Vào tháng 10 năm 2025, một sự kiện rò rỉ dữ liệu nghiêm trọng đã phơi bày toàn bộ hoạt động nội bộ của nhóm APT35, còn được biết đến với tên gọi Charming Kitten. Đây là một đơn vị mạng hoạt động dưới sự chỉ đạo của Tổ chức Tình báo Vệ binh Cách mạng Hồi giáo Iran.

Hàng ngàn tài liệu bị lộ đã tiết lộ cách tiếp cận có hệ thống của nhóm APT35 trong việc nhắm mục tiêu vào các chính phủ và doanh nghiệp tại khu vực Trung Đông và châu Á. Sự cố rò rỉ dữ liệu này cung cấp cái nhìn chưa từng có về một tổ chức gián điệp mạng nhà nước.

Cấu trúc tổ chức và chiến dịch tấn công của APT35

Các tài liệu bị rò rỉ dữ liệu bao gồm báo cáo hiệu suất, hướng dẫn kỹ thuật và hồ sơ hoạt động. Những thông tin này đã cung cấp một bức tranh rõ ràng về cách nhóm được chính phủ bảo trợ này tiến hành tấn công mạng gián điệp trên quy mô lớn.

Mô hình hoạt động của Charming Kitten

Tài liệu rò rỉ cho thấy APT35 hoạt động như một tổ chức quân sự truyền thống, không giống một nhóm hacker nghiệp dư. Tính tổ chức cao là đặc điểm nổi bật của APT35.

Các nhà phân tích bảo mật từ DomainTools đã xác định rằng nhóm này duy trì hệ thống theo dõi hiệu suất chi tiết. Các điều hành viên báo cáo giờ làm việc, nhiệm vụ đã hoàn thành và tỷ lệ thành công cho các giám sát viên, sau đó họ tổng hợp thành bản tóm tắt chiến dịch toàn diện.

Cấu trúc hành chính này cho thấy các điều hành viên làm việc từ một cơ sở tập trung với hệ thống ra vào bằng thẻ, lịch làm việc cố định và cơ chế giám sát chính thức.

Tổ chức bao gồm các đội chuyên biệt tập trung vào phát triển khai thác lỗ hổng (exploit development), thu thập thông tin đăng nhập (credential harvesting), các chiến dịch lừa đảo (phishing operations) và giám sát hộp thư theo thời gian thực để thu thập tình báo con người (human intelligence).

Các phương pháp tấn công mạng được ghi lại trong các tệp bị rò rỉ đều có phương pháp luận và được tổ chức chặt chẽ.

Kỹ thuật khai thác lỗ hổng Exchange và Phương pháp tấn công

Theo ghi nhận của các nhà nghiên cứu bảo mật DomainTools, APT35 chủ yếu nhắm mục tiêu vào các máy chủ Microsoft Exchange thông qua chuỗi khai thác lỗ hổng ExchangeProxyShell.

Kết hợp với các dịch vụ Autodiscover và EWS, chúng trích xuất danh sách địa chỉ toàn cầu (Global Address Lists) chứa thông tin liên hệ của nhân viên. Đây là nền tảng cho các chiến dịch lừa đảo mục tiêu của APT35.

Một khi đã có quyền truy cập ban đầu, nhóm sử dụng các công cụ tùy chỉnh để thiết lập quyền truy cập bền bỉ và đánh cắp thông tin đăng nhập bổ sung từ bộ nhớ máy tính, sử dụng các kỹ thuật tương tự như Mimikatz.

Thông tin bị đánh cắp cho phép kẻ tấn công di chuyển ngang (lateral movement) trong mạng và duy trì quyền truy cập lâu dài. Điều này là dấu hiệu của một chiến dịch tấn công mạng tinh vi.

Báo cáo tình báo về APT35 của DomainTools cung cấp cái nhìn sâu sắc về các chiến dịch tấn công này.

Phạm vi địa lý và mục tiêu chiến lược của APT35

Phạm vi địa lý của chiến dịch mở rộng trên nhiều khu vực quan trọng. Các thực thể bị nhắm mục tiêu bởi APT35 bao gồm các bộ ngành chính phủ, công ty viễn thông, cơ quan hải quan và các công ty năng lượng ở Thổ Nhĩ Kỳ, Lebanon, Kuwait, Ả Rập Xê Út, Hàn Quốc và Iran.

Các tài liệu bị rò rỉ chứa danh sách mục tiêu có chú thích, ghi rõ cuộc tấn công nào thành công và cuộc tấn công nào thất bại, cùng với các đường dẫn webshell được sử dụng để duy trì quyền truy cập.

