Phát hiện xâm nhập mới cho thấy một chiến dịch tấn công mạng tinh vi nhắm vào người dùng nói tiếng Hoa tại Đài Loan, cùng với nạn nhân ở Hàn Quốc và Nhật Bản, sử dụng tài liệu mồi nhử theo chủ đề quân sự và chuỗi lây nhiễm nhiều giai đoạn để duy trì truy cập từ xa vào hệ thống bị xâm nhập.
Chuỗi lây nhiễm và mồi nhử tài liệu
Chiến dịch được ghi nhận vào ngày 12/03/2026, khi các nhà nghiên cứu phát hiện một file ZIP độc hại kích hoạt chuỗi tấn công nhiều tầng. Điểm đáng chú ý của tin tức bảo mật này là việc thay đổi sang các công cụ offensive mã nguồn mở và lạm dụng hạ tầng hợp lệ của nhà phát triển để che giấu hoạt động.
Trung tâm của chiến dịch là một bản trojanized của trình đọc SumatraPDF mã nguồn mở, được ngụy trang dưới tên tài liệu “Comparative Analysis of US-UK and US-Australia Nuclear Submarine Cooperation (2025).exe”. Khi nạn nhân chạy file này, loader âm thầm tải xuống và hiển thị một PDF mồi nhử trông hợp lệ, đồng thời tải và thực thi AdaptixC2 Beacon ở nền.
Nạn nhân nhìn thấy một tài liệu bình thường, nhưng phía sau, hệ thống đã bị xâm nhập và sẵn sàng cho truy cập điều khiển từ xa.
Phân tích chiến dịch và công cụ sử dụng
Nhóm nghiên cứu của Zscaler ThreatLabz đã phân tích toàn bộ chiến dịch và công bố chi tiết tại báo cáo ThreatLabz. Họ đánh giá mức độ liên kết với nhóm đe dọa này là rất cao, đồng thời ghi nhận loader có hình thái tương tự TOSHIS loader, từng xuất hiện trong một chiến dịch trước đó.
Máy chủ staging cũng được phát hiện lưu trữ thêm các công cụ đã biết, gồm CobaltStrike Beacon mang watermark “520” và một backdoor EntryShell. Tổ hợp này củng cố khả năng nhận diện hạ tầng và bộ công cụ được dùng trong chiến dịch.
Đáng chú ý, thay vì phụ thuộc vào các backdoor cũ như Cobalt Strike Beacon hay Merlin Mythic agents, chiến dịch đã chuyển sang sử dụng AdaptixC2 với custom beacon listener. Việc ưu tiên công cụ open-source làm giảm độ rõ ràng trong điều tra và khiến threat intelligence khó phân biệt với hoạt động hợp pháp hơn.
VS Code tunnels và thao tác hậu xâm nhập
Một điểm kỹ thuật nổi bật khác của chiến dịch là việc sử dụng Visual Studio Code tunnels để truy cập từ xa sau khi xác định mục tiêu “đáng quan tâm”. Đây là dạng lạm dụng công cụ nhà phát triển hợp lệ, khiến việc phát hiện tấn công trở nên khó hơn do lưu lượng thường được tin cậy bởi hệ thống giám sát mạng.
Các lệnh quan sát được bao gồm tạo scheduled task để duy trì tồn tại, trinh sát mạng bằng arp và net view, cùng với việc sử dụng trực tiếp tính năng tunnel của VS Code để tương tác với máy nạn nhân.
Ví dụ hành vi CLI được ghi nhận
arp -a
net view
schtasks /create /sc onlogon /tn "..." /tr "..."GitHub làm nền tảng C2
Khía cạnh kỹ thuật sáng tạo nhất của chiến dịch nằm ở việc custom AdaptixC2 beacon listener sử dụng GitHub như nền tảng command-and-control (C2). Thay vì giao tiếp trực tiếp với máy chủ điều khiển truyền thống, beacon đọc tác vụ từ GitHub Issues và ghi kết quả trở lại repository dưới dạng nội dung file.
Toàn bộ luồng C2 chạy qua một repository được tạo bằng tài khoản GitHub giả, khiến lưu lượng khó bị phân biệt với hoạt động phát triển bình thường. Đây là một ví dụ điển hình của cảnh báo CVE theo nghĩa rộng về rủi ro từ việc lạm dụng dịch vụ hợp pháp, dù không gắn với một mã CVE cụ thể.
Beacon lấy địa chỉ IP công khai từ ipinfo.io vì giao tiếp qua GitHub không hiển thị thông tin này cho server điều khiển. Sau đó, nó gửi beacon ban đầu qua POST đến Issue số 1, dùng RC4 với session key sinh từ random seed để thiết lập phiên.
Tiếp theo, beacon kiểm tra các issue mở trong repository, xử lý lệnh dựa trên mẫu tiêu đề như “upload” hoặc “fileupload”, rồi gửi phản hồi mã hóa dưới dạng Base64-encoded file uploads về repository.
Tất cả lưu lượng C2 đều được mã hóa bằng RC4. Để xóa dấu vết, ThreatLabz ghi nhận các beacon được upload lên GitHub bị xóa trong vòng 10 giây, làm mất session key và gần như vô hiệu hóa khả năng giải mã bởi bên quan sát.
IOC quan sát được trong chiến dịch
- File mồi nhử: “Comparative Analysis of US-UK and US-Australia Nuclear Submarine Cooperation (2025).exe”
- Loader: bản trojanized của SumatraPDF
- Framework C2: AdaptixC2
- C2 channel: GitHub Issues và file contents trong repository
- Hạ tầng bổ trợ: ipinfo.io
- Tool liên quan: CobaltStrike Beacon, EntryShell
- Watermark: “520”
- Kỹ thuật truy cập: VS Code tunnels
Điểm cần chú ý trong phát hiện xâm nhập
Chiến dịch này kết hợp nhiều lớp che giấu: file EXE giả dạng tài liệu, tải mồi nhử hợp lệ, triển khai beacon trên nền, dùng công cụ developer để truy cập, và chuyển toàn bộ mối đe dọa mạng sang GitHub để hòa lẫn với lưu lượng hợp pháp. Các đặc điểm này làm tăng rủi ro bảo mật cho môi trường doanh nghiệp nếu không có khả năng giám sát hành vi tiến trình, lưu lượng web và thao tác hậu khai thác.
Trong bối cảnh an toàn thông tin, các tín hiệu cần theo dõi gồm tạo tác vụ theo lịch không rõ nguồn gốc, tiến trình bất thường liên quan đến VS Code tunnels, truy cập GitHub Issues từ host không phải máy phát triển, và chuỗi POST/GET bất thường đi kèm mã hóa RC4 hoặc upload file Base64.
Tham chiếu thêm từ NVD tại nvd.nist.gov để đối chiếu thông tin lỗ hổng và kỹ thuật liên quan khi có chỉ báo mới được công bố.
