Một phân tích chuyên sâu từ công ty an ninh mạng KELA đã chỉ ra những điểm tương đồng đáng chú ý về phong cách hoạt động, lựa chọn mục tiêu và sự hiện diện trực tuyến, gợi ý về một mối liên hệ tiềm tàng giữa hai mối đe dọa mạng có nguồn gốc từ Yemen: Belsen Group mới nổi và ZeroSevenGroup đã hoạt động lâu năm. Các phát hiện này cung cấp cái nhìn quan trọng về cách các nhóm tấn công có thể liên kết hoặc chia sẻ tài nguyên, tạo ra những thách thức mới trong lĩnh vực an ninh mạng.

Belsen Group: Khởi Phát và Phương Thức Khai Thác Lỗ Hổng CVE

Belsen Group lần đầu tiên xuất hiện vào đầu tháng 1 năm 2025 thông qua một bài đăng trên BreachForums dưới tên người dùng Belsen_Group. Nhóm này công bố việc rò rỉ 1.6 GB dữ liệu nhạy cảm thu thập được từ hơn 15.000 tường lửa Fortinet FortiGate dễ bị tổn thương, đánh dấu một khởi đầu mạnh mẽ trong giới tội phạm mạng.

Thông tin bị lộ bao gồm địa chỉ IP, cấu hình thiết bị và thông tin đăng nhập VPN. Tất cả đều được thu thập bằng cách khai thác lỗ hổng CVE-2022-406841, một lỗ hổng bypass xác thực nghiêm trọng có thể cho phép kẻ tấn công vượt qua quá trình xác thực và truy cập trái phép vào hệ thống. Chi tiết kỹ thuật về lỗ hổng này có thể tham khảo thêm tại NVD.

Ban đầu, nhóm cung cấp bộ dữ liệu miễn phí, nhanh chóng thiết lập uy tín trong giới tội phạm mạng. Ngay sau đó, Belsen_Group đã ra mắt một blog chuyên dụng dựa trên TOR và bắt đầu bán quyền truy cập mạng cho các nạn nhân ở Châu Phi, Bắc Mỹ và Châu Á, cho thấy mức độ nguy hiểm của mối đe dọa mạng này.

Ngay từ đầu, Belsen_Group đã duy trì nhiều kênh liên lạc đa dạng như Tox, XMPP, Telegram và X. Đồng thời, họ sao chép danh sách nạn nhân trên BreachForums, Twitter và trang web .onion của mình để tối đa hóa tầm với.

Tài khoản Twitter của nhóm, được tạo vào ngày 10 tháng 1 năm 2025, sao chép các thông báo về vi phạm và liệt kê một địa chỉ Gmail được che một phần để đăng ký. Chỉ một lần duy nhất, trong một bài đăng trên BreachForums và Twitter, họ chia sẻ một liên hệ Telegram: @BelsenAdmin (ID 6161097506).

OSINT liên kết người dùng này, đã đăng ký vào năm 2023 dưới tên “K Y”, với các tên tài khoản cũ là @m_kyan0 và @mmmkkk000000. Phân tích các kênh đăng ký của tài khoản này cho thấy mối liên hệ với các kênh chứng nhận an ninh mạng, các nhóm chủ đề người lớn, các diễn đàn tiếng Ả Rập khu vực ở Yemen, và thậm chí cả một trang thảo luận anime.

Một tin nhắn gần đây của @BelsenAdmin trên Telegram cũng đã hỏi thông tin về khóa học chứng nhận eWPTX, nhấn mạnh sự đa dạng về sở thích và khả năng kỹ thuật tiềm ẩn của tác nhân đe dọa này.

ZeroSevenGroup: Hồ Sơ Đe Dọa và Các Vụ Rò Rỉ Dữ Liệu

ZeroSevenGroup đã hoạt động từ tháng 7 năm 2024, ban đầu đăng bài trên NulledTo trước khi mở rộng sang BreachForums, CrackedTo và Leakbase. Nhóm này chuyên rò rỉ dữ liệu từ các cơ sở dữ liệu bị đánh cắp và quyền truy cập mạng, tập trung vào các công ty ở Ba Lan, Israel, Mỹ, UAE, Nga và Brazil.

Các vụ rò rỉ ban đầu được cung cấp miễn phí, nhưng đến cuối năm 2024, nhóm đã kiếm tiền từ các hoạt động của mình bằng cách bán các bộ dữ liệu lớn hơn thông qua Terabox và Mega. Đây là một chiến lược phổ biến của các mối đe dọa mạng nhằm tối đa hóa lợi nhuận từ các hoạt động phi pháp.

Vào tháng 8 năm 2024, ZeroSevenGroup đã nhận trách nhiệm về vụ xâm nhập chi nhánh Toyota tại Mỹ và làm rò rỉ dữ liệu lên tới 240 GB. Đây là một sự cố mà Toyota ban đầu đã hạ thấp mức độ nghiêm trọng trước khi thừa nhận một sự thỏa hiệp từ bên thứ ba, cho thấy khả năng tấn công vào các mục tiêu lớn.

Đến tháng 11 năm 2024, ZeroSevenGroup phải đối mặt với các cáo buộc lừa đảo tập đoàn ransomware Medusa bằng cách rao bán thông tin đăng nhập mạng đã lỗi thời hoặc giả mạo. Điều này làm dấy lên nghi vấn về tính đáng tin cậy của nhóm trong giới tội phạm mạng.

