UNG0002: Nhóm APT Gián Điệp Mới Nổi Với Kỹ Thuật Tấn Công Tinh Vi

22/07/2025
5 mins read

Seqrite Labs APT-Team đã phát hiện một thực thể đe dọa dai dẳng, được định danh là UNG0002 (Unknown Group 0002). Nhóm này đang điều phối các chiến dịch gián điệp tinh vi trên khắp các quốc gia châu Á, bao gồm Trung Quốc, Hồng KôngPakistan.

Hoạt động từ ít nhất tháng 5 năm 2024, nhóm đe dọa này, được cho là có trụ sở tại Đông Nam Á, đã thể hiện mức độ thích nghi và năng lực kỹ thuật cao. Các mục tiêu của UNG0002 tập trung vào các lĩnh vực nhạy cảm và quan trọng, bao gồm quốc phòng, hàng không dân dụng, kỹ thuật điện tử, game, phát triển phần mềmhọc thuật. Sự lựa chọn mục tiêu này cho thấy một trọng tâm chiến lược vào việc thu thập thông tin tình báo có giá trị cao.

Nội dung
Các Chiến Dịch Trọng Điểm
Operation Cobalt Whisper
Operation AmberMist
Kỹ Thuật và Công Cụ Khai Thác (TTPs)
Kỹ thuật Truy cập Ban đầu (Initial Access)
Công cụ Hậu Khai thác (Post-Exploitation Tools)
Kỹ thuật Lừa đảo Xã hội và Vượt qua Phòng thủ
Hạ Tầng và Bảo Mật Hoạt Động (OpSec)
Đánh Giá và Kết Luận Về UNG0002
Các Chỉ Số Thỏa Hiệp (IOCs)

Các Chiến Dịch Trọng Điểm

Các hoạt động của UNG0002 được theo dõi thông qua hai chiến dịch lớn: Operation Cobalt WhisperOperation AmberMist. Cả hai chiến dịch đều cho thấy một mục tiêu nhất quán là thu thập thông tin tình báo thông qua các cuộc tấn công nhiều giai đoạn (multi-stage attacks) phức tạp.

Operation Cobalt Whisper

Diễn ra từ tháng 5 năm 2024 đến tháng 9 năm 2024, trong chiến dịch Operation Cobalt Whisper, UNG0002 đã thực hiện tổng cộng 20 chuỗi lây nhiễm khác nhau. Trọng tâm chính của các cuộc tấn công này là các lĩnh vực quốc phòng và hàng không. Nhóm đã sử dụng các tài liệu mồi nhử được ngụy trang dưới dạng CV (sơ yếu lý lịch) để lôi kéo nạn nhân thực thi các payload độc hại. Phương pháp này cho thấy một chiến thuật lừa đảo xã hội hiệu quả nhằm giành được quyền truy cập ban đầu vào hệ thống mục tiêu.

Operation AmberMist

Chiến dịch Operation AmberMist, diễn ra từ tháng 1 năm 2025 đến tháng 5 năm 2025, cho thấy sự phát triển trong cách tiếp cận của UNG0002. Nhóm đã bắt đầu kết hợp các implant tùy chỉnh (custom implants) có dung lượng nhẹ như Shadow RAT, INET RATBlister DLL. Ngoài ra, Operation AmberMist còn chứng kiến việc áp dụng các chiến thuật kỹ thuật xã hội sáng tạo, nổi bật là ClickFix Technique. Kỹ thuật này đánh lừa người dùng chạy các script PowerShell độc hại thông qua các trang xác minh CAPTCHA giả mạo. Các trường hợp cụ thể đã được ghi nhận bao gồm việc giả mạo các thực thể hợp pháp như trang web của Bộ Hàng hải Pakistan để tăng độ tin cậy và hiệu quả của cuộc tấn công.

Kỹ Thuật và Công Cụ Khai Thác (TTPs)

UNG0002 thể hiện sự ưa thích các kỹ thuật xâm nhập khó bị phát hiện và có tác động lớn. Nhóm sử dụng một loạt các công cụ và kỹ thuật từ giai đoạn xâm nhập ban đầu đến hậu khai thác.

Kỹ thuật Truy cập Ban đầu (Initial Access)

Ban đầu, nhóm thường xuyên sử dụng các tệp tin phím tắt độc hại (LNK) và các script VBScript đã được vũ khí hóa. Các tệp LNK độc hại thường được đính kèm trong các tài liệu mồi nhử và được thiết kế để kích hoạt việc thực thi mã độc ngay khi người dùng mở hoặc tương tác với chúng. VBScript cũng đóng vai trò tương tự, cho phép thực thi các lệnh độc hại trên hệ thống nạn nhân.

Công cụ Hậu Khai thác (Post-Exploitation Tools)

Trong giai đoạn hậu khai thác, UNG0002 ban đầu phụ thuộc vào các công cụ thương mại và mã nguồn mở phổ biến như Cobalt StrikeMetasploit. Đây là những bộ công cụ mạnh mẽ cung cấp khả năng điều khiển từ xa, thu thập thông tin và di chuyển ngang trong mạng lưới mục tiêu.

