Tin tức an ninh mạng mới ghi nhận một chiến dịch phishing có chủ đích do nhóm đe dọa Silver Fox thực hiện, sử dụng email giả mạo thông báo thuế để phát tán chuỗi mã độc, bao gồm ValleyRAT và backdoor Python mới được đặt tên ABCDoor. Mục tiêu của chiến dịch là lừa người dùng mở tệp đính kèm hoặc bấm vào liên kết tải xuống trong các thông báo có vẻ hợp lệ.
Chiến dịch phishing giả mạo cơ quan thuế
Chiến dịch được phát hiện lần đầu vào tháng 12/2025, khi email phishing mạo danh cơ quan thuế tại Ấn Độ được gửi tới nhân viên ở nhiều tổ chức. Đến tháng 1/2026, cùng chiến thuật này được lặp lại với các tổ chức tại Nga. Nội dung email thường là thông báo kiểm toán thuế hoặc cảnh báo vi phạm thuế, kèm một tệp lưu trữ được mô tả như “danh sách vi phạm thuế”.
Hơn 1.600 email độc hại đã được ghi nhận chỉ trong giai đoạn đầu tháng 1 đến đầu tháng 2/2026, trải rộng trên các lĩnh vực công nghiệp, tư vấn, bán lẻ và vận tải. Đây là một ví dụ điển hình của tin tức bảo mật liên quan đến social engineering kết hợp phát tán malware nhiều tầng.
Điểm đáng chú ý trong kỹ thuật lừa đảo
Thay vì đính kèm trực tiếp file độc hại, PDF trong email chứa liên kết tải xuống bên ngoài. Cách này giúp vượt qua các cổng lọc email chỉ kiểm tra tệp đính kèm trực tiếp, đồng thời làm giảm khả năng bị phát hiện sớm.
Vì thông báo thuế thường tạo cảm giác khẩn cấp, người nhận dễ bị thúc ép tải tệp mà không kiểm tra kỹ nguồn gửi. Đây là một dạng mối đe dọa mạng dựa trên thao túng hành vi hơn là khai thác kỹ thuật thuần túy.
Chuỗi tấn công và thành phần mã độc
Đường dẫn tấn công bắt đầu khi nạn nhân bấm vào liên kết tải xuống trong PDF phishing. Tệp nhận về là một archive chứa loader dựa trên Rust có tên RustSL. Mã nguồn loader này được lấy từ một kho GitHub công khai rồi được chỉnh sửa đáng kể.
Phiên bản tùy biến của RustSL bổ sung mô-đun steganography.rs để giải nén payload và guard.rs để kiểm tra môi trường, bao gồm cả cơ chế geofencing theo quốc gia. Loader được ngụy trang dưới biểu tượng PDF hoặc Excel nhằm giảm nghi ngờ khi người dùng mở tệp.
Các bước tải và thực thi payload
Khi được thực thi, RustSL giải mã một payload dạng shellcode. Shellcode này tải về mô-đun ValleyRAT được mã hóa, gọi là Online module. Sau đó, Online module nạp thành phần lõi Login module, chịu trách nhiệm liên lạc C2, thực thi lệnh và tải các payload bổ sung.
Một payload bổ sung là plugin tùy biến của ValleyRAT có tên 保86.dll, đóng vai trò downloader cho ABCDoor. Chuỗi này cho thấy chiến dịch sử dụng nhiều lớp tải chéo để che giấu hành vi thực thi cuối cùng.
ABCDoor: backdoor Python được đóng gói bằng Cython
ABCDoor là backdoor viết bằng Python, được biên dịch với Cython 3.0.7 để che giấu mã nguồn. Mẫu triển khai đi kèm một môi trường Python đóng gói sẵn và bản sao ffmpeg.exe, công cụ hợp lệ nhưng bị tái sử dụng để chụp màn hình và phát luồng dữ liệu.