Sau một thời gian tạm lắng, nhóm đã tái xuất vào tháng 1 năm 2025 trên Exploit Forum. Tại đây, họ đã tiếp tục các hoạt động thương mại hóa, cung cấp quyền truy cập C2 (Command and Control) và VPN cho một thực thể chính phủ Ý, cũng như các mục tiêu quan trọng ở Mỹ và Nhật Bản. Việc bán quyền truy cập này thể hiện khả năng duy trì và khai thác các lỗ hổng để kiếm lợi.

Cuộc điều tra của KELA đã truy tìm hoạt động sớm nhất của nhóm vào tháng 7 năm 2024, dựa trên một mật khẩu duy nhất được sử dụng để khóa các tệp bị rò rỉ. Mật khẩu này đã liên kết trở lại một địa chỉ email và một máy chủ bị nhiễm infostealer, cả hai đều liên quan đến Yemen và một thành viên của nhóm tấn công Yemen Shield.

Bằng chứng bổ sung đã truy tìm nguồn gốc của nhóm đến RaidForums, nơi họ hoạt động với tên “ZeroXGroup” dưới tên người dùng zerox296, cho thấy lịch sử hoạt động lâu dài trong cộng đồng ngầm.

Phân Tích Các Dấu Hiệu Liên Kết Giữa Hai Nhóm Mối Đe Dọa Mạng

Các nhà phân tích của KELA đã xác định một số điểm trùng lặp đáng chú ý giữa Belsen_Group và ZeroSevenGroup. Thông tin chi tiết về phân tích chuyên sâu này có thể được tìm thấy trong báo cáo của KELA tại KELA Cyber Blog.

Điểm Trùng Lặp Về Phong Cách Hoạt Động

• Cả hai thực thể đều sử dụng định dạng tiêu đề bài đăng giống hệt nhau: [ Access ], với dấu ngoặc vuông và khoảng trắng chính xác.
• Các thông báo của họ có cách diễn đạt gần như nguyên văn và các mẫu cấu trúc tương tự, cho thấy có thể có một kịch bản hoặc template chung được sử dụng.
• Kiểm tra hoạt động trên Twitter của cả hai nhóm cho thấy một mẫu hình sử dụng hashtag #hack nhất quán trong các bài đăng của họ.
• Việc sử dụng nhất quán thuật ngữ “Group” trong tên tài khoản của họ càng củng cố chiến lược xây dựng thương hiệu chung, cho thấy một sự phối hợp ngầm giữa các mối đe dọa mạng này.

Điểm Trùng Lặp Kỹ Thuật và Hạ Tầng

• Một tìm kiếm nhắm mục tiêu cho một sự kết hợp cụ thể của các từ khóa trên nền tảng của KELA chỉ cho ra kết quả liên quan độc quyền đến hai tác nhân này, gợi ý về một chữ ký hoạt động chung.
• Các chỉ số định vị địa lý cũng chỉ ra Yemen là cơ sở chung của cả hai nhóm. Điều này củng cố giả thuyết về nguồn gốc địa lý và khả năng chia sẻ tài nguyên hoặc có cùng một trung tâm điều hành.
• Cả hai nhóm đều thể hiện chuyên môn trong việc bán quyền truy cập mạng và tận dụng các cơ sở hạ tầng liên lạc tương tự, cho thấy một cấp độ kỹ năng và công cụ nhất quán trong các hoạt động xâm nhập và kiếm tiền của họ.

Khuyến Nghị Giám Sát và Tăng Cường An Ninh Mạng

Mặc dù những phát hiện này chưa phải là bằng chứng không thể chối cãi tuyệt đối, sự hội tụ rõ ràng của các dấu hiệu về phong cách hoạt động, kỹ thuật khai thác và hạ tầng liên lạc cho thấy ít nhất một mức độ liên kết chặt chẽ hoặc chia sẻ tài nguyên đáng kể giữa Belsen Group và ZeroSevenGroup. Các chuyên gia an ninh mạng cần đặc biệt chú ý giám sát cả hai thực thể để phát hiện các chiến dịch phối hợp tiềm ẩn từ những mối đe dọa mạng phức tạp này.

Đặc biệt, cần đánh giá liệu việc khai thác các lỗ hổng đã tồn tại lâu như lỗ hổng CVE-2022-406841 có báo hiệu khả năng truy cập sâu hơn, dai dẳng hơn vào các hệ thống mục tiêu hay không. Việc hiểu rõ sự hợp tác tiềm năng này có thể cực kỳ quan trọng trong việc dự đoán các cuộc tấn công trong tương lai và củng cố các tư thế phòng thủ chống lại các mối đe dọa mạng liên quan đến Yemen.

Cộng đồng an ninh mạng toàn cầu cần đặc biệt chú ý đến những diễn biến này. Việc hiểu rõ bản chất và mối liên kết của các mối đe dọa mạng giúp các tổ chức bảo vệ tốt hơn các hệ thống và dữ liệu quan trọng của mình. Việc liên tục cập nhật thông tin tình báo về các nhóm tấn công và các mối đe dọa mạng mới nổi là yếu tố then chốt để duy trì một tư thế phòng thủ vững chắc trong bối cảnh an ninh mạng đầy biến động.