SEO poisoning đang được lợi dụng như một kênh phân phối mã độc trong một chiến dịch nhắm vào người dùng tìm kiếm phần mềm cơ sở dữ liệu hợp lệ. Thay vì gửi email lừa đảo, nhóm tấn công dựng website giả mạo trang tải xuống và tối ưu thứ hạng tìm kiếm để đẩy nạn nhân vào trang độc hại.
Chiến dịch SEO poisoning và trang tải xuống giả mạo
Nhóm đứng sau hoạt động này là Nimbus Manticore, còn được theo dõi với mã UNC1549. Cụm này liên quan đến lực lượng IRGC và đã có lịch sử sử dụng phishing theo chủ đề tuyển dụng để nhắm vào nhân sự trong các lĩnh vực phần mềm và hàng không.
Khác với các chiến dịch trước, lần này nhóm triển khai SEO poisoning làm cơ chế phân phối. Người dùng tìm kiếm công cụ trực tuyến và truy cập nhầm liên kết có thể tải về một bộ cài đã bị vũ khí hóa, dẫn đến việc cài backdoor mà không nhận ra.
Chiến dịch mới nhất, được nhà nghiên cứu gọi là “SQL Developer” campaign, diễn ra trong tháng 4/2026. Tác nhân đã đăng ký tên miền giả getsqldeveloper[.]com, mô phỏng trang tải xuống hợp lệ của Oracle SQL Developer.
Theo báo cáo của Check Point Research, hoạt động này được quan sát qua ba làn sóng từ tháng 2 đến tháng 4/2026, trùng với giai đoạn căng thẳng quân sự kéo dài. Báo cáo gốc có thể tham khảo tại: https://research.checkpoint.com/2026/fast-and-furious-nimbus-manticore-operations-during-the-iranian-conflict/.
Mô hình phân phối và thao túng kết quả tìm kiếm
Chiến dịch SEO poisoning không chỉ dựa trên một website giả. Kẻ tấn công còn đăng ký hàng chục tên miền cùng trỏ về trang chính để tăng tín hiệu liên kết, từ đó cải thiện thứ hạng trên công cụ tìm kiếm.
Trang giả cũng nhồi lặp các cụm như “Download SQL Developer” nhằm đẩy kết quả lên cao. Tại thời điểm phân tích, tên miền giả xuất hiện gần đầu trang kết quả cho truy vấn “sql developer” trên Bing và DuckDuckGo.
Cách tiếp cận này cho thấy SEO poisoning đã trở thành một phần của chuỗi lây nhiễm, thay thế cho việc tiếp cận mục tiêu bằng email lừa đảo như trước đây.
Kỹ thuật lây nhiễm: AppDomain hijacking
Khi người dùng tải và chạy bộ cài giả, quá trình xâm nhiễm bắt đầu âm thầm ở nền. Mã độc sử dụng kỹ thuật AppDomain hijacking, khai thác cách .NET runtime nạp các file cấu hình ứng dụng.
Kỹ thuật này cho phép thư viện DLL độc hại được thực thi trong ngữ cảnh của một tiến trình hợp lệ và đáng tin cậy. Điều này làm giảm khả năng bị phát hiện ngay lập tức, đặc biệt trong môi trường có kiểm tra tiến trình theo danh tiếng.
Trong chuỗi này, tiến trình hợp lệ chỉ đóng vai trò “mồi” để tải payload, còn logic độc hại được thực thi bên trong cùng không gian tiến trình. Đây là điểm cần lưu ý khi điều tra hệ thống bị xâm nhập.
MiniFast: Backdoor 64-bit trên Windows
Payload mới được phát hiện có tên MiniFast, là một DLL 64-bit Windows hoạt động như một backdoor đầy đủ chức năng, phục vụ truy cập từ xa dài hạn.
MiniFast giao tiếp với máy chủ điều khiển qua các endpoint HTTP có cấu trúc và giả mạo lưu lượng bằng User-Agent hardcoded giống trình duyệt Chrome. Cách ngụy trang này giúp lưu lượng trông giống hoạt động web bình thường hơn.
Chức năng của backdoor bao gồm:
- Thực thi lệnh shell.
- Quản lý file.
