Nhóm mối đe dọa mạng APT37, còn được biết đến với các tên gọi như ScarCruft, Ruby Sleet và Velvet Chollima, đã nâng cấp khả năng tác chiến không gian mạng của mình. Trong các chiến dịch gần đây nhắm vào hệ thống Windows, nhóm này đã triển khai phần mềm độc hại tinh vi dựa trên Rust và Python.

Hoạt động từ năm 2012, nhóm mối đe dọa dai dẳng nâng cao (APT) này tiếp tục tập trung vào các cá nhân Hàn Quốc có liên quan đến chế độ Bắc Triều Tiên và các nhà hoạt động nhân quyền. Sự thay đổi sang các ngôn ngữ lập trình hiện đại và kỹ thuật né tránh tiên tiến cho thấy một bước tiến đáng kể về mặt chiến thuật của APT37.

Chiến Dịch Gần Đây và Sự Tiến Hóa của APT37

Chiến dịch mới nhất của APT37 thể hiện một phương pháp tiếp cận phối hợp, sử dụng một máy chủ command-and-control (C2) duy nhất để điều phối nhiều thành phần mã độc.

Tác nhân đe dọa đã giới thiệu Rustonotto, một backdoor mới được xác định dựa trên Rust, hoạt động từ tháng 6 năm 2025. Đây là lần đầu tiên APT37 được biết đến là đã khai thác ngôn ngữ lập trình Rust để nhắm mục tiêu vào hệ thống Windows. Backdoor nhẹ này cung cấp các chức năng cơ bản để thực thi lệnh Windows và truyền kết quả đến hạ tầng do kẻ tấn công kiểm soát.

Đồng thời, nhóm cũng triển khai Chinotto, một backdoor PowerShell đã được ghi nhận từ năm 2019, cùng với FadeStealer. FadeStealer là một công cụ giám sát toàn diện được phát hiện lần đầu vào năm 2023.

FadeStealer: Công Cụ Giám Sát Toàn Diện

FadeStealer đại diện cho một mối đe dọa mạng đáng kể với các khả năng bao gồm ghi nhật ký phím gõ (keystroke logging), chụp ảnh màn hình, ghi âm thanh, giám sát thiết bị. Công cụ này cũng thực hiện đánh cắp dữ liệu thông qua các kho lưu trữ RAR được bảo vệ bằng mật khẩu.

Mã độc sử dụng các yêu cầu HTTP POST và mã hóa Base64 để giao tiếp an toàn với hạ tầng command-and-control của nó.

Kỹ Thuật Tấn Công và Né Tránh Nâng Cao

Phương pháp tấn công mạng này cho thấy sự tinh vi về kỹ thuật của APT37 thông qua nhiều vector lây nhiễm.

Nhóm sử dụng các tệp tin phím tắt của Windows và các tệp Compiled HTML Help (CHM) làm cơ chế lây nhiễm ban đầu. Sau đó, chúng triển khai các payload dựa trên PowerShell.

Tiêm Mã Độc Bằng Transactional NTFS (TxF)

Một kỹ thuật đáng chú ý đặc biệt là việc sử dụng Transactional NTFS (TxF) để tiêm mã độc một cách lén lút. Đây là một ví dụ về khả năng né tránh tiên tiến của nhóm.

Chuỗi lây nhiễm dựa trên Python thực hiện kỹ thuật Process Doppelgänging thông qua một bộ tải tùy chỉnh. Bộ tải này giải mã và tiêm FadeStealer vào các tiến trình Windows hợp pháp.

Phương pháp này bao gồm việc tạo các tệp tin giao dịch, thiết lập các đối tượng phần bộ nhớ và thao tác ngữ cảnh tiến trình. Điều này giúp thực thi các payload độc hại trong khi tránh bị phát hiện.

Tác nhân đe dọa chọn ngẫu nhiên các tệp thực thi hệ thống hợp pháp, bao gồm calc.exe, msinfo32.exe và svchost.exe, làm mục tiêu tiêm. Việc này nhằm duy trì an ninh hoạt động của chúng.

Hoạt Động Giám Sát Chi Tiết của FadeStealer

FadeStealer hoạt động như một nền tảng giám sát đa luồng, có khả năng thu thập dữ liệu theo thời gian thực từ nhiều vector.

Mã độc này liên tục ghi lại các phím gõ, chụp ảnh màn hình cứ sau 30 giây và ghi âm micrô trong các phiên 5 phút. Ngoài ra, nó giám sát các thiết bị USB và camera di động hàng giờ. Các tệp lưu trữ có dấu thời gian được tạo ra để phục vụ cho việc đánh cắp dữ liệu một cách có hệ thống.

Cơ Chế Exfiltration và Lưu Trữ Dữ Liệu

Dữ liệu giám sát được tổng hợp vào các kho lưu trữ RAR được bảo vệ bằng mật khẩu, sử dụng mật khẩu cứng “NaeMhq[d]q”. Chúng được truyền đến các máy chủ C2 thông qua các yêu cầu HTTP POST.

Mã độc duy trì cấu trúc thư mục có tổ chức dưới %TEMP%VSTelems_Fade cho các loại dữ liệu khác nhau. Điều này đảm bảo việc thu thập toàn diện các hoạt động của nạn nhân.

Việc đặt tên kho lưu trữ tuân theo các mẫu dấu thời gian như “watch_YYYY_MM_DD-HH_MM_SS.rar” cho dữ liệu giám sát thông thường. Đối với việc thu thập tệp tin theo lệnh, tên tệp là “data_YYYY_MM_DD-HH_MM_SS.rar”.

Hạ Tầng Command-and-Control (C2)

Hạ tầng C2 sử dụng các máy chủ web bị xâm nhập để lưu trữ các tập lệnh PHP nhẹ. Các tập lệnh này quản lý giao tiếp thông qua các mảng lệnh và kết quả dựa trên JSON.

Cách tiếp cận tập trung này cho phép kiểm soát thống nhất toàn bộ hệ sinh thái mã độc. Nó bao gồm các thành phần Rustonotto, Chinotto và FadeStealer. Tất cả đều sử dụng các giao thức giao tiếp mã hóa Base64 nhất quán để đảm bảo hiệu quả và an ninh hoạt động. Thông tin thêm về các chiến dịch của nhóm APT37 có thể được tìm thấy tại GBHackers.

Các Chỉ Số Thỏa Hiệp (IOCs)

Để hỗ trợ phát hiện và ứng phó với các cuộc tấn công mạng của APT37, các chỉ số thỏa hiệp sau đây đã được xác định:

• Thư mục lưu trữ dữ liệu:%TEMP%VSTelems_Fade
• Mật khẩu kho lưu trữ RAR:NaeMhq[d]q
• Tiến trình đích tiêm mã:calc.exe, msinfo32.exe, svchost.exe