Các chuyên gia kỹ thuật phân tích các tấn công mạng của nhóm gián điệp mạng Trung Quốc đã tiếp tục phô diễn năng lực kỹ thuật và quyết tâm nhắm mục tiêu vào các tổ chức Hoa Kỳ có liên hệ với hoạch định chính sách quốc tế, làm nổi bật mối đe dọa từ các lỗ hổng CVE nghiêm trọng và các tác nhân mạng do nhà nước bảo trợ. Chiến dịch này cho thấy nỗ lực thiết lập sự hiện diện bền bỉ và bí mật trong mạng lưới mục tiêu.

Tổng quan về Chiến dịch Gián điệp Mạng

Cuộc xâm nhập mới nhất, được ghi nhận vào tháng 4 năm 2025, nhắm vào một tổ chức phi lợi nhuận hàng đầu của Hoa Kỳ hoạt động trong lĩnh vực vận động chính sách. Sự việc này làm nổi bật các kỹ thuật tinh vi và việc chia sẻ công cụ rộng rãi giữa các nhóm tin tặc Trung Quốc như Kelp, Space Pirates và nhóm APT41 khét tiếng.

Các bằng chứng cho thấy đây là một chiến dịch có tổ chức, bắt đầu bằng việc quét hàng loạt vào ngày 5 tháng 4 năm 2025. Quá trình tấn công mạng này đã diễn ra liên tục, thể hiện sự kiên trì của các tác nhân đe dọa.

Giai đoạn đầu của Tấn công mạng: Khai thác Lỗ hổng CVE

Quá trình xâm nhập ban đầu được thực hiện bằng cách khai thác các lỗ hổng CVE đã biết. Các lỗ hổng được sử dụng trong đợt quét hàng loạt bao gồm:

• Atlassian OGNL Injection (CVE-2022-26134)
• Log4j (CVE-2021-44228) – Tham khảo chi tiết tại: NIST NVD
• Apache Struts (CVE-2017-9805)
• GoAhead RCE (CVE-2017-17562)

Việc khai thác các lỗ hổng này nhằm mục đích thiết lập một điểm truy cập ban đầu, chuẩn bị cho một cuộc tấn công mạng sâu rộng hơn.

Hoạt động Trinh sát và Thử nghiệm Kết nối

Vào ngày 16 tháng 4 năm 2025, hoạt động của tác nhân đe dọa tiếp tục với một loạt các lệnh đáng ngờ. Các lệnh này được sử dụng để kiểm tra cả kết nối internet và khả năng tiếp cận mạng nội bộ, đặc biệt tập trung vào một hệ thống tại địa chỉ 192.0.0.88.

Việc sử dụng nhiều giao thức và phương thức kết nối khác nhau phản ánh khả năng thích ứng kỹ thuật và quyết tâm truy cập các tài nguyên nội bộ cụ thể. Điều này thể hiện sự tinh vi trong các cuộc tấn công mạng hiện đại.

Sử dụng Lệnh CLI cho Trinh sát

Ngay sau các thử nghiệm kết nối, các tác nhân đe dọa đã sử dụng các công cụ như netstat để trinh sát mạng và tạo một tác vụ theo lịch định kỳ bằng công cụ dòng lệnh của Windows là schtasks.

schtasks /create /tn "SystemUpdate" /tr "C:WindowsSystem32cmd.exe /c ""C:Program FilesMicrosoft Visual Studio2019CommunityMSBuildCurrentBinMSBuild.exe" C:Tempoutbound.xml"" /sc daily /st 09:00

Tác vụ này thực thi ứng dụng MSBuild.exe hợp pháp, sau đó xử lý tệp outbound.xml để tiêm mã vào csc.exe, kết nối với máy chủ Command-and-Control (C2).

Cơ chế Duy trì Truy cập và Leo thang Đặc quyền

Các bước được thực hiện cho thấy cả sự tự động hóa (thông qua các tác vụ theo lịch) và ý định rõ ràng để duy trì quyền truy cập. Việc sử dụng đặc quyền cấp hệ thống khuếch đại thiệt hại tiềm tàng và độ phức tạp của sự xâm nhập.

Các công cụ và kỹ thuật được sử dụng mang dấu ấn của một số nhóm gián điệp Trung Quốc. Các tác nhân đe dọa đã vũ khí hóa các thành phần phần mềm hợp pháp – một phương pháp được gọi là DLL sideloading – bằng cách khai thác vetysafe.exe (một thành phần của VipreAV được ký bởi Sunbelt Software, Inc.) để tải sbamres.dll, một payload độc hại.

