Một nhóm được tình nghi là tác nhân đe dọa mạng, được biết đến với tên gọi SloppyLemming (còn được theo dõi là Outrider Tiger và Fishing Elephant), đã thực hiện một chiến dịch tấn công mạng gián điệp dai dẳng. Mục tiêu của chiến dịch này là các cơ quan chính phủ, tổ chức quốc phòng, cơ quan giám sát hạt nhân và nhà điều hành cơ sở hạ tầng trọng yếu.

Hoạt động từ năm 2021, nhóm đã triển khai hai công cụ mới được ghi nhận trong khoảng thời gian từ tháng 1 năm 2025 đến tháng 1 năm 2026. Các công cụ này bao gồm một backdoor tùy chỉnh có tên BurrowShell và một Trojan truy cập từ xa (RAT) dựa trên Rust, được trang bị khả năng ghi lại thao tác phím.

Phân tích con đường trong chiến dịch tấn công mạng

Chiến dịch tấn công mạng này sử dụng hai con đường tấn công riêng biệt, cả hai đều khởi phát thông qua các cuộc tấn công lừa đảo có chủ đích (spear-phishing).

Khai thác qua tài liệu PDF và ClickOnce

Con đường đầu tiên sử dụng các tài liệu PDF làm mồi nhử, chứa một trang bị làm mờ và một nút “Download file” giả. Khi nạn nhân nhấp vào nút này, họ sẽ được chuyển hướng đến một tệp kê khai ứng dụng ClickOnce. ClickOnce là một công nghệ triển khai của Microsoft, cho phép cài đặt ứng dụng từ xa qua web. Kẻ tấn công đã lạm dụng cơ chế này để âm thầm cài đặt một chuỗi mã độc nhiều giai đoạn lên thiết bị của nạn nhân.

Khai thác qua bảng tính Excel chứa macro

Con đường thứ hai khai thác các bảng tính Excel có hỗ trợ macro. Khi được mở, các tệp này sẽ tự động tải xuống và thực thi các payload độc hại từ các máy chủ do kẻ tấn công kiểm soát.

Các nhà phân tích của Arctic Wolf đã xác định cả hai chuỗi tấn công này là một phần của một chiến dịch tấn công mạng phối hợp duy nhất. Cả hai phương pháp đều dựa vào kỹ thuật DLL search order hijacking để thực thi mã độc thông qua các tiến trình Microsoft đáng tin cậy. Kỹ thuật này lợi dụng cách hệ điều hành tìm kiếm các thư viện liên kết động (DLL). Bằng cách đặt các DLL giả mạo có cùng tên với các DLL hợp lệ trong một đường dẫn được tìm kiếm trước, kẻ tấn công có thể buộc các ứng dụng hợp pháp tải và thực thi mã độc của chúng. Điều này giúp mã độc chạy ẩn danh trong các tiến trình mà phần mềm bảo mật thường coi là an toàn, gây khó khăn cho việc phát hiện.

Bạn có thể tham khảo thêm thông tin chi tiết về chiến dịch này tại báo cáo của Arctic Wolf: SloppyLemming Deploys BurrowShell and Rust-Based RAT to Target Pakistan and Bangladesh.

Cơ sở hạ tầng hỗ trợ chiến dịch tấn công mạng

Cơ sở hạ tầng hỗ trợ cho chiến dịch tấn công mạng này là rất đáng kể. Các nhà nghiên cứu của Arctic Wolf đã truy vết 112 tên miền Cloudflare Workers duy nhất được đăng ký từ tháng 1 năm 2025 đến tháng 1 năm 2026. Con số này tăng gấp tám lần so với 13 tên miền được ghi nhận trong các báo cáo trước đó.

Mỗi tên miền đều được đặt tên để mạo danh các thực thể chính phủ có thật, bao gồm Pakistan Nuclear Regulatory Authority, Pakistan Navy, Dhaka Electric Supply Company và Bangladesh Bank. Việc đăng ký tên miền đạt đỉnh vào tháng 7 năm 2025, với 42 tên miền mới được thêm vào chỉ trong một tháng.

Mục tiêu và phạm vi ảnh hưởng

Tại một quốc gia bị ảnh hưởng, các lĩnh vực mục tiêu bao gồm giám sát hạt nhân, hậu cần quốc phòng, viễn thông và hành chính chính phủ. Tại một quốc gia khác, nhóm tập trung vào các tiện ích năng lượng, tổ chức tài chính và các tổ chức truyền thông.

