Các nhà nghiên cứu của IBM X-Force đã phát hiện những chiến dịch mã độc mới tinh vi, được điều phối bởi nhóm tác nhân đe dọa có liên kết với Trung Quốc, Hive0154, còn được biết đến là Mustang Panda. Khám phá này bao gồm một biến thể backdoor Toneshell nâng cao có khả năng né tránh các hệ thống phát hiện và một loại worm USB mới mang tên SnakeDisk, đặc biệt nhắm mục tiêu vào các thiết bị tại Thái Lan.

Phân tích kỹ thuật chuyên sâu về các mối đe dọa mạng

Các chiến dịch này thể hiện sự tiến hóa đáng kể trong khả năng của Hive0154, sử dụng các công cụ và kỹ thuật tiên tiến để đạt được mục tiêu gián điệp mạng.

Biến thể Toneshell9: Cải tiến trong lẩn tránh và kiểm soát

Phiên bản mới nhất của Toneshell, được đặt tên là Toneshell9, đại diện cho một bước tiến quan trọng trong năng lực của nhóm tác nhân đe dọa. Biến thể cập nhật này giới thiệu các tính năng giao tiếp qua proxy, cho phép mã độc hòa lẫn một cách liền mạch với lưu lượng mạng doanh nghiệp hợp pháp.

Điều này đạt được bằng cách tận dụng các máy chủ proxy được cấu hình cục bộ, khiến việc phát hiện trở nên khó khăn hơn đối với các giải pháp an ninh mạng truyền thống vì lưu lượng độc hại được ngụy trang thành hoạt động bình thường của người dùng.

Các tính năng kỹ thuật chính của Toneshell9

• Khả năng duy trì quyền truy cập (Persistence):Toneshell9 thiết lập sự hiện diện bền bỉ thông qua các kỹ thuật DLL sideloading. Kỹ thuật này lợi dụng cách các ứng dụng hợp pháp tải các thư viện động (DLL), buộc chúng phải tải một DLL độc hại có cùng tên trước khi tải DLL hợp pháp. Điều này giúp mã độc thực thi trong ngữ cảnh của một tiến trình hợp lệ, làm giảm khả năng bị phát hiện.
• Giao tiếp Command-and-Control (C2) tinh vi: Giao tiếp C2 được che giấu bằng cách ngụy trang lưu lượng truy cập thành các gói TLS 1.2 Application Data. Bằng cách này, lưu lượng C2 trông giống như dữ liệu ứng dụng được mã hóa hợp lệ, giúp mã độc vượt qua các hệ thống phát hiện xâm nhập (IDS) và tường lửa dựa trên chữ ký thông thường.
• Quản lý C2 linh hoạt:Mã độc tạo ra một đối tượng client phức tạp, có khả năng quản lý đồng thời nhiều máy chủ C2, cấu hình proxy và khóa mã hóa. Sự linh hoạt này tăng cường khả năng phục hồi của chiến dịch, cho phép mã độc duy trì kết nối ngay cả khi một số máy chủ C2 bị vô hiệu hóa.
• Khám phá cấu hình mạng: Khả năng liệt kê các hive đăng ký Windows để tìm cài đặt proxy cho thấy sự hiểu biết sâu sắc của nhóm về kiến trúc mạng doanh nghiệp. Điều này cho phép mã độc tự động thích ứng với cấu hình mạng của nạn nhân, tối ưu hóa khả năng lẩn tránh.

SnakeDisk: Worm USB mới nhắm mục tiêu khu vực

Worm USB SnakeDisk mới được xác định cho thấy cách tiếp cận có mục tiêu của Hive0154 đối với các hoạt động gián điệp mạng. Mã độc này đặc biệt kiểm tra các địa chỉ IP có trụ sở tại Thái Lan trước khi thực thi.

