Một chiến dịch tấn công mạng phishing tinh vi sử dụng tệp ZIP đa ngôn ngữ làm mồi nhử đã xuất hiện rộng khắp khu vực Đông và Đông Nam Á. Chiến dịch này nhắm mục tiêu vào các tổ chức chính phủ và tài chính với mức độ phối hợp chưa từng có.

Các nhà nghiên cứu bảo mật, thông qua bộ dữ liệu AttackCapture™ và HuntSQL™ của Hunt.io, đã khám phá một mạng lưới liên kết gồm 28 trang web độc hại hoạt động trên ba cụm ngôn ngữ. Điều này cho thấy một hạ tầng có khả năng mở rộng, tự động hóa, được thiết kế để phân phối các tải trọng mã độc theo giai đoạn, ngụy trang dưới dạng tài liệu hành chính hợp pháp.

Tổng Quan Về Chiến Dịch Phishing Đa Ngôn Ngữ

Chiến dịch này đại diện cho một bước tiến đáng kể trong các mối đe dọa mạng trong khu vực. Kẻ tấn công tái sử dụng các thành phần web giống hệt nhau, bao gồm script, tiêu đề trang và quy ước đặt tên tệp.

Điều này được thực hiện trên các biến thể tiếng Trung, tiếng Nhật và tiếng Anh. Phương pháp đa ngôn ngữ này cho phép các tác nhân đe dọa nhắm mục tiêu rộng hơn tại Đài Loan, Hồng Kông, Nhật Bản, Indonesia, Malaysia và các quốc gia Đông Nam Á khác.

Chúng điều chỉnh các chiến thuật kỹ thuật xã hội để phù hợp với bối cảnh hành chính và tài chính địa phương, tạo ra các tấn công mạng có độ tùy biến cao.

Phân Tích Kỹ Thuật Hạ Tầng Tấn Công

Phân tích hạ tầng của chiến dịch cho thấy một mẫu kỹ thuật nhất quán đáng kể. Tất cả các trang web được xác định đều sử dụng logic backend giống hệt nhau, khai thác các script download.php và visitor_log.php.

Điều này chỉ ra việc triển khai tập trung thông qua một bộ công cụ tự động hoặc trình xây dựng (builder). Để biết thêm chi tiết về phân tích hạ tầng, hãy tham khảo báo cáo chuyên sâu tại Hunt.io.

Hạ tầng lưu trữ chủ yếu dựa vào Kaopu Cloud HK Limited (AS138915). Các máy chủ được phân tán tại Tokyo, Singapore, Hồng Kông, Thái Lan và Campuchia.

Các vị trí này được đặt chiến lược để hỗ trợ các hoạt động trong khu vực, phục vụ cho các tấn công mạng có quy mô lớn.

Các Cụm Ngôn Ngữ và Mục Tiêu Cụ Thể

• Cụm tiếng Trung: Gồm 12 trang web phân phối tệp ZIP và RAR. Tên tệp mô phỏng hóa đơn thuế, khai báo xuất nhập khẩu, biểu mẫu xác nhận tài chính và tài liệu quy định bằng tiếng Trung phồn thể.

  Các trang này chủ yếu nhắm mục tiêu người dùng ở Đài Loan và Hồng Kông, sử dụng tiêu đề như “文件下載” (Tải xuống tệp) để tạo tính hợp pháp cho chiến dịch phishing.

• Cụm tiếng Anh: Cũng bao gồm 12 trang web, nhắm mục tiêu vào các môi trường doanh nghiệp Đông Nam Á. Chúng sử dụng tên tệp liên quan đến tài liệu khai thuế và điều chỉnh vị trí nhân viên.

• Trang tiếng Nhật: Bốn trang tiếng Nhật hoàn tất hoạt động với các mồi nhử tập trung vào đánh giá hệ thống lương và thông báo của Cơ quan Thuế Quốc gia.

Quá Trình Phát Hiện và Mở Rộng Chiến Dịch

Các nhà nghiên cứu đã xác định chiến dịch này bằng cách mở rộng từ các miền độc hại đã biết được ghi lại trong các báo cáo tình báo về mối đe dọa mạng trước đó của Fortinet.

Bắt đầu với miền tham chiếu “zxp0010w[.]vip”, các nhà điều tra đã sử dụng truy vấn HuntSQL để tương quan các cấu trúc trang, tiêu đề và mẫu script tương tự trên các khu vực.