Mô hình này phù hợp với các ưu tiên thu thập thông tin tình báo liên quan đến cạnh tranh khu vực và chiến dịch tấn công mạng kéo dài một năm với cơ sở hạ tầng mở rộng cho thấy ý định dài hạn, có tổ chức.

Phân tích kỹ thuật mã độc BurrowShell

BurrowShell là một shellcode implant chạy trong bộ nhớ, được phân phối thông qua chuỗi tấn công ClickOnce.

Quy trình lây nhiễm của mã độc BurrowShell

Quá trình lây nhiễm bắt đầu khi một loader độc hại, mscorsvc.dll, được tải bởi một tệp nhị phân Microsoft .NET đã được đổi tên – NGenTask.exe, được phân phối dưới dạng OneDrive.exe – đặt trong cùng thư mục. Trước khi thực thi bất kỳ payload nào, loader kiểm tra xem tiến trình cha có đang chạy từ một thư mục được chấp thuận hay không.

Nếu kiểm tra thất bại, mã độc sẽ tự tắt ngay lập tức để ngăn chặn việc thực thi bên trong các môi trường sandbox phân tích.

Cơ chế duy trì và ẩn mình

Nếu kiểm tra vị trí thành công, loader sẽ ghi một mục nhập registry dưới khóa SoftwareMicrosoftWindowsCurrentVersionRun để đảm bảo OneDrive.exe khởi chạy mỗi khi hệ thống khởi động lại, duy trì sự lây nhiễm.

reg add "HKCUSoftwareMicrosoftWindowsCurrentVersionRun" /v "OneDrive" /t REG_SZ /d "%USERPROFILE%OneDrive.exe" /f

Sau đó, nó đọc một tệp được mã hóa RC4 có tên system32.dll và giải mã bằng một khóa cứng 32 ký tự, giải phóng mã độc BurrowShell vào bộ nhớ. Việc sử dụng khóa cứng trong mã nguồn là một điểm yếu bảo mật, nhưng việc thực thi hoàn toàn trong bộ nhớ giúp mã độc BurrowShell tránh bị các công cụ quét tệp truyền thống phát hiện, vì nó không bao giờ được ghi xuống đĩa dưới dạng một tệp độc lập.

Giao tiếp Command and Control (C2)

Khi hoạt động, mã độc BurrowShell kết nối với máy chủ Command and Control (C2) của nó qua cổng 443 và ngụy trang lưu lượng truy cập của nó dưới dạng giao tiếp Windows Update.

Sau khi đăng ký máy chủ bị nhiễm với các chi tiết hệ thống, nó sẽ vào một vòng lặp kiểm tra trạng thái (heartbeat check-ins) liên tục trong khi chờ lệnh. Implant này hỗ trợ mười lăm lệnh, bao gồm các hoạt động tệp, chụp ảnh màn hình, thực thi shell và SOCKS proxy tunneling.

Trojan truy cập từ xa (RAT) dựa trên Rust

Bên cạnh mã độc BurrowShell, nhóm đã triển khai một Trojan truy cập từ xa (RAT) dựa trên Rust thông qua con đường khai thác macro Excel. Công cụ này mở rộng khả năng tấn công với các chức năng như ghi lại thao tác phím (keylogging), quét cổng (port scanning) và liệt kê mạng (network enumeration).

Các biện pháp phòng chống tấn công mạng

Các tổ chức trong chính phủ, quốc phòng và cơ sở hạ tầng trọng yếu cần thực hiện các bước phòng thủ cụ thể để chống lại mối đe dọa mạng này.

Bảo mật email và tài liệu

• Công cụ bảo mật email nên chặn các tệp PDF có chứa URL nhúng trỏ đến các tên miền phụ Cloudflare Workers.
• Vô hiệu hóa việc thực thi macro trong các tài liệu Office nhận được từ bên ngoài.

Giám sát mạng

• Các nhóm mạng cần giám sát các kết nối đến các tên miền *.workers.dev.
• Kích hoạt kiểm tra SSL/TLS cho lưu lượng mã hóa đến các đích đáng ngờ.

Quy tắc điểm cuối (Endpoint Protection)

• Các quy tắc điểm cuối nên gắn cờ các tiến trình như NGenTask.exe hoặc phoneactivate.exe tải DLL từ các đường dẫn không chuẩn.
• Cảnh báo về các mục nhập registry CurrentVersionRun bất thường.

Đào tạo nhận thức bảo mật

Đào tạo nhận thức bảo mật định kỳ là rất quan trọng, vì cả hai con đường tấn công đều phụ thuộc vào hành động chủ động của nạn nhân – nhấp vào một nút hoặc bật macro. Đây là một yếu tố then chốt trong phòng chống tấn công mạng hiệu quả.