Điều này cho thấy một trọng tâm chiến lược vào các mạng của chính phủ và tổ chức Thái Lan trong bối cảnh căng thẳng khu vực gia tăng, xác nhận tính chất chọn lọc của mối đe dọa mạng này.

Đặc điểm hoạt động của SnakeDisk

• Thời điểm triển khai chiến lược: Việc triển khai SnakeDisk trùng hợp với các tranh chấp biên giới giữa Thái Lan và Campuchia leo thang, cùng với căng thẳng ngoại giao kéo dài trong suốt năm 2025. Điều này cho thấy động cơ chính trị và tình báo đằng sau cuộc tấn công.
• Cơ chế lây nhiễm USB tinh vi: Cơ chế lây nhiễm qua USB của worm gợi ý nỗ lực xâm nhập các hệ thống air-gapped. Các hệ thống này thường được sử dụng trong các môi trường chính phủ nhạy cảm, cách ly khỏi Internet để bảo mật, cho thấy mục tiêu thu thập thông tin tình báo cấp cao.
• Thả Backdoor Yokai: Khi được kích hoạt trên thiết bị mục tiêu, SnakeDisk sẽ thả backdoor Yokai. Backdoor này trước đây đã được liên kết với các chiến dịch chống lại các quan chức Thái Lan vào tháng 12 năm 2024, củng cố sự liên hệ giữa các công cụ của Hive0154.

Chiến dịch tấn công mạng của Hive0154 và động cơ

Các nhà nghiên cứu an ninh mạng quy kết hoạt động này cho Hive0154, một nhóm tác nhân đe dọa liên kết với Trung Quốc đã được thành lập vững chắc. Nhóm này điều hành nhiều cụm con, nhắm mục tiêu vào các cơ quan chính phủ, viện nghiên cứu và tổ chức tư nhân trên khắp Đông Á.

Kho vũ khí của nhóm bao gồm nhiều bộ tải mã độc tùy chỉnh, backdoor và các họ worm USB, thể hiện khả năng phát triển nâng cao và nguồn lực đáng kể.

Mục tiêu khu vực và động cơ đằng sau các mối đe dọa mạng

Việc phát hiện các tệp lưu trữ vũ khí được tải lên từ Singapore và Thái Lan trong suốt giữa năm 2025 cho thấy việc nhắm mục tiêu liên tục vào các thực thể Đông Nam Á. Các chiến dịch này đã sử dụng các mồi nhử kỹ thuật xã hội, mạo danh thông tin liên lạc của chính phủ.

Cụ thể, chúng bao gồm các tài liệu giả mạo của Bộ Ngoại giao Myanmar, được phân phối thông qua các nền tảng lưu trữ đám mây như Box và Google Drive. Đây là một phương thức phổ biến trong các cuộc tấn công mạng phức tạp nhằm đánh lừa người dùng tải về và thực thi mã độc.

IBM X-Force đánh giá rằng lợi ích chiến lược của Trung Quốc trong khu vực, đặc biệt là Campuchia như một đồng minh quan trọng, có thể là động lực cho các hoạt động tăng cường chống lại Thái Lan. Tìm hiểu thêm về nghiên cứu của IBM X-Force tại đây.

Việc triển khai mã độc bị giới hạn địa lý cho thấy một cách tiếp cận có tính toán để thu thập thông tin tình báo trong giai đoạn bất ổn khu vực. Tính chất có mục tiêu cao này làm nổi bật sự tinh vi trong kế hoạch và thực hiện của Hive0154.