ABCDoor đã được xác nhận nằm trong bộ công cụ của chiến dịch từ ít nhất cuối năm 2024 và đã được sử dụng trong các cuộc tấn công thực tế từ quý I/2025. Về mặt quan sát, đây là một lỗ hổng CVE theo nghĩa rộng của phân tích an ninh, nhưng nội dung nguồn không nêu CVE, CVSS hay exploit cụ thể nên không có dữ liệu định danh lỗ hổng để bổ sung.
Cơ chế duy trì hiện diện
ABCDoor thiết lập persistence theo hai cách:
- Ghi vào khóa Registry Run của Windows.
- Tạo scheduled task tên AppClient, tự khởi chạy lại mỗi phút.
Đường dẫn cài đặt được ngụy trang dưới C:\ProgramData\Tailscale để mô phỏng một tiện ích hợp lệ và làm nhiễu quá trình điều tra. Ngoài ra, kỹ thuật Phantom Persistence được dùng để chặn tín hiệu tắt máy, hủy shutdown và kích hoạt reboot nhằm thực thi lại loader.
Chức năng của backdoor
Khi chạy trong tiến trình hợp lệ pythonw.exe, ABCDoor có thể ẩn mình trong thời gian dài và thực hiện các hành vi sau:
- Thu thập dữ liệu màn hình.
- Trích xuất nội dung clipboard.
- Quản lý tệp trên máy nạn nhân.
- Mô phỏng thao tác chuột và bàn phím.
- Thực hiện liên lạc C2 để nhận lệnh bổ sung.
Việc tận dụng pythonw.exe và ffmpeg.exe là dấu hiệu đáng chú ý trong phát hiện xâm nhập, vì cả hai tiến trình này đều có thể bị lạm dụng cho mục đích ẩn mình và thu thập dữ liệu.
IOC và dấu hiệu phát hiện
Các IOC và chỉ dấu kỹ thuật được trích xuất từ chiến dịch này gồm:
- Tên scheduled task: AppClient
- Đường dẫn giả mạo: C:\ProgramData\Tailscale
- Tiến trình đáng nghi: pythonw.exe
- Tiện ích bị lạm dụng: ffmpeg.exe
- Mẫu C2: các subdomain cấp ba chứa chuỗi abc
- Loader tùy biến: RustSL
- Backdoor: ABCDoor
- Plugin ValleyRAT: 保86.dll
Trong quá trình phân tích threat intelligence, việc theo dõi các mẫu tên miền C2 có chứa chuỗi abc, cùng với thay đổi Registry và scheduled task bất thường, có thể hỗ trợ phát hiện sớm mối đe dọa này.
Biện pháp giám sát và phát hiện xâm nhập
Các tổ chức nên kiểm tra email giả mạo thông báo từ cơ quan thuế trước khi người dùng tải xuống bất kỳ tệp nào. Cần cấu hình hệ thống bảo mật email để phân tích cả PDF chứa liên kết tải xuống bên ngoài, thay vì chỉ quét tệp đính kèm trực tiếp.
Theo dõi các thay đổi bất thường trong Registry, scheduled task tên AppClient, việc tạo thư mục tại C:\ProgramData\Tailscale và lưu lượng kết nối ra ngoài đến các subdomain “abc” có thể giúp phát hiện xâm nhập sớm. Bất kỳ hoạt động đáng ngờ nào của pythonw.exe ở trạng thái persistence hoặc hành vi bất thường của ffmpeg.exe trên endpoint đều cần được xem là chỉ báo khả nghi.
Tham khảo thêm tài liệu phân tích từ Securelist: https://securelist.com/silver-fox-tax-notification-campaign/119575/
Khuyến nghị phòng thủ trong an toàn thông tin
Đây là một trường hợp điển hình của tấn công mạng qua email kết hợp loader đa tầng và backdoor ngụy trang. Ưu tiên chính là giảm khả năng người dùng tương tác với tài liệu giả mạo và tăng độ phủ giám sát ở lớp email, endpoint và hành vi tiến trình.
