Bối cảnh an ninh mạng đã chứng kiến một sự phát triển nguy hiểm khi các nhóm mối đe dọa mạng tiên tiến (APT) ngày càng vũ khí hóa mã độc infostealer cơ hội để thực hiện các chiến dịch gián điệp tinh vi. Những công cụ thu thập thông tin xác thực ban đầu chỉ có phạm vi rộng, nay đang được tái sử dụng thành các công cụ chính xác trong chiến tranh địa chính trị, nhắm mục tiêu vào các tổ chức ngoại giao trên toàn thế giới với hiệu quả tàn khốc.

Thông tin tình báo đe dọa gần đây từ nền tảng Cavalier của Hudson Rock đã tiết lộ một mô hình đáng lo ngại về các lây nhiễm infostealer làm tổn hại thông tin xác thực của Bộ Ngoại giao (MOFA) ở nhiều quốc gia. Phạm vi của các vụ vi phạm này trải rộng khắp các châu lục, ảnh hưởng đến cơ sở hạ tầng ngoại giao quan trọng từ mofa.gov.sa của Ả Rập Xê Út đến mail.mofa.go.kr của Hàn Quốc, mofa.gov.ae của Các Tiểu vương quốc Ả Rập Thống nhất, mofa.gov.qa của Qatar, và mở rộng đến các mạng lưới đại sứ quán của Oman.

Sự chuyển đổi của Infostealer thành công cụ gián điệp APT

Các lây nhiễm thường bắt đầu thông qua các vector dường như vô hại như email lừa đảo (phishing), tải xuống độc hại hoặc cài đặt phần mềm bị xâm phạm. Tuy nhiên, khi các cuộc tấn công cơ hội này thành công trong việc chiếm quyền điều khiển các nhà ngoại giao với thông tin xác thực truy cập chính thức, chúng biến thành tài sản tình báo có giá trị cao cho các tác nhân được nhà nước bảo trợ. Bản chất xác thực của các thông tin xác thực bị xâm phạm này cho phép các nhóm APT tạo ra các chiến dịch mã độc cực kỳ thuyết phục, vượt qua các biện pháp an ninh truyền thống thông qua tính hợp pháp vốn có của chúng.

Sự chuyển đổi từ thông tin xác thực bị infostealer xâm phạm thành công cụ gián điệp mục tiêu thể hiện một sự thay đổi đáng kể trong chiến thuật chiến tranh mạng. Các infostealer truyền thống như StealC, Lumma và Redline hoạt động thông qua việc phân phối rộng rãi, rải lưới rộng để thu thập bất kỳ thông tin xác thực nào có sẵn.

Tuy nhiên, khi các công cụ này vô tình chiếm quyền điều khiển nhân viên ngoại giao, chúng cung cấp cho các nhóm APT thông tin xác thực chính phủ xác thực, đóng vai trò là vỏ bọc hoàn hảo cho các hoạt động tình báo tinh vi. Các nhóm APT có thể sử dụng những thông tin này để duy trì sự hiện diện lâu dài, bí mật trong mạng lưới mục tiêu, thực hiện thu thập dữ liệu và chuyển dữ liệu nhạy cảm theo thời gian.

Các chiến dịch gián điệp tinh vi thông qua Infostealer

Chiến dịch Spear-Phishing nhắm vào Bộ Ngoại giao Oman (Tháng 8/2025)

Một trường hợp đặc biệt rõ ràng đã xuất hiện vào tháng 8 năm 2025 khi Dream Security Group tiết lộ một chiến dịch spear-phishing tinh vi, lợi dụng một tài khoản email bị xâm phạm của Bộ Ngoại giao Oman. Các kẻ tấn công, được cho là các nhóm liên kết với Iran bao gồm Homeland Justice hoặc Bộ Tình báo và An ninh (MOIS), đã sử dụng thông tin xác thực bị đánh cắp từ đại sứ quán Oman tại Paris để phân phối mã độc được ngụy trang dưới dạng thông tin liên lạc ngoại giao.

Chiến dịch đã nhắm mục tiêu vào hơn 195 người nhận trên toàn cầu, bao gồm các tổ chức quốc tế uy tín như Liên Hợp Quốc và Ngân hàng Thế giới. Các tệp đính kèm Word độc hại chứa macro VBA đã triển khai “sysProcUpdate”, một mã độc thu thập dữ liệu thiết lập liên lạc command-and-control (C2) thông qua một nút NordVPN của Jordan.

Thời điểm của chiến dịch này, trùng với các cuộc đàm phán ngừng bắn quan trọng ở Trung Đông, đã nhấn mạnh các mục tiêu thu thập tình báo chiến lược của nó.

Tấn công Công ty Viễn thông Pakistan (PTCL) bởi Bitter APT (2025)

Trong cuộc xung đột ‘Chiến dịch Sindoor’ giữa Ấn Độ và Pakistan năm 2025, Hudson Rock đã xác định mối liên hệ trực tiếp giữa thông tin xác thực bị infostealer xâm phạm và một cuộc tấn công có mục tiêu vào Công ty Viễn thông Pakistan (PTCL) bởi nhóm Bitter APT.

Vector tấn công bắt nguồn từ thông tin xác thực bị đánh cắp từ email của Bộ Phản khủng bố (CTD) tại Cảnh sát Islamabad, đã bị xâm phạm vào năm 2024 thông qua việc cài đặt phần mềm bẻ khóa. Những thông tin xác thực thực thi pháp luật chính thức này đã cho phép Bitter APT tạo ra các email lừa đảo mục tiêu thành công trong việc gửi mã độc WmRAT, làm tổn hại cơ sở hạ tầng viễn thông quan trọng của PTCL.