Các chỉ số thỏa hiệp (IOCs) của các cuộc tấn công mạng

Dựa trên các thông tin thu thập được, dưới đây là các chỉ số thỏa hiệp (IOCs) cần chú ý để hỗ trợ công tác phát hiện và phòng ngừa:

• Mục tiêu địa lý: Các địa chỉ IP có trụ sở tại Thái Lan.
• Tên mã độc:
  • Toneshell9 (backdoor)
  • SnakeDisk (USB worm)
  • Yokai (backdoor)
• Kỹ thuật xã hội và mồi nhử:
  • Các tài liệu giả mạo mạo danh Bộ Ngoại giao Myanmar.
  • Các liên kết tải xuống đáng ngờ từ các nền tảng lưu trữ đám mây hợp pháp như Box và Google Drive, được sử dụng để phân phối mã độc.
• Phương thức lây nhiễm và kỹ thuật:
  • Sử dụng thiết bị USB đáng ngờ như một vector lây nhiễm ban đầu (đối với SnakeDisk).
  • Kỹ thuật DLL sideloading để duy trì quyền truy cập và lẩn tránh (đối với Toneshell9).
  • Giao tiếp Command-and-Control ngụy trang thành lưu lượng TLS 1.2 Application Data.
  • Khám phá cài đặt proxy trong Registry Windows.

Các biện pháp an ninh mạng khuyến nghị để bảo vệ hệ thống

Các tổ chức trong các khu vực mục tiêu, đặc biệt là tại Đông Nam Á, cần triển khai các biện pháp bảo mật nâng cao. Điều này là cần thiết để chống lại các mối đe dọa mạng tinh vi như của Hive0154.

• Giám sát và kiểm soát thiết bị USB: Cần tăng cường giám sát và kiểm soát chặt chẽ các thiết bị USB. Hạn chế sử dụng thiết bị USB không rõ nguồn gốc và áp dụng các chính sách cấm tự động chạy (autorun). Thực hiện quét mã độc nghiêm ngặt đối với mọi thiết bị USB trước khi sử dụng.
• Phát hiện lưu lượng TLS bất thường: Theo dõi lưu lượng truy cập TLS để tìm kiếm các kết nối không có bắt tay (handshake) phù hợp hoặc có hành vi bất thường, đặc biệt là lưu lượng đi đến các địa chỉ IP không xác định. Điều này có thể chỉ ra giao tiếp C2 của Toneshell9.
• Kiểm tra kỹ lưỡng liên kết lưu trữ đám mây: Cần xem xét kỹ lưỡng các liên kết tải xuống từ các nền tảng lưu trữ đám mây trong các thông tin liên lạc chính thức. Người dùng nên được huấn luyện để nhận biết các dấu hiệu lừa đảo (phishing) và không nhấp vào các liên kết đáng ngờ.
• Cập nhật hệ thống và phần mềm: Đảm bảo rằng tất cả các hệ thống và phần mềm, đặc biệt là các ứng dụng phổ biến dễ bị DLL sideloading, đều được cập nhật các bản vá bảo mật mới nhất để giảm thiểu các lỗ hổng có thể bị khai thác.
• Triển khai giải pháp EDR/XDR: Sử dụng các giải pháp phát hiện và phản hồi nâng cao (EDR/XDR) để có thể phát hiện các hành vi độc hại tinh vi dựa trên hành vi thay vì chữ ký, mà các hệ thống an ninh mạng truyền thống có thể bỏ qua.
• Đào tạo nhận thức về an ninh mạng: Thường xuyên đào tạo nhân viên về các kỹ thuật lừa đảo xã hội, tầm quan trọng của việc kiểm tra nguồn gốc email và các rủi ro liên quan đến việc sử dụng thiết bị USB không an toàn.
• Phân đoạn mạng: Áp dụng các nguyên tắc phân đoạn mạng (network segmentation) để hạn chế sự lây lan của mã độc trong trường hợp bị xâm nhập.

Bản chất tinh vi của những công cụ này cho thấy sự tiến hóa liên tục của Hive0154 như một mối đe dọa mạng đáng kể đối với sự ổn định khu vực và an ninh tổ chức. Việc áp dụng các biện pháp an ninh mạng chủ động và đa lớp là điều tối cần thiết để bảo vệ dữ liệu và hệ thống quan trọng.