Phương pháp này tiết lộ rằng các miền chia sẻ đặc điểm như đuôi .vip, .sbs, .cc và .cn đã liên tục phân phối cùng một framework độc hại. Chỉ có những sửa đổi bề ngoài về ngôn ngữ và tên tệp, tạo ra một chiến dịch phishing quy mô lớn.

Hoạt động hiện tại được xây dựng dựa trên các đợt phishing được ghi nhận trong suốt năm 2024 và đầu năm 2025. Khi đó, các tác nhân đe dọa ban đầu đã triển khai mã độc Winos 4.0 tại Đài Loan.

Sau đó, chúng mở rộng để phân phối họ mã độc HoldingHands trên các lãnh thổ châu Á rộng lớn hơn.

Phân tích cổng mở cho thấy SSH (cổng 22) đang chạy OpenBSD OpenSSH 8.0. Phiên bản này được quan sát lần đầu vào tháng 1 năm 2023 và vẫn hoạt động tính đến tháng 10 năm 2025.

Điều này cho thấy một máy chủ đã hoạt động lâu dài, có khả năng được sử dụng cho hạ tầng tấn công bền vững hoặc quản trị từ xa, hỗ trợ các tấn công mạng liên tục.

Các chiến dịch trước đó dựa vào dịch vụ lưu trữ đám mây như Tencent Cloud. Tuy nhiên, các nhà điều hành đã chuyển sang hạ tầng miền tùy chỉnh, nhúng các dấu hiệu khu vực như “tw” cho Đài Loan và “jp” cho Nhật Bản.

Sự thay đổi này thể hiện sự tinh vi ngày càng tăng trong bảo mật hoạt động và quản lý hạ tầng của chiến dịch phishing. Bằng cách duy trì nhiều cụm ngôn ngữ cụ thể dưới sự kiểm soát backend thống nhất, kẻ tấn công có thể đồng thời thử nghiệm các chủ đề kỹ thuật xã hội.

Chúng có thể xoay vòng miền nhanh chóng để né tránh danh sách chặn và duy trì quyền truy cập liên tục vào các môi trường bị xâm nhập trên các ranh giới địa lý và ngôn ngữ đa dạng.

Các Biện Pháp Phòng Ngừa và Phát Hiện

Các nhóm bảo mật cần triển khai chặn miền chủ động đối với các chỉ số đã phát hiện và theo dõi các miền mới nổi theo các mẫu đặt tên tương tự.

Các tổ chức có thể tận dụng khả năng giám sát liên tục của Hunt.io để truy vấn các trang phishing mới được quan sát. Cụ thể, tìm kiếm các điểm cuối đặc trưng như download.php hoặc visitor_log.php.

Điều này cho phép phát hiện sớm việc tái sử dụng hạ tầng cho các tấn công mạng tương tự. Các nhà phòng thủ mạng nên cấu hình cổng thư (mail gateways) để phát hiện các tệp đính kèm ZIP và RAR với tên tệp có chủ đề HR, thuế hoặc tài chính.

Đặc biệt lưu ý những tệp đến từ các ngôn ngữ hoặc ngữ cảnh không mong đợi. Đào tạo nhận thức người dùng vẫn là yếu tố then chốt, nhấn mạnh việc nhận biết các tài liệu chính thức giả mạo và hạn chế đặc quyền thực thi cho các script và tệp nén từ các nguồn không đáng tin cậy.

Các chiến dịch đa ngôn ngữ này nhấn mạnh tầm quan trọng của việc chia sẻ tình báo an ninh mạng xuyên khu vực để chống lại các tác nhân đe dọa hoạt động ở quy mô lớn trên các ranh giới ngôn ngữ và địa lý.

Các Chỉ Số Thỏa Hiệp (IoC)

Dựa trên phân tích, các chỉ số thỏa hiệp chính liên quan đến chiến dịch này bao gồm:

• Miền độc hại:

  • zxp0010w[.]vip
  • Các miền có đuôi .vip, .sbs, .cc, .cn sử dụng cùng framework độc hại.
  • Các miền tùy chỉnh với dấu hiệu khu vực như “tw” và “jp”.

• Script độc hại trên máy chủ:

  • download.php
  • visitor_log.php

• Mã độc được phân phối:

  • Winos 4.0
  • Họ mã độc HoldingHands

• Hạ tầng lưu trữ:

  • Kaopu Cloud HK Limited (AS138915)
  • Máy chủ đặt tại Tokyo, Singapore, Hồng Kông, Thái Lan, Campuchia.

• Thông tin cổng mở:

  • Cổng 22 (SSH) chạy OpenBSD OpenSSH 8.0 (quan sát từ 01/2023, hoạt động đến 10/2025).