Các chuyên gia an ninh mạng đã phát hiện một cụm nhóm đe dọa dai dẳng nâng cao (APT) được đặt tên là ShadowSilk APT. Phát hiện này được công bố trong một nghiên cứu chuyên sâu của Group-IB. Kể từ ít nhất năm 2023, nhóm này đã tích cực xâm nhập vào các tổ chức chính phủ tại khu vực Trung Á và Châu Á-Thái Bình Dương, đại diện cho một mối đe dọa mạng đáng kể.

Các hoạt động của nhóm, vẫn đang diễn ra tính đến tháng 7 năm 2025, tập trung chủ yếu vào việc đánh cắp dữ liệu. Chúng tận dụng sự kết hợp tinh vi giữa các công cụ khai thác công khai, tiện ích kiểm thử thâm nhập và mã độc tùy chỉnh.

Cơ sở hạ tầng và bộ công cụ của ShadowSilk APT cho thấy sự trùng lặp đáng kể với các chiến dịch YoroTrooper đã được ghi nhận trước đây. Điều này bao gồm việc chia sẻ các script PowerShell để phân phối payload và cơ chế điều khiển và chỉ huy (C2) dựa trên Telegram.

Tuy nhiên, phân tích mở rộng đã tiết lộ phạm vi nạn nhân rộng hơn và các hồ sơ hoạt động có sắc thái. Điều này đã thúc đẩy Group-IB phân loại ShadowSilk APT là một tác nhân đe dọa riêng biệt.

Phạm vi Hoạt động và Cấu trúc Nhóm

Một chiến dịch phối hợp với CERT-KG đã cho phép thu giữ một bản sao máy chủ, qua đó phơi bày các chiến thuật, kỹ thuật và quy trình (TTPs) của nhóm. Bằng chứng cho thấy các nhà điều hành nói tiếng Trung và tiếng Nga đang hợp tác trong các nhóm nhỏ.

Thành phần song ngữ này gợi ý về khả năng liên minh xuyên khu vực, mặc dù bản chất chính xác của sự hợp tác vẫn chưa rõ ràng.

Hơn 35 nạn nhân, chủ yếu trong khu vực chính phủ, đã được xác định. Các cuộc tấn công liên quan đến việc truy cập ban đầu thông qua các email lừa đảo (phishing) chuyển phát các kho lưu trữ được bảo vệ bằng mật khẩu chứa các tệp thực thi.

Các tệp nhị phân này thiết lập sự duy trì thông qua sửa đổi registry và tạo điều kiện thực thi lệnh từ xa. Điều này nhấn mạnh sự tập trung của nhóm vào việc xâm nhập lén lút, lâu dài.

Hợp tác Chuyên môn giữa các Nhóm nhỏ

Kiểm tra pháp y sâu hơn về bản sao máy chủ bị thu giữ đã làm nổi bật kho vũ khí đa dạng của ShadowSilk APT. Nhóm này tích hợp các công cụ kiểm thử thâm nhập mã nguồn mở như sqlmap, wpscan, fscan, gobuster và dirsearch để trinh sát và quét lỗ hổng.

Ảnh chụp màn hình từ máy trạm của các nhà điều hành đã tiết lộ giao diện tiếng Trung, bao gồm các công cụ như Struts2VulsTools và Godzilla webshells. Điều này cho thấy các thành viên nói tiếng Trung chịu trách nhiệm thâm nhập mạng và trinh sát nội bộ.

Ngược lại, các nhà điều hành nói tiếng Nga dường như tập trung vào phát triển mã độc. Điều này được chứng minh qua bố cục bàn phím tiếng Nga, lỗi chính tả trong lệnh (ví dụ: “ыскуут -ды” thay vì “screen -ls”) và việc thử nghiệm các beacon Cobalt Strike trên thiết bị của chính họ.

Các mạng nạn nhân chung, chẳng hạn như trong các tổ chức Uzbekistan, chỉ ra những nỗ lực phối hợp giữa các nhóm nhỏ, với các ghi chú trinh sát giống hệt nhau xuất hiện trong cả hai ngữ cảnh.

Các Kỹ thuật Khai thác và Lỗ hổng CVE Mục tiêu

Nhóm ShadowSilk APT khai thác các lỗ hổng CVE đã biết như CVE-2018-7600 (Drupalgeddon2), CVE-2018-7602, và CVE-2024-27956. Ngoài ra, chúng sử dụng các framework như Metasploit và Cobalt Strike để leo thang đặc quyền và di chuyển ngang.

