Một chiến dịch mã độc tinh vi đang âm thầm nhắm mục tiêu vào người dùng Hàn Quốc thông qua một chuỗi lừa đảo được xây dựng cẩn thận. Kẻ tấn công sử dụng các tệp shortcut trông vô hại, các công cụ tích hợp sẵn của Windows và một payload Python đã biên dịch để cài đặt một trojan truy cập từ xa (RAT) có tên NarwhalRAT lên máy nạn nhân. Cuộc tấn công nổi bật nhờ khả năng hòa trộn khéo léo vào hoạt động hệ thống thông thường, khiến việc phát hiện trở nên khó khăn. Đây là một dạng tấn công mạng có chủ đích nhắm vào người dùng mục tiêu.
Phân tích kỹ thuật về chiến dịch NarwhalRAT
Giai đoạn đầu: Lừa đảo qua email và khai thác LNK
Cuộc tấn công bắt đầu bằng một email lừa đảo (spear phishing) giả mạo cảnh báo bảo mật khẩn cấp từ “Microsoft Account Team”. Thông báo cảnh báo người nhận về hoạt động đáng ngờ của mật khẩu dùng một lần và hướng dẫn họ mở một tài liệu tư vấn đính kèm. Trên thực tế, tệp đính kèm là một kho lưu trữ ZIP chứa một tệp shortcut LNK độc hại, không phải là tài liệu thật.
Tệp LNK này sử dụng kỹ thuật thay thế chuỗi ký tự biến môi trường CMD để che giấu các lệnh thực thi thực sự. Nó xây dựng lại động các chuỗi như “powershell” và “curl.exe” tại thời điểm chạy để né tránh việc phát hiện tĩnh. Kỹ thuật lạm dụng các công cụ tích hợp sẵn này được phân loại là Living-off-the-Land.
Sau khi giải mã (deobfuscation), tệp LNK sẽ khởi chạy PowerShell với chính sách thực thi bị bỏ qua. Sau đó, nó sử dụng một bản sao của curl.exe để tải xuống hai tệp từ máy chủ trung gian (relay server).
Tải xuống và cài đặt payload
Tệp đầu tiên là một tài liệu HWP giả mạo, được mở ra để giữ cho nạn nhân không nghi ngờ. Tệp thứ hai là một tập lệnh batch có tên KHjWFcuS.bat, thực hiện cài đặt giai đoạn tiếp theo trong một cửa sổ ẩn.
Tập lệnh batch này tải xuống gói nhúng Python chính thức để làm cho hoạt động trông giống như một quá trình cài đặt phần mềm bình thường. Nó đổi tên tệp Pythonw.exe thành usersscreen.exe để ngăn chặn mọi cửa sổ dòng lệnh hiển thị.
Payload cuối cùng, config.cat, được ngụy trang với phần mở rộng .cat để trông giống như một danh mục bảo mật của Windows. Tuy nhiên, nó thực chất là bytecode Python đã biên dịch, hoạt động như một bộ tải backdoor.
Cơ chế tồn tại dai dẳng (Persistence)
Để duy trì sự tồn tại, mã độc đăng ký một tác vụ theo lịch trình có tên “MicrosoftUserInterfacePicturesUpdateTackMachine”. Tác vụ này được thiết lập chạy sau mỗi phút. Tên này mô phỏng một tác vụ hợp pháp của Microsoft, khiến quản trị viên khó phát hiện trong quá trình kiểm tra.
Một tệp tiếp theo, AccountConfig.cat, chứa hơn 33.000 dòng mã đã bị làm rối (obfuscated) với một payload được mã hóa Base64 nhúng bên trong.
Phân tích mã độc NarwhalRAT
Khả năng của Remote Access Trojan (RAT)
Khi payload được thực thi trong bộ nhớ thông qua kỹ thuật thực thi không tệp (fileless execution), NarwhalRAT bộc lộ bản chất là một Remote Access Trojan với đầy đủ tính năng. Nó đầu tiên kiểm tra môi trường máy ảo, bao gồm VMware, VirtualBox và Parallels Desktop, để tránh phân tích sandbox. Đây là một chiến thuật điển hình của các mã độc cấp APT.
