Một chiến dịch tấn công mạng gián điệp tinh vi đã được phát hiện, nhắm vào các tổ chức ngoại giao châu Âu, báo hiệu sự leo thang chiến lược từ nhóm tác nhân đe dọa UNC6384 liên quan đến Trung Quốc. Trọng tâm của chiến dịch này là khai thác một lỗ hổng bảo mật nghiêm trọng của Windows shortcut (LNK) UI misrepresentation – ZDI-CAN-25373, được tiết lộ lần đầu vào tháng 3 năm 2025, kết hợp với các chiêu trò lừa đảo xã hội được thiết kế riêng, bắt chước các hội nghị ngoại giao chính thống.

UNC6384: Kẻ Tấn Công Chuyên Nghiệp Nhắm vào Lĩnh Vực Ngoại Giao

UNC6384, một nhóm tác nhân đe dọa đã được nhóm Threat Intelligence của Google ghi nhận trước đây, nổi tiếng với việc liên tục nhắm mục tiêu vào các ngành ngoại giao, đặc biệt là ở Đông Nam Á. Tuy nhiên, các hoạt động gần đây cho thấy sự mở rộng trọng tâm vào các lĩnh vực ngoại giao cốt lõi của châu Âu.

Các nhà nghiên cứu tại Arctic Wolf Labs đã xác định rằng, từ tháng 9 đến tháng 10 năm 2025, các thực thể ở Hungary, Bỉ và các quốc gia lân cận châu Âu đã bị nhắm mục tiêu cụ thể thông qua một chuỗi tấn công mới.

Sự linh hoạt về chiến thuật của nhóm được thể hiện rõ qua việc nhanh chóng áp dụng các kỹ thuật khai thác: chỉ trong vòng sáu tháng kể từ khi ZDI-CAN-25373 được công bố công khai, UNC6384 đã vận hành khai thác lỗ hổng này. Chúng sử dụng các email spearphishing chứa URL khởi tạo một sự xâm nhập đa giai đoạn.

Chi tiết về Khai thác Lỗ hổng LNK Windows (ZDI-CAN-25373)

Cuộc tấn công bắt đầu khi nạn nhân tương tác với các tệp LNK có vẻ hợp pháp, có chủ đề liên quan đến các cuộc họp của Ủy ban châu Âu và NATO. Các tệp này khai thác lỗ hổng bảo mật nghiêm trọng của Windows để bí mật thực thi các lệnh PowerShell bị che giấu.

Các lệnh PowerShell này sau đó sẽ trích xuất và kích hoạt một kho lưu trữ chứa mã độc. Payload cuối cùng là PlugX, một trojan truy cập từ xa (RAT) được biết đến với tính mô-đun và được nhiều nhóm APT liên quan đến Trung Quốc ưa chuộng.

Chuỗi Tấn công và Cơ chế Lây nhiễm PlugX

Chuỗi tấn công xoay quanh tệp LNK đã được vũ khí hóa. Tệp này sử dụng kỹ thuật đệm khoảng trắng (whitespace padding) trong trường COMMAND_LINE_ARGUMENTS để kích hoạt khai thác, như chi tiết tại GBHackers.

Một khi được kích hoạt, tệp LNK sẽ chạy PowerShell để giải nén một kho lưu trữ tar, tạo ra ba tệp chính:

• Một tệp thực thi hỗ trợ máy in Canon hợp pháp (được ký số, nhưng với chứng chỉ đã hết hạn).
• Một DLL độc hại.
• Một payload được mã hóa.

Sử dụng cơ chế tìm kiếm DLL (DLL search order) của Windows cho tấn công side-loading, tệp nhị phân của Canon sẽ tải DLL độc hại. DLL độc hại này sau đó sẽ giải mã và tiêm payload PlugX vào bộ nhớ để thực thi một cách ẩn danh.