Để biết thêm chi tiết về CVE-2018-7600, bạn có thể tham khảo tại NVD.NIST.gov.

Cơ chế Duy trì Quyền truy cập

Sự duy trì được duy trì thông qua các khóa registry như:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Việc truy cập thông tin xác thực liên quan đến việc đánh cắp kho mật khẩu Chrome và giải mã chúng bằng các khóa cục bộ.

Các yếu tố tùy chỉnh bao gồm các bot Telegram cho C2, cho phép phát lệnh theo thời gian thực, đánh cắp dữ liệu và làm xáo trộn lưu lượng truy cập thành hoạt động messenger hợp pháp.

Kỹ thuật Rò rỉ Dữ liệu và Công cụ Web

Các script đánh cắp dữ liệu, thường là mã PowerShell bị làm xáo trộn, hệ thống hóa việc lưu trữ và tải lên các tệp nhạy cảm (ví dụ: .docx, .xlsx, .pdf) đến các domain như pweobmxdlboi[.]com. Dữ liệu được nén vào các tệp ZIP để truyền đi.

Nhóm cũng đã mua các bảng điều khiển web như JRAT và Morf Project từ các diễn đàn darkweb, sử dụng chúng để quản lý các thiết bị bị nhiễm mà không cần phát triển trình tạo mã độc tùy chỉnh, từ đó giảm chi phí vận hành.

Theo báo cáo của Group-IB, các chiến dịch của ShadowSilk APT thể hiện khả năng thích ứng, với việc làm mới cơ sở hạ tầng sau khi bị lộ. Ví dụ, việc tiết lộ “Silent Lynx” vào tháng 1 năm 2025 đã thúc đẩy việc từ bỏ các máy chủ cũ.

Đến tháng 6 năm 2025, các bot Telegram và địa chỉ IP mới đã xuất hiện, duy trì những điểm tương đồng về quy trình như các lệnh PowerShell đã sửa đổi để triển khai payload (ví dụ: tải xuống dựa trên curl đến các đường dẫn như C:userspublic$$).

Một phần dữ liệu bị đánh cắp đã xuất hiện để bán trên các diễn đàn darkweb, gợi ý về động cơ kiếm tiền có thể ngoài mục đích gián điệp.

Các Chỉ số Thỏa hiệp (IOCs) của ShadowSilk APT

Các chỉ số thỏa hiệp sau đây đã được xác định liên quan đến các hoạt động của nhóm ShadowSilk APT:

• Tên miền C2/Exfiltration:pweobmxdlboi[.]com
• Khóa Registry để Duy trì:HKCUSoftwareMicrosoftWindowsCurrentVersionRun
• Lỗ hổng Khai thác:CVE-2018-7600, CVE-2018-7602, CVE-2024-27956
• Công cụ Sử dụng: sqlmap, wpscan, fscan, gobuster, dirsearch, Metasploit, Cobalt Strike, Struts2VulsTools, Godzilla webshells, JRAT, Morf Project.

Để biết danh sách đầy đủ hơn, vui lòng tham khảo báo cáo gốc của Group-IB tại Group-IB: ShadowSilk Report.

Khuyến nghị Phòng thủ và Săn lùng Mối đe dọa

Để phòng thủ hiệu quả trước ShadowSilk APT, các tổ chức nên thực hiện các biện pháp sau:

• Lọc email mạnh mẽ: Chặn các vector lừa đảo (phishing) ban đầu.
• Thực thi kiểm soát ứng dụng nghiêm ngặt: Ngăn chặn việc thực thi các tệp nhị phân độc hại.
• Áp dụng các bản vá bảo mật: Cập nhật kịp thời cho các lỗ hổng CVE bị khai thác.

Săn lùng mối đe dọa chủ động, kết hợp với các giải pháp phát hiện và phản hồi mở rộng được quản lý (MXDR), là rất quan trọng để phát hiện các bất thường. Điều này bao gồm những thay đổi registry bất thường hoặc lưu lượng truy cập Telegram đáng ngờ. Giám sát các vụ rò rỉ trên darkweb và tận dụng các nền tảng threat intelligence có thể cung cấp cảnh báo sớm, đảm bảo khả năng phục hồi trước những mối đe dọa dai dẳng như ShadowSilk APT.