Nhóm tin tặc TA415, được cho là có liên kết với Trung Quốc, đã áp dụng phương thức Command-and-Control (C2) ngầm thông qua Google Sheets và Google Calendar. Chiến dịch gián điệp dai dẳng này nhắm vào các tổ chức chính phủ, học thuật và các viện nghiên cứu của Hoa Kỳ. Đây là một mối đe dọa mạng đáng chú ý, khi tấn công mạng TA415 tìm cách lẩn tránh hệ thống phát hiện và thu thập thông tin tình báo về các chính sách kinh tế Hoa Kỳ-Trung Quốc.

Chiến dịch Spearphishing và Cơ chế Lây nhiễm Ban đầu

Trong khoảng thời gian từ tháng 7 đến tháng 8 năm 2025, nhóm TA415 đã thực hiện một loạt các chiến dịch spearphishing tinh vi. Các chiến dịch này tập trung vào các cá nhân và tổ chức có liên quan đến quan hệ, thương mại và chính sách kinh tế giữa Hoa Kỳ và Trung Quốc.

Những email giả mạo, được gửi từ các địa chỉ như Chủ tịch Ủy ban Tuyển chọn về Cạnh tranh Chiến lược giữa Hoa Kỳ và ĐCSTQ, hoặc Hội đồng Kinh doanh Hoa Kỳ-Trung Quốc. Kẻ tấn công mời các mục tiêu tham gia vào “các cuộc họp kín” và yêu cầu phản hồi về các dự thảo luật trừng phạt.

Các email chứa liên kết đến các tệp lưu trữ được bảo vệ bằng mật khẩu, lưu trữ trên các nền tảng chia sẻ đám mây như Zoho WorkDrive, Dropbox và OpenDrive.

Phân tích tiêu đề email cho thấy việc gửi thư được thực hiện thông qua dịch vụ Cloudflare WARP VPN. Điều này làm nổi bật việc nhóm sử dụng các kỹ thuật ẩn danh để che giấu nguồn gốc của các cuộc tấn công mạng TA415.

Kích hoạt Mã độc và Duy trì Quyền Truy cập

Khi mục tiêu truy cập vào tệp lưu trữ, một thư mục con ẩn tên MACOS chứa một tệp Microsoft Shortcut (LNK) độc hại. Tệp này sẽ thực thi một script batch có tên logon.bat và hiển thị một tệp PDF giả mạo bị hỏng.

Script logon.bat sau đó khởi chạy một trình tải Python bị che giấu, được theo dõi với tên gọi WhirlCoil. Trình tải này thiết lập một quyền truy cập dai dẳng bằng cách triển khai một tác vụ theo lịch trình (scheduled task) với các tên thông thường như GoogleUpdate hoặc MicrosoftHealthcareMonitorNode.

Thay vì dựa vào mã độc tùy chỉnh, nhóm TA415 tận dụng các ứng dụng đám mây hợp pháp để giảm thiểu các bất thường mạng, khiến việc phát hiện trở nên khó khăn hơn. Mục tiêu chính của tấn công mạng TA415 là thu thập thông tin tình báo về các cuộc thảo luận chính sách kinh tế của Hoa Kỳ, kế hoạch trừng phạt và quỹ đạo lập pháp.

Chiếm quyền điều khiển và Kỹ thuật Che giấu

Trình tải WhirlCoil có khả năng tải xuống Command Line Interface (CLI) chính thức của VS Code từ máy chủ của Microsoft. Sau đó, nó giải nén vào đường dẫn %LOCALAPPDATA%MicrosoftVSCode và xác thực VS Code Remote Tunnel thông qua thông tin đăng nhập GitHub.

Kênh ngầm này cung cấp cho kẻ tấn công quyền truy cập cấp shell thông qua terminal của Visual Studio, cho phép thực thi lệnh tùy ý (arbitrary command execution) và đánh cắp dữ liệu mà không cần các tín hiệu beaconing truyền thống. Đây là một kỹ thuật tinh vi trong các chiến dịch tấn công mạng TA415.

# Ví dụ lệnh kích hoạt VS Code Remote Tunnel (giả định)
# Mã khai thác thực tế có thể khác và phức tạp hơn
# code tunnel --cli-auth
# code tunnel --name <tunnel_name>

Để tăng cường khả năng dự phòng, TA415 lưu trữ các hướng dẫn hoạt động và thông tin hệ thống đã bị đánh cắp trong Google Sheets và các sự kiện Google Calendar.

