Một tác nhân đe dọa liên quan đến Trung Quốc (China-Nexus Threat Actor) đã tiến hành một cuộc tấn công cực kỳ tinh vi nhắm vào China Mobile Tietong Co., Ltd., một công ty con của tập đoàn viễn thông khổng lồ China Mobile. Cuộc tấn công này là một minh chứng rõ ràng cho hoạt động chiến tranh mạng cấp nhà nước.
Chiến dịch, được Seqrite Labs APT-Team đặt tên là “DragonClone”, nhấn mạnh các động cơ chiến lược đằng sau các mối đe dọa mạng liên kết với Trung Quốc, vốn vượt xa lợi ích tài chính thông thường. Không giống như các tác nhân eCrime được thúc đẩy bởi các mô hình ransomware hoặc malware-as-a-service, những đối tượng này hoạt động với các mục tiêu được chính phủ hậu thuẫn, tập trung vào việc thu thập thông tin tình báo dài hạn và gián điệp quy mô lớn.
Bằng cách xâm nhập vào một nhà cung cấp dịch vụ viễn thông trọng yếu, những kẻ tấn công có thể truy cập vào cơ sở hạ tầng xương sống quan trọng. Điều này cho phép chúng giám sát lượng lớn lưu lượng truy cập và đặt Trung Quốc vào vị trí có thể chủ động đối phó với các mối đe dọa tiềm tàng. Chiến dịch này phản ánh hàng thập kỷ đầu tư của chính phủ Trung Quốc vào năng lực mạng thông qua các thực thể như Quân đội Giải phóng Nhân dân (PLA) và Bộ An ninh Quốc gia (MSS), qua đó tích hợp chiến tranh mạng như một nghĩa vụ công dân trong xã hội và khu vực tư nhân.
Chuỗi Tấn Công và Truy Cập Ban Đầu
Chiến dịch DragonClone khởi đầu bằng một cuộc tấn công spearphishing (T1566.001), gửi một tệp ZIP ngụy trang dưới dạng chương trình đào tạo nội bộ dành cho nhân viên China Mobile Tietong. Tệp này, có giá trị SHA256 là fef69f8747c368979a9e4c62f4648ea233314b5f41981d9c01c1cdd96fb07365, chứa một tệp thực thi độc hại được đặt tên để lôi kéo nạn nhân: “2025年中国移动有限公司内部培训计划即将启动,请尽快报名.exe” (dịch là “Chương trình đào tạo nội bộ năm 2025 của China Mobile Limited sắp bắt đầu, vui lòng đăng ký càng sớm càng tốt”).
Tệp thực thi này lợi dụng kỹ thuật DLL side-loading thông qua phần mềm hợp pháp Wondershare Recoverit, khai thác sự phụ thuộc vào drstat.dll để tải một trình tải độc hại tùy chỉnh được xác định là VELETRIX.
Phân Tích Kỹ Thuật Trình Tải VELETRIX
Sau khi được thực thi, VELETRIX sử dụng các kỹ thuật chống phân tích trong môi trường sandbox, chẳng hạn như vòng lặp ngủ 10 giây và kiểm tra âm thanh hệ thống thông qua Beep API, nhằm mục đích né tránh sự phát hiện. Trình tải này sau đó tải động các Windows API như VirtualAllocExNuma và RtlIpv4StringToAddressA bằng cách sử dụng LoadLibraryA và GetProcAddress, đồng thời che giấu mục đích của nó bằng cách sử dụng các chuỗi được mã hóa trên stack (stack strings).
Một phương pháp che giấu độc đáo được áp dụng để biến shellcode đã mã hóa thành một loạt các địa chỉ IPv4. Các địa chỉ này được giải mã thông qua một phép toán XOR với khóa 0x6f. Shellcode sau đó được tiêm vào bộ nhớ một cách phi truyền thống bằng cách sử dụng hàm EnumCalendarInfoA, được thực thi với các quyền PAGE_EXECUTE_READWRITE để vượt qua các cơ chế giám sát thông thường.
Giao Tiếp Command and Control (C&C)
Phân tích sâu hơn cho thấy shellcode khởi tạo giao tiếp mạng thông qua các Winsock API như WSAStartup và connect. Nó nhắm mục tiêu đến một máy chủ Command and Control (C&C) được mã hóa cứng tại địa chỉ 62.234.24.38 trên cổng TCP 9999, được xác nhận là đang lưu trữ trên cơ sở hạ tầng Tencent Cloud ở Bắc Kinh, Trung Quốc.
Lưu lượng truy cập bị chặn cho thấy máy chủ C&C gửi gần 5MB dữ liệu đã mã hóa. Dữ liệu này được giải mã thông qua phép toán XOR với khóa 0x99, tiết lộ một DLL Golang giai đoạn hai, có khả năng là một reverse shell được thiết kế cho các hệ thống AMD64.
Các mẫu bổ sung phù hợp với các quy tắc Yara tùy chỉnh cho thấy các mẫu tấn công nhất quán trên nhiều chiến dịch, với các địa chỉ IP C&C như 121.37.80.227 và 156.238.236.130 cũng có nguồn gốc từ cơ sở hạ tầng Trung Quốc hoặc lưu trữ các dịch vụ tiếng Trung. Những phát hiện này cho thấy việc sử dụng VShell, một công cụ tấn công (Offensive Security Tool – OST) bị nghi ngờ phổ biến trong số các tác nhân liên quan đến Trung Quốc.
Các Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến chiến dịch DragonClone và các hoạt động của VELETRIX/VShell bao gồm:
- Hash SHA256 độc hại:
fef69f8747c368979a9e4c62f4648ea233314b5f41981d9c01c1cdd96fb07365
- Tên tệp độc hại:
2025年中国移动有限公司内部培训计划即将启动,请尽快报名.exe
- Địa chỉ IP Command and Control (C&C):
62.234.24.38(Port9999)121.37.80.227156.238.236.130
- Các công cụ/malware liên quan:
- VELETRIX (custom malicious loader)
- VShell (suspected Offensive Security Tool)
Ý Nghĩa Chiến Lược và Tác Động
Việc nhắm mục tiêu vào cơ sở hạ tầng viễn thông, kết hợp với việc quy kết cơ sở hạ tầng này, cho thấy đây là một hoạt động được chính phủ hậu thuẫn, ưu tiên gián điệp hơn là gây gián đoạn. Điều này đánh dấu một sự phát triển quan trọng trong các chiến thuật chiến tranh mạng. Các nhà nghiên cứu được khuyến nghị duy trì cảnh giác đối với các chỉ số của VELETRIX và VShell trong môi trường của họ khi những mối đe dọa này tiếp tục phát triển.
