Vào ngày 1 tháng 3 năm 2026, chỉ một ngày sau khi các cuộc xung đột mới bùng phát, một nhóm APT có liên kết đã được xác định, còn gọi là Camaro Dragon, đã triển khai một chiến dịch gián điệp mạng có mục tiêu nhằm vào các thực thể ở Qatar. Hoạt động này cho thấy sự nhanh nhạy của các mối đe dọa mạng trong việc tận dụng các sự kiện địa chính trị để phục vụ mục đích tấn công.

Nhóm này đã sử dụng các tài liệu mồi nhử theo chủ đề chiến tranh, được thiết kế để trông giống như các thông tin liên lạc khẩn cấp, có thật liên quan đến Operation Epic Fury. Mục tiêu là lừa người nhận mở các tệp độc hại, từ đó cài đặt backdoor PlugX một cách âm thầm vào máy tính của họ.

Phản Ứng Nhanh Chóng Trong Chiến Dịch Tấn Công Mạng

Thời điểm của chiến dịch này rất đáng chú ý. Trong vòng 24 giờ sau khi căng thẳng khu vực leo thang, các tác nhân đe dọa đã chuẩn bị và triển khai các kho lưu trữ lừa đảo được tạo ra một cách tỉ mỉ. Các tài liệu này được ngụy trang giống nội dung hợp pháp liên quan đến xung đột, hòa mình vào dòng chảy thông tin trong các sự kiện địa chính trị lớn.

Tốc độ này minh chứng cho khả năng xoay trục nhanh chóng của các nhóm APT có mối liên hệ khi một sự kiện quan trọng xảy ra, biến tin tức nóng hổi thành vũ khí tấn công. Điều này làm nổi bật tính chất thích nghi và phản ứng nhanh của các mối đe dọa mạng tinh vi.

Các nhà phân tích của Check Point đã xác định được hai chiến dịch lây nhiễm riêng biệt chạy song song, cả hai đều nhắm vào Qatar. Mỗi chiến dịch sử dụng các cơ chế phân phối và tải trọng cuối cùng khác nhau, cho thấy sự tham gia của ít nhất hai nhóm tác nhân đe dọa riêng biệt. Chi tiết về phân tích này có thể được tìm thấy tại Blog Check Point Research.

Phạm Vi và Tầm Ảnh Hưởng Chiến Lược

Tác động rộng lớn của chiến dịch này vượt ra ngoài một tổ chức hoặc văn phòng chính phủ đơn lẻ. Qatar nằm ở ngã tư của ảnh hưởng khu vực và toàn cầu, duy trì mối quan hệ với các cường quốc cạnh tranh ở Trung Đông và hơn thế nữa.

Một sự xâm nhập thành công có thể cung cấp cho các bên tấn công quyền truy cập vào các thông tin liên lạc nhạy cảm và dữ liệu chiến lược có giá trị địa chính trị đáng kể. Điều này đặt ra một rủi ro bảo mật nghiêm trọng cho khu vực.

Các chiến dịch này cũng đánh dấu một sự thay đổi rõ ràng trong các ưu tiên nhắm mục tiêu của các tác nhân có liên hệ, vì khu vực Vịnh trước đây chưa từng xuất hiện nổi bật như vậy trong các báo cáo công khai về gián điệp được bảo trợ. Phương pháp phân phối tương tự đã được quan sát vào cuối tháng 12 năm 2025 chống lại các mục tiêu quân sự của Thổ Nhĩ Kỳ, cho thấy nhóm này duy trì sự tập trung bền vững vào khu vực Trung Đông rộng lớn hơn.

Sự chuyển hướng gần như tức thì sang Qatar sau khi leo thang căng thẳng cho thấy các tác nhân này đã được chuẩn bị và định vị, chờ đợi thời điểm thích hợp để tấn công. Điều này nhấn mạnh sự cần thiết của việc theo dõi chặt chẽ các mối đe dọa mạng dựa trên tình hình địa chính trị.

Chiến Dịch Lây Nhiễm Thứ Nhất: LNK và Backdoor PlugX

Chiến dịch đầu tiên bắt đầu bằng một tệp lưu trữ được ngụy trang thành các bức ảnh ghi lại các cuộc tấn công tên lửa vào các căn cứ của Mỹ ở Bahrain. Khi nạn nhân mở và chạy nội dung của tệp lưu trữ, một tệp phím tắt Windows (.LNK) đã âm thầm kích hoạt một chuỗi lây nhiễm nhiều giai đoạn dài.

Chuỗi này đầu tiên liên hệ với một máy chủ từ xa bị xâm nhập để lấy tải trọng giai đoạn tiếp theo. Sau đó, nó đã lạm dụng kỹ thuật DLL hijacking của tệp nhị phân ứng dụng hợp pháp Baidu NetDisk để tải và thực thi backdoor PlugX một cách âm thầm.

# Ví dụ giả định về cách thức DLL hijacking có thể được khai thác
# (Đây là một minh họa, không phải mã khai thác thực tế)
# LNK file thực thi một script hoặc ứng dụng hợp pháp
# với một DLL độc hại được đặt trong cùng thư mục hoặc đường dẫn ưu tiên.

