Nhóm Google Threat Intelligence Group (GTIG) đã công bố phát hiện một hoạt động gián điệp mạng đa diện. Chiến dịch này được quy cho tác nhân mối đe dọa mạng có liên kết với Cộng hòa Nhân dân Trung Hoa, mã hiệu UNC6384.

Tác nhân này được cho là có liên quan đến nhóm TEMP.Hex, còn được biết đến với tên gọi Mustang Panda. Mục tiêu chính của chiến dịch là các nhà ngoại giao tại khu vực Đông Nam Á, cùng với các thực thể toàn cầu khác.

UNC6384 đã triển khai các chiến thuật tiên tiến. Chúng bao gồm các cuộc tấn công xen giữa (AitM – Adversary-in-the-Middle), gián đoạn cổng thông tin (captive portal hijacks), và sử dụng mã độc có chữ ký số. Các kỹ thuật này nhằm mục đích xâm nhập một cách lén lút và dai dẳng.

Bằng cách chiếm quyền điều khiển lưu lượng truy cập web thông qua các thiết bị biên bị xâm nhập. Kẻ tấn công chuyển hướng nạn nhân đến các trang web độc hại.

Những trang này được ngụy tạo giống như các bản cập nhật phần mềm hợp pháp. Cuối cùng, chúng triển khai cửa hậu SOGU.SEC (một biến thể của PlugX) để duy trì quyền truy cập và thực hiện **rò rỉ dữ liệu**.

Phân tích từ GTIG tiết lộ một chuỗi tấn công nhiều giai đoạn.

Chuỗi này tận dụng các chứng chỉ ký mã hợp lệ để vượt qua các biện pháp phòng thủ điểm cuối.

Điều này cho thấy khả năng né tránh và kỹ thuật xã hội ngày càng phát triển của nhóm tác nhân.

Phân Tích Chiến Dịch Tấn Công Mạng của UNC6384

Kỹ Thuật Ban Đầu: Gián Đoạn Cổng Thông Tin và Tấn Công AitM

Hoạt động gián điệp mạng bắt đầu bằng việc gián đoạn cổng thông tin. Kẻ tấn công khai thác các kiểm tra trình duyệt đối với các URL được mã hóa cứng như http://www.gstatic.com/generate_204.

Lưu lượng truy cập sau đó được chuyển hướng qua kỹ thuật AitM đến các miền do kẻ tấn công kiểm soát. Ví dụ: mediareleaseupdates[.]com.

Các miền độc hại này được bảo mật bằng chứng chỉ TLS Let’s Encrypt. Việc này giúp tạo độ tin cậy giả mạo và tránh các cảnh báo trình duyệt.

Kỹ Thuật Né Tránh và Triển Khai Mã Độc Có Chữ Ký Số

Nạn nhân sẽ gặp một trang đích lừa đảo. Trang này thúc giục họ cài đặt một bản cập nhật “Adobe Plugin” giả mạo.

Trang web giả mạo này được mã hóa HTTPS để tránh các cảnh báo từ trình duyệt. Điều này cũng cho phép việc phân phối mã độc được mã hóa.

Khi người dùng tương tác, mã JavaScript từ tệp style3.js sẽ kích hoạt tải xuống tệp AdobePlugins.exe.

Đây là một trình tải xuống có chữ ký số, được GTIG theo dõi với mã hiệu STATICPLUGIN.

Chứng chỉ này được cấp bởi Chengdu Nuoxin Times Technology Co., Ltd. thông qua GlobalSign. Chữ ký được đóng dấu vào ngày 9 tháng 5 năm 2025.

Tệp nhị phân này ngụy trang thành một trình cài đặt Microsoft Visual C++ 2013 Redistributable. Nó sử dụng các đối tượng Windows COM Installer để tìm nạp một gói MSI.

Gói MSI này được ngụy trang thành một tệp BMP. Sau đó, nó triển khai DLL CANONSTAGER thông qua kỹ thuật side-loading.

Cơ Chế Hoạt Động của CANONSTAGER và SOGU.SEC Backdoor

Mã độc CANONSTAGER được thực thi thông qua tệp cnmpaui.exe, một công cụ hợp pháp của Canon IJ Printer Assistant Tool.