Trọng tâm hoạt động cho thấy các ưu tiên thu thập tình báo chiến lược phù hợp với mục tiêu của chính phủ Iran, thay vì các cuộc tấn công cơ hội ngẫu nhiên. Đây là chiến lược rõ ràng của APT35.

Truy cập vào thông tin liên lạc ngoại giao, cơ sở hạ tầng viễn thông và các lĩnh vực năng lượng quan trọng cung cấp cho Tehran thông tin có giá trị cho các cuộc đàm phán địa chính trị và đánh giá mối đe dọa.

Hạ tầng kỹ thuật và Chỉ số thỏa hiệp (IOCs) của APT35

Cơ sở hạ tầng kỹ thuật hỗ trợ hoạt động của APT35 chứng tỏ sự hiểu biết tinh vi về các hệ thống email doanh nghiệp. Nhóm này vũ khí hóa các lỗ hổng Exchange thông qua một chuỗi khai thác phối hợp, bắt đầu bằng quét trinh sát để xác định các máy chủ dễ bị tấn công.

Khi các mục tiêu phù hợp được xác định, các điều hành viên triển khai webshells được ngụy trang thành các tệp hệ thống hợp pháp để thiết lập khả năng chiếm quyền điều khiển từ xa (remote command execution).

Chi tiết về Webshell và kênh giao tiếp

Các webshell này, thường được đặt tên theo mẫu m0s.*, cung cấp các shell lệnh tương tác mà các điều hành viên truy cập thông qua các tiêu đề HTTP được tạo đặc biệt.

Các công cụ client dựa trên Python được sử dụng bởi các điều hành viên mã hóa lệnh trong tiêu đề Accept-Language và sử dụng một mã thông báo tĩnh (static token) để xác thực. Điều này tạo ra một kênh giao tiếp bí mật hòa lẫn với lưu lượng mạng hợp pháp, gây khó khăn cho việc phát hiện xâm nhập.

Ví dụ minh họa cấu trúc HTTP header cho một yêu cầu tiềm năng của APT35:

GET /owa/auth/logon.aspx HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36
Accept-Language: Y21kPSdlY2hvJTIwJTIySGVsbG8lMjBXb3JsZCUyMiUyNmd0JTNCJmF1dGg9U1RBVElDX1RPS0VOXzEyMzQ1
Cookie: ASP.NET_SessionId=...
...

Sau khi có quyền truy cập ban đầu, nhóm APT35 trích xuất Global Address List từ các máy chủ Exchange, chuyển đổi thông tin liên hệ email thành dữ liệu có cấu trúc cho các hoạt động lừa đảo tiếp theo.

Thông tin đăng nhập thu thập được sẽ được xác thực ngay lập tức và tái sử dụng trên các hệ thống khác trong mạng mục tiêu.

Quy trình tự động và báo cáo hiệu suất

Các tài liệu bị rò rỉ mô tả các tập lệnh tự động hóa việc xác thực shell và trích xuất nội dung hộp thư mà không cần sự can thiệp của con người, chứng tỏ sự trưởng thành trong phát triển năng lực của APT35.

Toàn bộ quá trình này tuân theo các mẫu tiêu chuẩn được ghi lại trong các playbook nội bộ, với các chỉ số thành công được ghi lại trong các báo cáo hiệu suất hàng tháng. Điều này cho thấy tính chuyên nghiệp cao trong mọi chiến dịch tấn công mạng của nhóm.

Cách tiếp cận có hệ thống này đối với việc xâm nhập Exchange, trích xuất thông tin đăng nhập và tích hợp lừa đảo minh họa cách APT35 biến các lỗ hổng Exchange kỹ thuật thành các hoạt động thu thập tình báo bền vững, được đo lường bằng kết quả định lượng chứ không phải cơ hội ngẫu nhiên. Đây là một ví dụ điển hình về chiến thuật của nhóm.

Các chỉ số thỏa hiệp (IOCs) quan trọng từ APT35

• Mẫu tên Webshell:m0s.*
• Kỹ thuật giao tiếp bí mật: Mã hóa lệnh trong tiêu đề HTTP Accept-Language với mã thông báo tĩnh.
• Kỹ thuật đánh cắp thông tin đăng nhập: Tương tự Mimikatz từ bộ nhớ hệ thống.
• Các mục tiêu khu vực: Thổ Nhĩ Kỳ, Lebanon, Kuwait, Ả Rập Xê Út, Hàn Quốc, Iran (chính phủ, viễn thông, hải quan, năng lượng).