Nhận diện Mối đe dọa Mạng và Kỹ thuật Tấn công

Kỹ thuật chính xác này trước đây đã được ghi nhận trong các chiến dịch được gán cho nhóm Space Pirates và Earth Longzhi, với Earth Longzhi là một nhánh con đã biết của APT41. Cùng một phương pháp cũng được thấy trong các sự cố liên quan đến Kelp (còn gọi là Salt Typhoon hoặc Earth Estries), minh họa các thực tiễn chia sẻ công cụ rộng rãi giữa các nhóm APT của Trung Quốc.

Sự hiện diện của Imjpuexc, một tiện ích hợp pháp của Microsoft cho đầu vào script tiếng Đông Á, củng cố thêm việc gán danh tính cho các tác nhân có trụ sở hoặc liên kết với Trung Quốc.

Các tác nhân đe dọa cũng đã triển khai một phiên bản của Dcsync – một công cụ được thiết kế để mạo danh các bộ điều khiển miền (domain controllers) và đánh cắp thông tin xác thực – có thể cho phép leo thang đặc quyền và di chuyển ngang (lateral movement) trên toàn mạng. Tham khảo thêm về APT41 tại: GBHackers.

Các nhóm Gián điệp Mạng Trung Quốc chủ chốt

APT41 nổi bật là một trong những nhóm gián điệp lâu đời nhất của Trung Quốc, bao gồm nhiều nhánh con được biết đến với việc không ngừng nhắm mục tiêu vào các tổ chức giá trị cao trên khắp châu Á-Thái Bình Dương và phương Tây.

Kelp trở nên nổi tiếng với các cuộc xâm nhập rộng lớn vào các mạng viễn thông của Hoa Kỳ trong chu kỳ bầu cử tổng thống Hoa Kỳ năm 2024. Trong khi đó, Space Pirates đã hoạt động từ ít nhất năm 2017 và được biết đến với các vectơ tấn công độc đáo và tập trung vào các công ty Nga.

Chỉ số Thỏa hiệp (IOCs)

Dựa trên hoạt động được ghi nhận, các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện và phòng ngừa:

• Địa chỉ IP nội bộ mục tiêu:192.0.0.88
• Tên tệp liên quan đến cơ chế duy trì:outbound.xml, sbamres.dll
• Tệp thực thi hợp pháp bị lạm dụng:MSBuild.exe, csc.exe, vetysafe.exe, Imjpuexc.exe
• Lệnh CLI đáng ngờ: Hoạt động liên quan đến schtasks để tạo tác vụ định kỳ với các đường dẫn và đối số nêu trên.

Đánh giá Rủi ro và Tác động Chiến lược

Chiến dịch này phản ánh một xu hướng lớn hơn: các tác nhân do nhà nước Trung Quốc bảo trợ thường xuyên giám sát và xâm nhập các thực thể nước ngoài tham gia vào việc định hình chính sách đối với Trung Quốc. Nỗ lực thiết lập quyền truy cập mạng dài hạn củng cố các mục tiêu lâu dài về gián điệp, thu thập thông tin tình báo và gây ảnh hưởng chiến lược.

Việc tiếp tục sử dụng các công cụ và kỹ thuật tiêu chuẩn trên nhiều nhóm nổi tiếng cho thấy mức độ hợp tác và chia sẻ tài nguyên hoạt động cao. Điều này cho phép họ vượt qua các biện pháp bảo mật truyền thống và duy trì sự hiện diện lâu dài trong các mục tiêu của mình.

Khi sự cạnh tranh địa chính trị giữa Hoa Kỳ và Trung Quốc ngày càng sâu sắc, những cuộc tấn công mạng này đóng vai trò là lời nhắc nhở rõ ràng rằng gián điệp mạng đã trở thành một công cụ trung tâm để gây ảnh hưởng đến chính sách quốc tế và thu thập thông tin tình báo chiến lược. Thông tin chi tiết hơn có thể được tìm thấy tại: Security.com.

Thông qua sự kết hợp giữa sự bí mật, tinh vi về kỹ thuật và chuyên môn được chia sẻ, các nhóm tấn công mạng Trung Quốc vẫn là những đối thủ đáng gờm, với ý định định hình các cuộc thảo luận định nghĩa ngoại giao và an ninh toàn cầu.