Đặc điểm và Khả năng của Mã độc PlugX

PlugX cho phép thực hiện các hành động gián điệp rộng lớn, bao gồm thực thi lệnh, truyền tệp, ghi nhật ký gõ phím (keylogging) và thiết lập duy trì quyền truy cập. Nó ngụy trang sự hiện diện của mình trong các quy trình đáng tin cậy.

Đáng chú ý, mã độc này tải và phân giải động các hàm Windows API bằng cách sử dụng các chuỗi được làm rối, được phân giải trong thời gian chạy. Điều này triển khai các biện pháp chống phân tích như làm phẳng luồng điều khiển (control-flow flattening) và mã hóa để cản trở việc phát hiện, như đã được ghi nhận về các mã độc phức tạp khác trên GBHackers.

Cơ sở hạ tầng C2 và Các Vector Tấn công Khác

Ngoài phương thức phân phối qua spearphishing, Zero Day Initiative (ZDI) và Arctic Wolf Labs cũng lưu ý việc UNC6384 sử dụng các vector thay thế, bao gồm chiếm quyền điều khiển cổng thông tin bị hạn chế (captive portal hijacking) và thực thi tệp HTA nền. Điều này làm nổi bật thêm tính linh hoạt kỹ thuật của tác nhân đe dọa.

Cơ sở hạ tầng C2 (command and control) của chúng trải rộng trên nhiều tên miền giống như các dịch vụ hợp pháp và được phân phối ở các khu vực khác nhau, làm phức tạp các nỗ lực gỡ bỏ.

Các địa chỉ IP, tên miền hoặc hash cụ thể liên quan đến cơ sở hạ tầng C2 của UNC6384 không được cung cấp trong thông tin gốc này.

Tác động Chiến lược và Khuyến nghị Phòng thủ trước Lỗ hổng Bảo mật Nghiêm trọng

Trọng tâm của chiến dịch này ở châu Âu nhắm vào các thực thể tham gia vào chính sách xuyên biên giới, mua sắm quốc phòng và phối hợp đa phương – những lĩnh vực có lợi ích chiến lược đối với Trung Quốc. Các tài liệu lừa đảo được căn chỉnh theo các sự kiện thực tế, như các cuộc họp biên giới EU-Tây Balkan và các hội thảo quốc phòng của NATO, cho thấy sự hiểu biết nâng cao về lịch trình ngoại giao, làm tăng khả năng xâm nhập thành công.

Nhiễm PlugX dai dẳng cho phép những kẻ tấn công đánh cắp các tài liệu mật, giám sát các cuộc thảo luận chính sách và có khả năng thao túng hoặc theo dõi các quy trình ngoại giao theo thời gian thực. Điều này không chỉ gây ra rủi ro mất dữ liệu ngay lập tức mà còn tạo ra những bất lợi chiến lược lâu dài cho các chính phủ và tổ chức mục tiêu.

Do sự thiếu vắng một bản vá chính thức cho lỗ hổng bảo mật nghiêm trọng ZDI-CAN-25373, các tổ chức nên thực hiện các biện pháp phòng ngừa. Cần tắt tính năng phân giải tệp LNK tự động, chặn các tên miền C2 đã biết và kiểm tra kỹ lưỡng việc triển khai các tiện ích máy in Canon ở các vị trí bất thường.

Chúng tôi khuyến nghị tăng cường đào tạo người dùng và giám sát liên tục các cuộc tấn công DLL side-loading. Đồng thời, cần chủ động tìm kiếm các mã độc ẩn mình trong bộ nhớ.

Chiến dịch này nhấn mạnh sự thay đổi mô hình trong hoạt động gián điệp, kết hợp khai thác lỗ hổng bảo mật nghiêm trọng tiên tiến với lừa đảo có ngữ cảnh để xâm nhập vào các mạng ngoại giao có giá trị cao. Các tổ chức phải ưu tiên phòng thủ mạnh mẽ chống lại các tác nhân đe dọa đang phát triển nhanh chóng như UNC6384 để bảo vệ các quy trình ngoại giao và hoạch định chính sách quan trọng.