# Bước 1: LNK file trỏ đến một ứng dụng hợp pháp (ví dụ: baidunetdisk.exe)
# Mồi nhử: "baidunetdisk.lnk" -> "C:Program FilesBaiduBaiduNetdiskbaidunetdisk.exe"

# Bước 2: Kẻ tấn công đặt DLL độc hại (ví dụ: bddll.dll) vào cùng thư mục với LNK file.
# Khi baidunetdisk.exe được chạy, nó tìm và tải bddll.dll độc hại trước DLL hợp lệ.

# Nội dung của DLL độc hại:
# export function DllMain() {
#   // Tải và thực thi payload PlugX
#   ShellExecute(NULL, "open", "cmd.exe", "/c powershell -enc Base64EncodedPlugX", NULL, SW_HIDE);
#   return TRUE;
# }

PlugX là một backdoor module đã được liên kết với nhiều tác nhân đe dọa có liên hệ từ ít nhất năm 2008. Thiết kế dựa trên plugin của nó cho phép kẻ tấn công thực hiện một loạt các tác vụ sau khi xâm nhập, bao gồm: đánh cắp tệp, chụp ảnh màn hình, ghi lại thao tác bàn phím và chạy các lệnh từ xa, mà không thu hút sự chú ý không cần thiết của các công cụ bảo mật. Điều này làm cho việc phát hiện xâm nhập trở nên khó khăn hơn.

Mẫu PlugX từ chiến dịch này đã sử dụng khóa mã hóa cấu hình là qwedfgx202211 và khóa giải mã định dạng ngày 20260301@@@. Cả hai khóa này đều đã được quan sát thấy trong các chiến dịch trước đây được quy cho Camaro Dragon, còn được biết đến với tên gọi Earth Preta và Mustang Panda. Các mối đe dọa mạng này thường xuyên cập nhật kỹ thuật của mình.

Chiến Dịch Lây Nhiễm Thứ Hai: Lures AI và Cobalt Strike

Chiến dịch thứ hai sử dụng một tệp lưu trữ được bảo vệ bằng mật khẩu có tên “Strike at Gulf oil and gas facilities.zip”, có khả năng được phân phối qua email. Nó dựa vào các mồi nhử chất lượng thấp, được tạo ra bằng AI, mạo danh chính phủ. Đây là một chiến thuật mới cho thấy sự phát triển của các mối đe dọa mạng trong việc sử dụng công nghệ mới.

Chiến dịch này đã triển khai một trình tải (loader) dựa trên Rust chưa từng thấy trước đây, lợi dụng DLL hijacking thông qua nvdaHelperRemote.dll, một thành phần của trình đọc màn hình mã nguồn mở NVDA. Cuối cùng, nó đã thả Cobalt Strike làm tải trọng cuối cùng. Cobalt Strike Beacon là một công cụ khai thác và kiểm soát từ xa mạnh mẽ thường được sử dụng trong các cuộc tấn công tinh vi.

Cơ sở hạ tầng C2 (Command and Control) chạy thông qua Kaopu Cloud và Cloudflare, phù hợp với các chiến thuật, kỹ thuật và quy trình (TTPs) liên quan đến hoạt động của các tác nhân có liên hệ trước đây. Đây là một chỉ dấu quan trọng để phát hiện xâm nhập.

Khuyến Nghị Phòng Ngừa và Phát Hiện

Để đối phó với những mối đe dọa mạng này, các tổ chức trên khắp khu vực Vịnh nên xử lý tất cả các tệp đính kèm email theo chủ đề xung đột với sự thận trọng tối đa, đặc biệt trong các giai đoạn căng thẳng địa chính trị đang diễn ra.

Các nhóm bảo mật được khuyến nghị mạnh mẽ giám sát kỹ thuật DLL hijacking liên quan đến các ứng dụng của bên thứ ba đáng tin cậy. Việc cập nhật bản vá bảo mật cho các ứng dụng này là rất quan trọng.

Cần chặn các chỉ số độc hại (IOC) đã biết, bao gồm các địa chỉ IP: 185.219.220.73 và 91.193.17.117, cùng với tên miền almersalstore[.]com.

Đảm bảo các công cụ phát hiện điểm cuối (EDR) được cập nhật để nhận diện các biến thể của PlugX và hoạt động của Cobalt Strike beacon trên mạng lưới của mình. Việc triển khai một chiến lược phát hiện xâm nhập mạnh mẽ là cần thiết để bảo vệ hệ thống trước những mối đe dọa mạng dai dẳng này.

Chỉ Số Xâm Phạm (Indicators of Compromise – IOCs)

• Địa chỉ IP:
  • 185.219.220.73
  • 91.193.17.117
• Tên miền:
  • almersalstore[.]com
• Mã độc và Công cụ:
  • PlugX
  • Cobalt Strike Beacon
  • Rust-based loader
• Kỹ thuật khai thác:
  • DLL hijacking (qua Baidu NetDisk và nvdaHelperRemote.dll)
  • Sử dụng tệp .LNK
• Khóa cấu hình PlugX:
  • qwedfgx202211
  • 20260301@@@
• Hạ tầng C2:
  • Kaopu Cloud
  • Cloudflare