Các tác nhân đe dọa mạng đã phát động các chiến dịch gián điệp mạng tinh vi, nhắm vào quân đội và nhân viên chính phủ ở Nam Á. Các chiến dịch này sử dụng các mồi nhử liên quan đến quốc phòng để phân phối các tệp lưu trữ và ứng dụng độc hại, đặc biệt tập trung vào phishing quân sự.

Chiến Dịch Phishing Mục Tiêu

Các phát hiện gần đây cho thấy các tệp ZIP độc hại, ví dụ như “Coordination of the Chief of Army Staff’s Visit to China.zip”, chứa các tệp PDF nén được thiết kế làm mồi nhử phishing. Khi được giải nén, các tài liệu này chuyển hướng người dùng đến các miền giả mạo được lưu trữ trên các nền tảng như Netlify.

Phân Tích Lure và Kỹ Thuật Redirect

Các tên miền giả mạo này mô phỏng các thực thể hợp pháp như Quân đội Bangladesh, Tổng cục Mua sắm Quốc phòng (DGDP) và các công ty quốc phòng Thổ Nhĩ Kỳ. Phân tích đã tiết lộ mã JavaScript nhúng trong các trang này, được thiết kế để cản trở việc xem mã nguồn, một chiến thuật phổ biến trong nhiều chiến dịch.

Việc phân tích các tên tệp, băm MD5 và URL nhúng tương tự đã hé lộ một nhóm các tạo tác phishing. Các mồi nhử này thường được thiết kế xoay quanh các hội chợ quốc phòng quốc tế như IDEF 2025 hoặc các chuyến thăm từ các quốc gia vùng Vịnh.

Thu Thập Thông Tin Đăng Nhập

Các mồi nhử này dẫn đến các trang thu thập thông tin đăng nhập, giả mạo các hệ thống email chính thức. Ví dụ điển hình là mail-mod-gov-bd-account-conf-files.netlify.app, các trang này cuối cùng chuyển dữ liệu bị đánh cắp đến các máy chủ Command-and-Control (C2) thứ cấp như mailbox3-inbox1-bd.com.

Gián Điệp Di Động với Rafel RAT

Chiến dịch mở rộng vượt ra ngoài phishing để bao gồm gián điệp di động. Các tác nhân triển khai các phiên bản sửa đổi của Rafel RAT, một công cụ truy cập từ xa (RAT) mã nguồn mở, thông qua các tệp APK.

Mã Độc Rafel RAT và Kỹ Thuật Che Giấu

Các tệp APK này được lưu trữ trên các miền như updatemind52.com. Các mẫu như Love_Chat.apk (MD5: 9a7510e780ef40d63ca5ab826b1e9dab) ngụy trang thành các ứng dụng trò chuyện hoặc hẹn hò, bao gồm các mồi nhử từ các trang web như lovehabibi.com hoặc isexychat.com để tránh bị nghi ngờ.

Phân tích giải mã (decompilation) cho thấy các ứng dụng này tải lên dữ liệu nhạy cảm. Dữ liệu bao gồm tài liệu, tin nhắn SMS, danh bạ và phương tiện từ các thiết bị bị nhiễm đến các điểm cuối C2 như quickhelpsolve.com/public/commands.php.

Quyền Hạn và Khả Năng Khai Thác

Các quyền được cấp cho phần mềm độc hại, bao gồm ADD_DEVICE_ADMIN, READ_EXTERNAL_STORAGE, và READ_CONTACTS, cho phép truy cập liên tục, thực thi lệnh từ xa và thỏa hiệp toàn bộ thiết bị. Đây là những quyền đặc biệt nguy hiểm đối với an ninh mạng di động.

Hạ Tầng Command-and-Control (C2) Chung

Việc phân tích sâu rộng vào hạ tầng C2 đã tiết lộ một mạng lưới rộng lớn các hoạt động liên quan. Đặc biệt, việc sử dụng chung các máy chủ C2 cho cả phishing và gián điệp di động cho thấy một chiến lược tấn công có tổ chức.

Kết Nối Hạ Tầng C2 và Phát Hiện Mở Rộng

Các điểm kết nối trên hạ tầng C2 chung, bao gồm kutcat-rat.com, đã làm lộ ra một mạng lưới các tệp APK liên quan như PvtChat.apk và voting.apk. Các trang đích thường sử dụng dấu thời gian Unix (ví dụ: tương ứng với ngày 28 tháng 3 năm 2025) để đồng bộ hóa hoạt động.