- Liệt kê tiến trình đang chạy.
- Tải dữ liệu lên.
- Thử leo thang đặc quyền.
Với các khả năng này, MiniFast có thể hỗ trợ chiếm quyền điều khiển và duy trì hiện diện lâu dài trên máy nạn nhân.
Dấu hiệu kỹ thuật trong mã nguồn
Nhà nghiên cứu còn nhận thấy dấu hiệu cho thấy malware được hỗ trợ bởi công cụ AI. Mã có nhiều đặc điểm thường thấy ở code sinh tự động như xử lý lỗi quá chi tiết, tên hàm dài và thông điệp debug nhiều thông tin.
Những dấu hiệu này không phải IOC độc lập, nhưng là chỉ báo hữu ích khi phân tích mẫu hoặc đối chiếu với biến thể tương tự.
IOC liên quan
Phần IOC dưới đây được trích xuất từ nội dung gốc. Tên miền và địa chỉ được giữ ở dạng defanged:
- getsqldeveloper[.]com — tên miền giả mạo trang tải xuống.
- MiniFast — backdoor DLL 64-bit trên Windows.
- AppDomain hijacking — kỹ thuật thực thi thông qua nạp cấu hình .NET.
- “Download SQL Developer” — chuỗi từ khóa bị nhồi lặp trên trang giả để tăng thứ hạng tìm kiếm.
- User-Agent giả mạo Chrome — dấu hiệu ngụy trang lưu lượng HTTP của backdoor.
Ghi chú: IOC mạng cần được refang chỉ trong môi trường kiểm soát như MISP, VirusTotal hoặc SIEM.
Quan sát giám sát và phát hiện xâm nhập
Nhóm nghiên cứu khuyến nghị theo dõi các thay đổi bất thường ở scheduled task và hành vi nạp DLL không bình thường. Đây là hai tín hiệu có giá trị khi phát hiện xâm nhập trong các chuỗi lây nhiễm kiểu loader/backdoor.
Các hệ thống giám sát nên chú ý đến:
- Tiến trình hợp lệ nạp DLL bất thường.
- Thực thi từ thư mục tải xuống hoặc thư mục tạm.
- Kết nối HTTP có mẫu endpoint lặp lại và User-Agent giả mạo.
- Thay đổi scheduled task không được ủy quyền.
Trong bối cảnh mối đe dọa mạng này, việc kiểm tra tương quan giữa tiến trình, file mới tạo và kết nối ra ngoài là trọng tâm của phát hiện tấn công.
Khuyến nghị kỹ thuật để giảm rủi ro bảo mật
Người dùng và tổ chức nên tải phần mềm trực tiếp từ website chính thức của nhà cung cấp, thay vì dựa vào kết quả tìm kiếm. SEO poisoning có thể đẩy trang giả lên trước trang hợp lệ mà không tạo cảnh báo rõ ràng.
Các biện pháp kiểm soát phù hợp gồm:
- Đối chiếu URL trước khi tải bộ cài.
- Áp dụng allowlist cho nguồn phần mềm.
- Giám sát hành vi DLL loading bất thường.
- Theo dõi scheduled task mới hoặc bị sửa đổi.
- Kiểm tra lưu lượng ra ngoài từ tiến trình không quen thuộc.
Với các hệ thống Windows và môi trường phát triển, việc phân tách quyền thực thi và rà soát nguồn cài đặt là biện pháp quan trọng để giảm rủi ro an toàn thông tin từ SEO poisoning.
Liên hệ với threat intelligence
Hoạt động này cho thấy tác nhân có thể thay đổi nhanh công cụ và hạ tầng để thích nghi với điều kiện vận hành. Việc chuyển từ phishing sang SEO poisoning phản ánh sự dịch chuyển trong chuỗi tấn công, nhưng mục tiêu cuối cùng vẫn là cài backdoor và duy trì truy cập từ xa.
Trong phân tích threat intelligence, các chỉ dấu đáng chú ý là tên miền giả mạo, mẫu thứ hạng tìm kiếm bất thường, DLL độc hại và hành vi giao tiếp HTTP của MiniFast. Khi các tín hiệu này xuất hiện cùng nhau, khả năng hệ thống bị tấn công cần được xem xét ngay.