Tuy nhiên, nhóm đã có sự chuyển đổi đáng kể sang việc phát triển và triển khai các implant tùy chỉnh của riêng mình. Sự thay đổi này cho thấy một chiến lược nhằm tăng cường khả năng tàng hình và thích nghi. Các implant tùy chỉnh bao gồm:

  • Shadow RAT
  • INET RAT
  • Blister DLL

Việc phát triển RAT tùy chỉnh cho thấy UNG0002 là một nhóm có nguồn lực tốt với ý định lâu dài trong việc tinh chỉnh bộ công cụ tấn công của mình.

Kỹ thuật Lừa đảo Xã hội và Vượt qua Phòng thủ

Ngoài các công cụ kỹ thuật, UNG0002 còn sử dụng các kỹ thuật lừa đảo xã hội tiên tiến:

  • ClickFix Technique: Kỹ thuật này lừa người dùng thực thi các script PowerShell độc hại thông qua các trang xác minh CAPTCHA giả mạo. Các trang này thường được thiết kế để giống với các trang hợp pháp, tăng khả năng người dùng bị lừa. Ví dụ điển hình là việc giả mạo trang web của Bộ Hàng hải Pakistan, một chiến thuật nhằm xây dựng lòng tin và vượt qua các biện pháp bảo mật của người dùng.
  • Khai thác DLL Sideloading: Nhóm khai thác kỹ thuật DLL sideloading bằng cách lạm dụng các ứng dụng Windows đáng tin cậy như các tệp nhị phân của RasphoneNode-Webkit. Kỹ thuật này cho phép mã độc được thực thi thông qua việc tải một DLL độc hại bên cạnh một ứng dụng hợp pháp, giúp mã độc tránh bị phát hiện và thực thi dưới ngữ cảnh của một tiến trình đáng tin cậy.

Việc sử dụng các tài liệu mồi nhử thực tế, thường bắt chước CV của các nhà thiết kế giao diện người dùng game hoặc sinh viên khoa học máy tính từ các tổ chức có uy tín, nhấn mạnh cách tiếp cận phù hợp của UNG0002 đối với các ngành công nghiệp cụ thể. Điều này cho thấy sự nghiên cứu kỹ lưỡng của nhóm về mục tiêu trước khi tiến hành tấn công.

Hạ Tầng và Bảo Mật Hoạt Động (OpSec)

Hạ tầng của UNG0002 cho thấy các quy ước đặt tên và thực hành bảo mật hoạt động (OpSec) nhất quán. Các đường dẫn tệp PDB (Program Database) được tìm thấy trong các mẫu mã độc cung cấp một cái nhìn sâu sắc về cách thức phát triển và quản lý các công cụ của nhóm. Ví dụ, một đường dẫn PDB được tìm thấy cho Shadow RAT là:

C:\Users\The Freelancer\source\repos\JAN25\mustang\x64\Release\mustang.pdb

Đường dẫn này có thể gợi ý về các tên mã nội bộ hoặc thậm chí là việc bắt chước phong cách phát triển của các nhóm đe dọa khác nhằm che giấu nguồn gốc thực sự. Việc sử dụng các đường dẫn PDB như vậy cho thấy một mức độ chuyên nghiệp và nỗ lực trong việc duy trì khả năng tàng hình và làm phức tạp quá trình gán tội (attribution).

Đánh Giá và Kết Luận Về UNG0002

Seqrite Labs đánh giá với độ tin cậy cao rằng UNG0002 tập trung vào các hoạt động gián điệp. Sự thích nghi của nhóm trong việc áp dụng các kỹ thuật từ các nhóm đe dọa khác làm phức tạp các nỗ lực nhằm xác định nguồn gốc của chúng ngoài một căn cứ ở Đông Nam Á. Sự thay đổi từ việc phụ thuộc vào Cobalt Strike và Metasploit sang phát triển các RAT tùy chỉnh cho thấy đây là một hoạt động có nguồn lực dồi dào với ý định dai dẳng nhằm tinh chỉnh bộ công cụ của mình.

Các Chỉ Số Thỏa Hiệp (IOCs)

Dưới đây là các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến nhóm UNG0002 và các công cụ được sử dụng:

  • Nhóm đe dọa: UNG0002 (Unknown Group 0002)
  • Các chiến dịch chính:
    • Operation Cobalt Whisper (Tháng 5/2024 – Tháng 9/2024)
    • Operation AmberMist (Tháng 1/2025 – Tháng 5/2025)
  • Phần mềm độc hại tùy chỉnh (Custom Implants):
    • Shadow RAT
    • INET RAT
    • Blister DLL
  • Công cụ hậu khai thác (Post-exploitation tools):
    • Cobalt Strike
    • Metasploit
  • Kỹ thuật truy cập ban đầu và thực thi:
    • Tệp phím tắt độc hại (LNK files)
    • VBScript
    • PowerShell scripts (thông qua ClickFix Technique)
    • DLL Sideloading (sử dụng Rasphone, Node-Webkit binaries)
  • Đường dẫn PDB ví dụ:
    C:\Users\The Freelancer\source\repos\JAN25\mustang\x64\Release\mustang.pdb
  • Kỹ thuật lừa đảo xã hội:
    • Tài liệu mồi nhử chủ đề CV
    • ClickFix Technique (trang xác minh CAPTCHA giả mạo, giả mạo website Bộ Hàng hải Pakistan)