Nhóm Kimsuky APT đã chuyển hướng sử dụng trí tuệ nhân tạo (AI) tạo sinh như ChatGPT để chế tạo các thẻ căn cước quân đội Hàn Quốc giả mạo (deepfake). Chiến thuật này nằm trong một chiến dịch tấn công mạng spear-phishing tinh vi, phát tán các tập tin batch và script AutoIt được thiết kế để né tránh quét của phần mềm diệt virus thông thường. Các tổ chức cần triển khai giải pháp phát hiện và phản hồi điểm cuối (EDR) để làm sáng tỏ các script bị che giấu và bảo vệ điểm cuối hiệu quả.

Tổng quan Chiến dịch Spear-Phishing của Kimsuky APT

Vào ngày 17 tháng 7 năm 2025, Trung tâm An ninh Genians (GSC) đã phát hiện một chiến dịch spear-phishing mới. Chiến dịch này được cho là do nhóm Kimsuky APT thực hiện, mạo danh một tổ chức liên quan đến quốc phòng. Mục tiêu chính là phát tán mã độc thông qua các mồi nhử được tạo ra một cách thuyết phục.

Trong chiến dịch này, những kẻ tấn công đã tạo ra các hình ảnh thẻ căn cước quân sự mẫu bằng ChatGPT. Các hình ảnh deepfake này sau đó được nhúng vào một email spear-phishing, ngụy trang thành yêu cầu xem xét cấp thẻ căn cước. Điều này cho thấy sự nâng cấp đáng kể trong khả năng tạo mồi nhử của nhóm.

Kỹ thuật Deepfake và Đánh lừa bằng AI trong tấn công mạng

Deepfake là sự kết hợp giữa “deep learning” (học sâu) và “fake” (giả mạo), dùng để chỉ các phương tiện truyền thông được tạo hoặc thao tác bằng AI. Chúng có khả năng mô phỏng một cách thuyết phục các cá nhân hoặc tài liệu có thật. Công nghệ này bắt đầu trở nên phổ biến vào năm 2017 với việc hoán đổi khuôn mặt người nổi tiếng.

Hiện nay, các tác nhân được nhà nước bảo trợ, như nhóm Kimsuky APT, đã sử dụng công nghệ này để sản xuất giấy tờ tùy thân giả mạo cho các hoạt động gián điệp. Báo cáo này phân tích một trường hợp khai thác deepfake AI thực tế, đưa ra những thông tin chi tiết về mối đe dọa và đề xuất các biện pháp phòng thủ tiềm năng.

Trước đó, vào tháng 7, GSC đã công bố “Báo cáo phân tích chiến thuật ClickFix”, nêu chi tiết các chiến thuật phishing của APT. Các chiến thuật này bắt chước các chức năng bảo mật cổng thông tin của Hàn Quốc. Đáng chú ý là cùng một họ mã độc, sử dụng lệnh PowerShell độc hại qua cửa sổ bật lên, đã tái xuất hiện trong chiến dịch deepfake này.

Ngay cả trước khi xuất hiện kỹ thuật giả mạo thẻ căn cước bằng ChatGPT, Kimsuky APT đã gửi các email với tiêu đề liên quan đến AI. Ví dụ, các tiêu đề như “AI quản lý email thay bạn” cho thấy sự quan tâm sớm của nhóm này đối với công nghệ AI.

Song song đó, nhà cung cấp AI của Mỹ, Anthropic, đã báo cáo rằng các nhân viên IT Triều Tiên đã lạm dụng AI tạo sinh. Họ dùng nó để tạo ra danh tính ảo và hoàn thành các cuộc phỏng vấn kỹ thuật, nhằm lách các lệnh trừng phạt quốc tế và kiếm ngoại tệ. Genians đã có một bài viết chi tiết về vấn đề này.

Bộ Ngoại giao Hàn Quốc cũng đã cảnh báo rằng việc thuê ngoài các nhà thầu IT từ Triều Tiên có thể gây ra rủi ro. Các rủi ro này bao gồm đánh cắp tài sản trí tuệ (IP), tổn hại danh tiếng và các vấn đề pháp lý. Những diễn biến này nhấn mạnh cách các công cụ AI đang gia tăng khả năng của các tác nhân đe dọa được nhà nước bảo trợ.

Phân tích kỹ thuật Khai thác và Lẩn tránh

Cơ chế Phát tán ban đầu

Trong tháng 7, những kẻ tấn công đã gửi một email giả mạo rất giống với miền của một tổ chức quân sự. Tin nhắn chứa một tập tin nén “Government_ID_Draft(***).zip”. Sau khi giải nén, tập tin này chứa một shortcut độc hại của Windows (.lnk).

Người dùng có ý thức bảo mật thường cảnh giác với các tệp đính kèm email lạ và tránh mở chúng. Đây là một thực tế mà các tác nhân Kimsuky APT đã nắm rõ.