Bằng cách ghi các dấu hiệu payload được mã hóa vào bảng tính và lên lịch các mục sự kiện chứa dấu thời gian cùng dữ liệu máy chủ được mã hóa Base64, nhóm đã hòa trộn lưu lượng C2 với các cuộc gọi API đám mây thông thường.

Metadata bị đánh cắp – bao gồm phiên bản Windows, locale, tên máy tính và các thư mục người dùng – được gửi (POST) đến các dịch vụ ghi yêu cầu miễn phí (free request-logging services) dưới dạng tên tệp kết hợp dấu thời gian với tên máy chủ được mã hóa Base64. Cách tiếp cận đa kênh này giúp kẻ tấn công duy trì liên lạc ngay cả khi một kênh bị gián đoạn.

Phân tích và Nguồn Gốc Mối Đe Dọa

Hoạt động của nhóm này trùng với các cuộc đàm phán cấp cao về quan hệ thương mại và hợp tác kinh tế giữa Hoa Kỳ và Trung Quốc. Các bản cáo trạng của Hoa Kỳ đã xác định TA415 (còn được theo dõi dưới các tên khác như APT41, Brass Typhoon và Wicked Panda) là một nhóm nhà thầu dân sự hoạt động từ Thành Đô dưới tên Chengdu 404 Network Technology. Proofpoint và các nhà nghiên cứu bảo mật khác đã phân tích sâu về các hoạt động của nhóm này.

Sự Tiến Hóa Kỹ Thuật của TA415

Việc TA415 sử dụng sáng tạo Google Sheets, Google Calendar và VS Code Remote Tunnels cho thấy rằng các kẻ tấn công sẽ tiếp tục cải tiến các kỹ thuật để né tránh các biện pháp phòng thủ thông thường. Điều này nhấn mạnh sự cần thiết của các biện pháp bảo mật đám mây liên tục và tập trung vào mối đe dọa.

Mối liên hệ lịch sử với Bộ An ninh Quốc gia Trung Quốc và việc triển khai backdoor Voldemort trước đây cho thấy rõ nhiệm vụ gián điệp của nhóm. Việc chuyển từ Voldemort sang VS Code Remote Tunnels và C2 dựa trên đám mây phản ánh sự phát triển trong kỹ năng của các tác nhân đe dọa liên kết với nhà nước Trung Quốc, ưu tiên sự bí mật và khả năng phục hồi hoạt động.

Bằng cách nhắm mục tiêu vào các viện nghiên cứu, tổ chức học thuật và cơ quan chính phủ chuyên về thương mại và trừng phạt, nhóm tìm kiếm những hiểu biết kịp thời để cung cấp thông tin cho việc ra quyết định của ĐCSTQ và các chiến thuật cạnh tranh chiến lược.

Phát hiện tấn công và Biện pháp Bảo mật Đám mây

Việc áp dụng các dịch vụ năng suất được sử dụng rộng rãi cho C2 làm nổi bật một xu hướng ngày càng tăng trong số các tác nhân đe dọa tinh vi: khai thác các nền tảng đám mây hợp pháp. Các biện pháp phòng thủ dựa trên mạng truyền thống có thể gặp khó khăn trong việc phân biệt giữa các cuộc gọi API lành tính và độc hại đến các dịch vụ của Google, làm phức tạp các nỗ lực phát hiện tấn công và phản ứng.

Các nhóm bảo mật phải tăng cường giám sát mạng bằng cách sử dụng phân tích dựa trên hành vi (behavior-based analytics) và phát hiện bất thường (anomaly detection) trong môi trường đám mây. CISA cung cấp các hướng dẫn quan trọng về việc bảo vệ môi trường đám mây khỏi các mối đe dọa mạng.

Đặc biệt, việc giám sát các payload sự kiện lịch bất thường và các sửa đổi bảng tính đáng ngờ có thể giúp làm nổi bật các hoạt động ngầm như vậy. Khi căng thẳng địa chính trị giữa Washington và Bắc Kinh vẫn tiếp diễn, các tổ chức tham gia nghiên cứu chính sách và kinh tế Hoa Kỳ-Trung Quốc vẫn là mục tiêu gián điệp có giá trị cao, đối mặt với rủi ro bảo mật đáng kể từ các chiến dịch như tấn công mạng TA415.