Nó sử dụng các kỹ thuật che giấu tinh vi, bao gồm băm API tùy chỉnh được lưu trữ trong các mảng Thread Local Storage (TLS). Điều này giúp nó giải quyết các hàm như GetCurrentDirectoryW, né tránh hiệu quả các công cụ phân tích tĩnh.

CANONSTAGER tiếp tục lạm dụng các tính năng của Windows. Bao gồm các quy trình cửa sổ tùy chỉnh, hàng đợi tin nhắn và tin nhắn WM_SHOWWINDOW. Điều này cho phép thực thi mã gián tiếp.

Mã độc tạo các cửa sổ chồng chéo ẩn và gửi tin nhắn bất đồng bộ. Mục đích là giải mã và khởi chạy tải trọng SOGU.SEC đã được mã hóa RC4 từ tệp cnmplog.dat, sử dụng các lệnh gọi lại EnumSystemGeoID.

Việc triển khai trong bộ nhớ này đảm bảo không để lại các tạo phẩm dựa trên đĩa. Qua đó, nó hòa lẫn vào các hoạt động hệ thống hợp pháp, khó bị phát hiện.

SOGU.SEC là một cửa hậu bị che giấu mạnh mẽ. Nó cho phép do thám hệ thống, truyền tệp và thực thi vỏ lệnh từ xa. Đây là mục tiêu cuối cùng của hoạt động gián điệp mạng này.

Mã độc này giao tiếp qua HTTPS với địa chỉ C2 166.88.2[.]90. Nó sử dụng một User-Agent tùy chỉnh, giả mạo MSIE 9.0.

Để tìm hiểu sâu hơn về phân tích của GTIG, bạn có thể tham khảo tại Google Cloud Blog.

Khẳng Định Nguồn Gốc và Mối Liên Hệ của Tác Nhân Đe Dọa

GTIG đã quy các hành vi này cho UNC6384 dựa trên sự trùng lặp về TTPs (Chiến thuật, Kỹ thuật và Quy trình). Bao gồm việc nhắm mục tiêu vào khu vực Đông Nam Á, kỹ thuật DLL side-loading và việc chia sẻ cơ sở hạ tầng C2 với TEMP.Hex.

Việc sử dụng mã độc có chữ ký của Chengdu Nuoxin đã được ghi nhận từ năm 2023. Có tới 25 mẫu mã độc được theo dõi trên các cụm liên quan đến Trung Quốc.

Điều này đặt ra nghi vấn về việc chứng chỉ đã bị xâm phạm hoặc có sự đồng lõa. Đây là một điểm đáng chú ý trong hoạt động gián điệp mạng này.

Biện Pháp Giảm Thiểu và Khuyến Nghị Bảo Mật

Google đã triển khai các biện pháp giảm thiểu kịp thời. Bao gồm việc phát hành cảnh báo được chính phủ hỗ trợ, cập nhật danh sách Duyệt web an toàn (Safe Browsing) và tăng cường thông tin tình báo hoạt động bảo mật (SecOps).

Các chuyên gia bảo mật và người dùng được khuyến nghị thực hiện các biện pháp sau:

• Bật Duyệt web an toàn nâng cao (Enhanced Safe Browsing).
• Cập nhật bản vá cho tất cả thiết bị.
• Triển khai xác minh 2 bước (2-Step Verification).
• Theo dõi các chỉ số xâm nhập (IOC) sau đây:

Các Chỉ Số Xâm Nhập (IOCs)

• Tên mã độc: SOGU.SEC (biến thể PlugX), STATICPLUGIN, CANONSTAGER
• Tên tệp: AdobePlugins.exe, cnmplog.dat, style3.js
• Địa chỉ C2:166.88.2[.]90
• Domain độc hại:mediareleaseupdates[.]com
• Mutex:KNbgxngdS
• Khóa Registry:HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunCanonPrinter
• Chứng chỉ ký mã: Chengdu Nuoxin Times Technology Co., Ltd. (qua GlobalSign)