các căng thẳng địa chính trị đang diễn ra nhấn mạnh một mục tiêu tình báo chiến lược dài hạn. Nhóm này tiếp tục là một mối đe dọa mạng đáng kể trong bối cảnh an ninh toàn cầu.

Các nhà nghiên cứu bảo mật kỳ vọng các chiến dịch tương tự sẽ tiếp tục xuất hiện. Tác nhân đe dọa này sẽ tiếp tục khai thác các tài khoản mới bị xâm nhập và các payload ngày càng phát triển để duy trì quyền truy cập và thu thập tình báo nước ngoài từ các mục tiêu có giá trị cao trên nhiều châu lục.