Tệp .lnk này đã khởi chạy cmd.exe để thiết lập một biến môi trường chứa một chuỗi đã bị che giấu. Sau đó, nó trích xuất các ký tự tuần tự để tái tạo và gọi một lệnh PowerShell.

cmd.exe /V /C "set S=...& for /L %i in (0,1,...) do set P=!P!!S:~%i,1!& !P!"

Lệnh PowerShell này sau đó liên hệ với một máy chủ C2 riêng để tải xuống cả hình ảnh ID được tạo bằng AI và một tệp batch, có tên là “LhUdPC3G.bat”. Siêu dữ liệu của hình ảnh đã tiết lộ ChatGPT là nguồn gốc của nó. Một công cụ phát hiện deepfake đã gắn cờ hình ảnh này với xác suất 98%. Vì các thẻ căn cước nhân viên chính phủ quân sự là tài liệu nhận dạng được bảo vệ hợp pháp, việc sao chép chúng dưới dạng giống hệt hoặc tương tự là bất hợp pháp.

Kỹ thuật Che giấu và Thực thi Payload

Script batch ban đầu và các script AutoIt đã sử dụng một mật mã kiểu Vigenère xoay vòng để mã hóa các chuỗi. Phương pháp này nhằm mục đích làm chệch hướng phân tích tĩnh. Mã AutoIt đã dịch ngược cho thấy các hàm áp dụng các dịch chuyển ký tự dựa trên một khóa lặp và mảng bit.

Sau thời gian trì hoãn thực thi là bảy giây, một chiến thuật để qua mặt thời gian chờ của sandbox. Script này đã tải xuống và giải nén các payload CAB bổ sung. Sau đó, nó lên lịch các tác vụ định kỳ được ngụy trang thành các bản cập nhật phần mềm hợp pháp. Các kỹ thuật lẩn tránh nhiều lớp này đã thành công né tránh phần mềm diệt virus dựa trên chữ ký. Đồng thời, chúng làm phức tạp thêm việc phân tích thủ công.

Dấu hiệu Nhận diện và Chỉ thị Xâm nhập (IOCs)

Các tổ chức nên chú ý đến những dấu hiệu sau đây có thể chỉ ra sự hiện diện của hoạt động từ nhóm Kimsuky APT:

• Tên tệp độc hại:
  • Government_ID_Draft(***).zip (tệp nén chứa mã độc)
  • .lnk (tệp shortcut độc hại bên trong tệp nén)
  • LhUdPC3G.bat (tệp batch được tải xuống từ C2)
• Kết nối mạng:
  • Liên lạc với máy chủ Command and Control (C2) không xác định để tải xuống payload.
• Mã độc và kỹ thuật:
  • Sử dụng PowerShell để tái tạo và thực thi lệnh.
  • Script AutoIt hoặc batch sử dụng mật mã kiểu Vigenère.
  • Thời gian trì hoãn thực thi (khoảng 7 giây) để né sandbox.
  • Tạo các tác vụ định kỳ giả mạo bản cập nhật phần mềm (ví dụ: cập nhật Hancom Office).
• Nội dung email:
  • Email mạo danh các tổ chức quốc phòng, đặc biệt là liên quan đến thẻ căn cước.

Các Biện pháp Phòng thủ và Vai trò của EDR

Các giải pháp chống virus chỉ dựa trên chữ ký gặp khó khăn trong việc phát hiện các script bị che giấu sâu và các mồi nhử được tạo bằng AI. Nền tảng Endpoint Detection and Response (EDR), như Genian EDR, là thiết yếu để đối phó với các mối đe dọa này. EDR cung cấp khả năng quan sát sâu rộng hơn về các hoạt động trên điểm cuối. Nó giúp phát hiện các hành vi bất thường mà các công cụ bảo mật truyền thống có thể bỏ qua.

Bằng cách kết hợp giám sát thời gian thực các cây tiến trình, thao tác biến môi trường và kết nối mạng đi. EDR đảm bảo rằng các lớp che giấu được làm sáng tỏ và các mối đe dọa bị vô hiệu hóa trước khi dữ liệu bị đánh cắp. Điều này đặc biệt quan trọng khi đối phó với các chiến thuật lẩn tránh tinh vi của Kimsuky APT.

Tác động và Xu hướng Mối đe dọa từ AI đối với An ninh mạng

Việc nhóm Kimsuky APT sử dụng ChatGPT để tạo deepfake đánh dấu một biên giới mới trong các hoạt động của APT. AI tạo sinh tăng tốc việc sản xuất các mồi nhử thuyết phục. Trong khi đó, kỹ thuật che giấu nâng cao trong các script batch và AutoIt né tránh các hệ thống phòng thủ truyền thống. Điều này đặt ra thách thức lớn cho an ninh mạng.

Các tổ chức phải chuyển sang triển khai EDR mạnh mẽ để phát hiện các hành vi độc hại ẩn trong mã bị che giấu. Đồng thời, duy trì an ninh điểm cuối liên tục chống lại các mối đe dọa mạng được hỗ trợ bởi AI đang phát triển. Sự cảnh giác liên tục trên các quy trình tuyển dụng và vận hành là cần thiết để đối phó với những thách thức mới này.