Các nhà nghiên cứu an ninh mạng tại Seqrite Labs đã xác định một nhóm gián điệp tinh vi được chỉ định là UNG0002 (Unknown Group 0002). Nhóm này đã tiến hành các chiến dịch dai dẳng trên nhiều khu vực pháp lý tại châu Á kể từ tháng 5 năm 2024. Các tác nhân đe dọa đã thể hiện khả năng thích ứng đáng kể bằng cách tích hợp các kỹ thuật kỹ thuật xã hội với các phương pháp triển khai mã độc nâng cao, đặc biệt nhắm mục tiêu vào các tổ chức ở Trung Quốc, Hồng Kông và Pakistan thông qua các hoạt động được dàn dựng cẩn thận.
Tổng quan Chiến dịch
UNG0002 đã dàn dựng hai cụm chiến dịch lớn:
- Operation Cobalt Whisper: Diễn ra từ tháng 5 đến tháng 9 năm 2024.
- Operation AmberMist: Hoạt động từ tháng 1 đến tháng 5 năm 2025.
Operation Cobalt Whisper
Trong chiến dịch Operation Cobalt Whisper, các nhà nghiên cứu đã quan sát thấy 20 chuỗi lây nhiễm riêng biệt. Các mục tiêu chính của chiến dịch này bao gồm:
- Các nhà thầu quốc phòng.
- Các công ty kỹ thuật điện tử.
- Các tổ chức hàng không dân dụng.
Ban đầu, nhóm này chủ yếu dựa vào các framework đã có sẵn như Cobalt Strike và Metasploit cho các hoạt động sau khai thác.
Operation AmberMist
Sự phát triển của UNG0002 trở nên rõ ràng hơn với Operation AmberMist, nơi nhóm này đã mở rộng phạm vi mục tiêu bao gồm:
- Các công ty game.
- Các công ty phát triển phần mềm.
- Các tổ chức học thuật.
Chiến dịch này đã thể hiện những tiến bộ kỹ thuật đáng kể thông qua việc triển khai các implant tự phát triển, bao gồm:
- Shadow RAT.
- Blister DLL Implant.
- INET RAT.
Kỹ thuật và Phương pháp Khai thác
Kỹ thuật Xã hội và Đánh lừa Ban đầu
Các tác nhân đe dọa đã thể hiện sự tinh vi đặc biệt trong việc sử dụng các tài liệu mồi nhử theo chủ đề CV (Sơ yếu lý lịch). Chúng tạo ra các hồ sơ sơ yếu lý lịch thực tế, bao gồm cả thông tin xác thực giả mạo của các nhà thiết kế giao diện người dùng game và sinh viên khoa học máy tính từ các tổ chức uy tín, nhằm thiết lập độ tin cậy với các nạn nhân tiềm năng.
Có lẽ sự phát triển đáng lo ngại nhất trong chiến thuật của UNG0002 là việc chúng áp dụng kỹ thuật kỹ thuật xã hội ClickFix. Kỹ thuật này lợi dụng các trang xác minh CAPTCHA giả mạo để thao túng nạn nhân thực thi các script PowerShell độc hại. Nhóm này đã thể hiện sự táo bạo đặc biệt bằng cách giả mạo các trang web chính phủ chính thức, bao gồm cả Bộ Hàng hải Pakistan, để tạo ra các kịch bản xác thực thuyết phục, vượt qua các chương trình đào tạo nhận thức bảo mật truyền thống.
Chuỗi Lây nhiễm và Duy trì Quyền truy cập
Phương pháp lây nhiễm thường bắt đầu bằng các tệp LNK shortcut độc hại được phân phối thông qua các chiến dịch lừa đảo có mục tiêu. Các shortcut này khởi tạo các chuỗi tấn công đa giai đoạn phức tạp, kết hợp các thành phần VBScript, batch scripts và PowerShell. Các thành phần này được thiết kế để triển khai các implant RAT tùy chỉnh đồng thời duy trì quyền truy cập trên các hệ thống bị xâm nhập.
Nhóm đã cho thấy sự ưu tiên nhất quán đối với các kỹ thuật DLL sideloading, đặc biệt là khai thác các ứng dụng Windows hợp pháp như các tệp nhị phân Rasphone và Node-Webkit để thực thi các payload độc hại, đồng thời né tránh các hệ thống phát hiện điểm cuối.
Bảo mật Hoạt động và Gán ghép
Các tạo phẩm kỹ thuật được phục hồi trong quá trình điều tra đã tiết lộ những hiểu biết thú vị về các thực tiễn bảo mật hoạt động của nhóm. Các đường dẫn PDB (Program Database) được tìm thấy trong phần mềm độc hại tùy chỉnh của chúng chỉ ra các môi trường phát triển với tên người dùng như “The Freelancer” và “Shockwave”, gợi ý các tên mã hoặc tham chiếu đến các nhóm đe dọa hiện có.
Theo báo cáo của Seqrite Labs, mô hình này phù hợp với đánh giá của họ rằng UNG0002 cố tình bắt chước các kỹ thuật từ các playbook của các tác nhân đe dọa đã được thiết lập để làm phức tạp các nỗ lực gán ghép và đánh lạc hướng các nhà nghiên cứu bảo mật. Dựa trên phân tích toàn diện các mô hình nhắm mục tiêu, việc sử dụng cơ sở hạ tầng và thời gian hoạt động, các nhà nghiên cứu đánh giá với độ tin cậy cao rằng UNG0002 có nguồn gốc từ Đông Nam Á và duy trì trọng tâm chiến lược vào các hoạt động thu thập thông tin tình báo điển hình của các hoạt động gián điệp do nhà nước tài trợ hoặc liên kết với nhà nước.
Việc quản lý cơ sở hạ tầng bền bỉ của nhóm và các quy ước đặt tên nhất quán trên nhiều chiến dịch cho thấy khả năng lập kế hoạch hoạt động và phân bổ nguồn lực tinh vi, gợi ý sự hỗ trợ tổ chức bền vững.