RAT này vận hành một hệ thống lệnh được xây dựng dựa trên hơn 30 tiền tố (prefix), cho phép kẻ tấn công kiểm soát từ xa các chức năng như chụp màn hình, ghi nhật ký phím (keylogging), ghi âm micro, tải lên và tải xuống tệp, thu thập dữ liệu USB, thực thi lệnh từ xa và thay đổi cấu hình C2.
Dữ liệu phím được lưu trữ tạm thời trước khi truyền đi theo lô, giúp giảm thiểu khả năng bị phát hiện theo thời gian thực. Đây là một chiến thuật nhằm tránh các nguy cơ bảo mật đột ngột.
Cơ sở hạ tầng Command and Control (C2)
Từ góc độ C2, NarwhalRAT kết nối đến các trang trung gian của Hàn Quốc, bao gồm daehoat[.]com và novel21[.]co[.]kr. Đồng thời, nó cũng sử dụng pCloud làm kênh phụ trợ Dead-drop Resolver. Điều này cho phép kẻ tấn công thay đổi địa chỉ C2 thực tế mà không cần sửa đổi mã độc, và giúp lưu lượng truy cập hòa lẫn với hoạt động web thông thường, làm cho việc phát hiện trở nên khó khăn hơn.
Cấu trúc C2 kép, sử dụng máy chủ trung gian của Hàn Quốc cùng với API pCloud, làm tăng khả năng lẩn tránh và phục hồi của mã độc.
Mục tiêu và đặc điểm
Nhắm mục tiêu người dùng Hàn Quốc
Mã độc chủ yếu nhắm mục tiêu vào người dùng Hàn Quốc, và cấu trúc hành vi của nó đã xác nhận điều này. NarwhalRAT sử dụng “naverwhale” làm tên thư mục làm việc và gán các thuộc tính tệp Hidden và System cho thư mục được tạo ra để tránh bị phát hiện dễ dàng.
Nó cũng xử lý riêng các định danh cửa sổ liên quan đến KakaoTalk trong quá trình thu thập dữ liệu, điều này càng củng cố mạnh mẽ việc nhắm mục tiêu vào Hàn Quốc.
Đặc điểm kỹ thuật đáng chú ý
Mã độc này cho thấy sự tương đồng mạnh mẽ với một chiến dịch backdoor dựa trên Python đã được ghi nhận vào tháng 5 năm 2026. Các nhà nghiên cứu đặt tên mã độc là NarwhalRAT, dựa trên chuỗi “naverwhale” được tìm thấy trong mã của nó. Chuỗi này được cho là một nỗ lực để giả mạo Naver Whale, một trình duyệt phổ biến tại Hàn Quốc.
Phát hiện và phòng chống
Các chỉ số về sự xâm nhập (Indicators of Compromise – IoCs)
- Domains: daehoat[.]com, novel21[.]co[.]kr
- File Names: KHjWFcuS.bat, config.cat, AccountConfig.cat
- Scheduled Task: MicrosoftUserInterfacePicturesUpdateTackMachine
- Mutex/Registry Keys: (Thông tin này không có trong dữ liệu gốc)
- C2 Infrastructure: pCloud API (Dead-drop Resolver)
Lưu ý: Địa chỉ IP và tên miền được làm mờ (ví dụ: [.]) để tránh phân giải hoặc liên kết ngoài ý muốn. Chỉ nên giải mờ (re-fang) trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
Khuyến nghị cho các đội ngũ an ninh mạng
Các nhà nghiên cứu lưu ý rằng các chính sách EDR cần được tăng cường để phát hiện việc lạm dụng chuỗi tấn công dựa trên LNK và PowerShell. Các đội ngũ an ninh mạng nên triển khai các quy tắc hành vi để gắn cờ việc tạo tác vụ theo lịch trình bất thường, việc sử dụng curl.exe không mong muốn và các tiến trình Python chạy mà không có cửa sổ console hiển thị.
Việc áp dụng các biện pháp phòng ngừa như cập nhật bản vá kịp thời và nâng cao nhận thức người dùng về các email lừa đảo là rất quan trọng để giảm thiểu rủi ro từ các mối đe dọa tương tự.
Để có thêm thông tin chi tiết và các bản cập nhật tức thời về tin tức bảo mật, hãy theo dõi các kênh thông tin chính thức.
