Nhóm mối đe dọa mạng BlindEagle từ khu vực Nam Mỹ đã phát động một chiến dịch tấn công mạng tinh vi nhắm vào các cơ quan chính phủ Colombia. Chiến dịch này cho thấy sự phát triển đáng báo động trong các kỹ thuật tấn công của nhóm.

Vào đầu tháng 9 năm 2025, BlindEagle đã nhắm mục tiêu vào một cơ quan chính phủ thuộc Bộ Thương mại, Công nghiệp và Du lịch (MCIT) bằng cách sử dụng email lừa đảo (phishing) được phối hợp chặt chẽ và cơ chế phân phối mã độc nhiều giai đoạn. Cuộc tấn công mạng này thể hiện sự leo thang đáng kể về độ phức tạp và tinh vi trong hoạt động của BlindEagle, vượt ra ngoài việc triển khai mã độc cơ bản để trở thành một chuỗi tấn công được dàn dựng cẩn thận, liên quan đến nhiều thành phần độc hại.

Diễn Biến Chiến Dịch Tấn Công Mạng

Khởi Đầu Qua Email Lừa Đảo Nội Bộ

Chiến dịch tấn công mạng bắt đầu bằng một email lừa đảo được soạn thảo tỉ mỉ, mạo danh hệ thống tư pháp Colombia. Email này sử dụng thuật ngữ pháp lý và định dạng chính phủ chính thức để tạo cảm giác cấp bách, gây áp lực buộc người nhận phải xác nhận đã nhận được một thông báo về vụ kiện lao động.

Đáng chú ý, email lừa đảo này được gửi từ một tài khoản bị xâm nhập ngay trong chính tổ chức mục tiêu. Điều này đã tạo thêm độ tin cậy cho thông điệp và giúp bỏ qua các biện pháp bảo mật email thông thường.

Việc tài khoản nội bộ bị xâm nhập đã cho phép kẻ tấn công khai thác mối quan hệ tin cậy và tránh bị phát hiện bởi các giao thức bảo mật thường cảnh báo các mối đe dọa từ bên ngoài.

Cơ Chế Lây Nhiễm Đa Tầng Phức Tạp

Các nhà phân tích từ Zscaler đã xác định chuỗi tấn công hoàn chỉnh và kết luận rằng BlindEagle đã sử dụng một phương pháp không dùng tệp (file-less) phức tạp bất thường để né tránh các hệ thống phát hiện.

Tệp đính kèm ban đầu là một ảnh SVG (Scalable Vector Graphics) chứa mã HTML được mã hóa, điều hướng người dùng đến một cổng web giả mạo, bắt chước trang web hợp pháp của ngành tư pháp Colombia.

Sau khi người dùng tương tác với cổng thông tin giả mạo này, chuỗi tấn công tiếp tục diễn ra qua ba tệp JavaScript và một lệnh PowerShell. Mỗi giai đoạn đều giải mã thành phần tiếp theo một cách tuần tự thông qua các kỹ thuật mã hóa khác nhau, bao gồm Base64 và các thuật toán làm rối tùy chỉnh (custom obfuscation algorithms).

Kỹ Thuật Thực Thi Trong Bộ Nhớ (In-Memory Execution)

Cơ chế lây nhiễm thể hiện sự tinh vi đặc biệt thông qua việc sử dụng kỹ thuật steganography và các dịch vụ hợp pháp để phân phối payload.

Các tệp JavaScript trong chuỗi tấn công sử dụng các quy trình giải mã phức tạp, trong đó các mảng số nguyên được chuyển đổi thành mã thực thi.

Lệnh PowerShell tải xuống một tệp hình ảnh từ Internet Archive. Sau đó, nó trích xuất một payload độc hại được mã hóa Base64 ẩn trong tệp hình ảnh đó và tải payload trực tiếp vào bộ nhớ bằng cách sử dụng .NET reflection.

Việc thực thi trong bộ nhớ này ngăn chặn mọi tệp độc hại chạm vào ổ đĩa, làm phức tạp đáng kể các nỗ lực phát hiện đối với các giải pháp bảo mật truyền thống dựa trên tệp. Đây là một điểm mạnh của chiến dịch tấn công mạng này.

Các Thành Phần Mã Độc và Kỹ Thuật Né Tránh

Mã Độc Caminho và DCRAT

Kịch bản PowerShell đã thực thi Caminho, một phần mềm tải xuống (downloader malware) có các dấu vết ngôn ngữ tiếng Bồ Đào Nha trong mã của nó. Sau đó, Caminho tiếp tục truy xuất DCRAT thông qua mạng phân phối nội dung (CDN) của Discord.

DCRAT là một công cụ truy cập từ xa (Remote Access Trojan – RAT) mạnh mẽ, cung cấp cho kẻ tấn công khả năng kiểm soát toàn diện hệ thống bị xâm nhập.

Vô Hiệu Hóa AMSI và Duy Trì Truy Cập

DCRAT bao gồm các khả năng né tránh nâng cao, đáng chú ý là việc vá giao diện quét chống phần mềm độc hại của Microsoft (AMSI – Antimalware Scan Interface) để vô hiệu hóa các cơ chế phát hiện.

Sau khi hệ thống bị xâm nhập thành công, mã độc thiết lập khả năng duy trì truy cập (persistence) thông qua các tác vụ đã lên lịch (scheduled tasks) và sửa đổi registry, cung cấp cho kẻ tấn công quyền truy cập liên tục vào các hệ thống bị xâm nhập. Đây là một ví dụ điển hình về chiến dịch tấn công mạng dai dẳng.

Đặc Điểm Nổi Bật của Chiến Dịch

Chiến dịch này cho thấy sự trưởng thành của BlindEagle như một tác nhân đe dọa, kết hợp chuyên môn về kỹ thuật xã hội (social engineering) với năng lực kỹ thuật trong việc làm rối mã (obfuscation), giấu tin (steganography), và lạm dụng các dịch vụ hợp pháp.

Mục tiêu cuối cùng là thực hiện các cuộc tấn công mạng nhắm mục tiêu vào cơ sở hạ tầng chính phủ với rủi ro bị phát hiện ở mức tối thiểu. Điều này đặt ra thách thức lớn cho các đội ngũ an ninh mạng.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Nội dung gốc không cung cấp các chỉ số thỏa hiệp (IOC) cụ thể như hash tệp, địa chỉ IP hoặc domain máy chủ ra lệnh và kiểm soát (C2) liên quan trực tiếp đến chiến dịch tấn công mạng của BlindEagle. Tuy nhiên, các dịch vụ và kỹ thuật sau đây đã bị lạm dụng trong chiến dịch:

• Dịch vụ bị lạm dụng: Internet Archive, Discord Content Delivery Network (CDN).
• Kỹ thuật né tránh: Sử dụng mã hóa Base64 và thuật toán làm rối tùy chỉnh, steganography, thực thi trong bộ nhớ (.NET reflection), vá AMSI.
• Mạo danh: Hệ thống tư pháp Colombia, email nội bộ bị xâm nhập.

Các tổ chức nên chú ý đến việc giám sát các hoạt động bất thường liên quan đến các dịch vụ này và các kỹ thuật thực thi file-less để tăng cường khả năng phát hiện các mối đe dọa mạng tương tự.