Dữ liệu WHOIS liên kết các email đăng ký như [email protected] trên các miền như play-googyle.com và mailserver-lk.com. Các miền này trước đây đã được liên kết với các chiến dịch phishing lớn. Các bảng điều khiển C2, đã được lập chỉ mục công khai và hiện đã bị vô hiệu hóa, đã phơi bày nội dung bị đánh cắp từ các nạn nhân.

Thông Tin Đăng Ký và Phơi Bày Dữ Liệu

Các nạn nhân chủ yếu ở Ấn Độ, Bangladesh, Pakistan và Nepal. Sổ địa chỉ của các nạn nhân cho thấy mối liên hệ với quân đội thông qua các cấp bậc và địa điểm đóng quân. Điều này nhấn mạnh bản chất mục tiêu của APT Sidewinder.

Chiến Thuật Đa Nền Tảng và Định Danh Tác Nhân

Chiến dịch này thể hiện các chiến thuật tấn công đa nền tảng, cho thấy sự phối hợp giữa các hoạt động nhắm vào cả thiết bị di động và máy tính cá nhân. Các tác nhân đe dọa được đánh giá là một nhóm APT Sidewinder.

Mở Rộng Sang Nền Tảng Windows

Các mẫu mã độc Windows, ví dụ như EX_AMAN-2025.zip, được định tuyến qua cùng các máy chủ C2 với các RAT Android. Các C2 chung này bao gồm updatemind52.com và play-googyle.com, khẳng định tính đa dạng trong phương thức tấn công của APT Sidewinder.

Định Danh Tác Nhân Đe Dọa: APT Sidewinder

Các báo cáo từ các nhà cung cấp bảo mật, chẳng hạn như UNK_ArmyDrive của Proofpoint, phù hợp với thông tin OSINT từ các nguồn như Hunt IO và các nhà phân tích trên X. Các dấu hiệu này đều chỉ ra một nhóm tác nhân giống APT Sidewinder, một nhóm nổi tiếng về việc nhắm mục tiêu vào quân đội Nam Á. Các cuộc tấn công này thể hiện một chiến dịch gián điệp mạng có tổ chức.

Các dẫn chứng săn lùng (hunting leads) bao gồm đường dẫn PDB và chuỗi mạng cụ thể. Việc tái sử dụng thông báo lỗi, dấu thời gian được mã hóa cứng và chi tiết đăng ký giúp dễ dàng phân loại các cụm tấn công. Điều này làm nổi bật một mối đe dọa dai dẳng đối với các lĩnh vực quốc phòng.

Ví dụ về đường dẫn PDB:

C:UsersAndroidDesktopfull working with all and url encryptx64ReleaseConsoleApplication1.pdb

Chuỗi mạng liên quan:

ghijkl

Để tìm hiểu thêm về các chiến dịch tương tự của APT Sidewinder, bạn có thể tham khảo phân tích chi tiết tại StrikeReady.

Chỉ Số Nhận Dạng Sự Thỏa Hiệp (IOCs)

Dưới đây là các chỉ số nhận dạng sự thỏa hiệp (IOCs) được xác định từ chiến dịch gián điệp mạng này:

• Tên tệp và Băm MD5:
  • Coordination of the Chief of Army Staff’s Visit to China.zip
  • Love_Chat.apk (MD5: 9a7510e780ef40d63ca5ab826b1e9dab)
  • PvtChat.apk
  • voting.apk
  • EX_AMAN-2025.zip
• Miền Độc Hại:
  • mail-mod-gov-bd-account-conf-files.netlify.app
  • mailbox3-inbox1-bd.com
  • updatemind52.com
  • quickhelpsolve.com
  • kutcat-rat.com
  • play-googyle.com
  • mailserver-lk.com
• Điểm cuối C2:
  • quickhelpsolve.com/public/commands.php
• Email Đăng Ký:
  • [email protected]
• Đường dẫn PDB:
  • C:UsersAndroidDesktopfull working with all and url encryptx64ReleaseConsoleApplication1.pdb
• Chuỗi mạng:
  • ghijkl

Khuyến Nghị Bảo Mật

Tính đến ngày 22 tháng 8 năm 2025, các công cụ được sử dụng trong chiến dịch này cho thấy sự phát triển trong việc sử dụng mã độc thông thường cho mục đích gián điệp có mục tiêu. Điều này đòi hỏi cần tăng cường an ninh mạng di động và nâng cao nhận thức về phishing quân sự trong các môi trường có rủi ro cao. Việc thường xuyên cập nhật bản vá bảo mật và đào tạo người dùng là yếu tố then chốt để phòng chống các cuộc tấn công của APT Sidewinder.