Thành công của cuộc tấn công trong bối cảnh căng thẳng khu vực gia tăng đã chứng minh cách các infostealer cung cấp cho các nhóm APT sự tin cậy cần thiết để thâm nhập các mục tiêu có giá trị cao trong những thời điểm địa chính trị nhạy cảm.

Các chỉ số thỏa hiệp (IOCs)

• Nhóm APT: Homeland Justice, MOIS, Bitter APT
• Mã độc Infostealer: StealC, Lumma, Redline
• Mã độc được triển khai: sysProcUpdate, WmRAT
• Email bị xâm phạm: Omani Ministry of Foreign Affairs (Đại sứ quán Paris, Đại sứ quán Ankara, Đại sứ quán Brasilia), Counter Terrorism Department (CTD) Islamabad Police
• C2 Node: NordVPN (Jordan)

Hậu quả sâu rộng từ dữ liệu ngoại giao bị đánh cắp

Việc thông tin liên lạc ngoại giao của Oman bị xâm phạm cung cấp một minh họa chi tiết về cách các lây nhiễm infostealer leo thang thành các mối đe dọa an ninh quốc gia. Sự thỏa hiệp tại đại sứ quán Ankara, do một lây nhiễm infostealer vào tháng 5 năm 2025 trên một máy tính hoạt động tại Thổ Nhĩ Kỳ, đã làm lộ hàng trăm thông tin xác thực, bao gồm quyền truy cập vào hộp thư MOFA chính thức.

Tương tự, đại sứ quán Brasilia trở thành nạn nhân của một lây nhiễm infostealer Redline vào tháng 6 năm 2023, làm tổn hại cơ sở hạ tầng thông tin liên lạc của phái đoàn ngoại giao Brazil. Các thỏa hiệp này tạo ra các rủi ro đa diện, vượt xa việc đánh cắp dữ liệu đơn thuần. Các nhóm APT có thể lợi dụng các thông tin xác thực này để mạo danh các nhà ngoại giao Oman trong các cuộc đàm phán nhạy cảm, chặn các thông tin liên lạc bí mật liên quan đến các thỏa thuận an ninh Vùng Vịnh, hoặc phát động các chiến dịch lừa đảo thuyết phục nhắm mục tiêu vào nhân viên ngoại giao của các quốc gia khác.

Với vai trò truyền thống của Oman là một nhà hòa giải trung lập trong các xung đột khu vực, những vi phạm như vậy có thể vô tình làm leo thang căng thẳng quốc tế thông qua rò rỉ tình báo hoặc sai lầm ngoại giao. Điều này nhấn mạnh tầm quan trọng của việc củng cố an ninh mạng trong các cơ quan chính phủ.

Chiến lược phòng thủ An ninh mạng cho tổ chức ngoại giao

Sự phát triển của các infostealer thành các công cụ hỗ trợ APT đòi hỏi một sự thay đổi cơ bản trong chiến lược an ninh mạng, đặc biệt đối với các tổ chức ngoại giao. Mặc dù các cuộc tấn công này khai thác lỗ hổng con người thông qua kỹ thuật xã hội, việc khai thác sau đó bởi các tác nhân nhà nước đòi hỏi các cơ chế phòng thủ chủ động, dựa trên thông tin tình báo.

Các nền tảng phát hiện mối đe dọa tiên tiến như Cavalier của Hudson Rock cung cấp khả năng giám sát theo thời gian thực, quét các cơ sở dữ liệu infostealer để tìm thông tin xác thực miền chính phủ bị xâm phạm. Hệ thống cảnh báo sớm này cho phép các tổ chức ngoại giao xác định các vi phạm trước khi các nhóm APT có thể khai thác chúng để đạt lợi thế chiến lược. Bạn có thể tìm hiểu thêm về các công cụ này và những nghiên cứu chuyên sâu khác tại Infostealers.com.

Phòng thủ hiệu quả đòi hỏi một cách tiếp cận đa tầng kết hợp các hệ thống phát hiện hành vi báo hiệu các hoạt động email đáng ngờ, đào tạo nâng cao nhận thức bảo mật toàn diện cho nhân viên ngoại giao và triển khai các giải pháp phát hiện và phản ứng điểm cuối (EDR) có khả năng xác định các dấu hiệu của infostealer trước khi quá trình trích xuất thông tin xác thực xảy ra.

Việc vũ khí hóa mã độc infostealer bởi các nhóm APT thể hiện một sự dân chủ hóa đáng lo ngại của các khả năng gián điệp mạng tinh vi. Những gì trước đây đòi hỏi nguồn lực rộng lớn và quyền truy cập chuyên biệt giờ đây có thể đạt được bằng cách tận dụng các lây nhiễm cơ hội của mã độc thương phẩm, làm giảm đáng kể rào cản gia nhập cho các hoạt động tình báo được nhà nước bảo trợ.

Xu hướng này đòi hỏi sự chú ý khẩn cấp từ cộng đồng an ninh mạng quốc tế và các tổ chức ngoại giao trên toàn thế giới. Khi ranh giới giữa tội phạm mạng cơ hội và gián điệp có mục tiêu tiếp tục mờ đi, việc bảo vệ cơ sở hạ tầng thông tin liên lạc ngoại giao không chỉ trở thành một yêu cầu cấp bách về an ninh mạng, mà còn là một thành phần quan trọng của sự ổn định và tin cậy quốc tế.