Một nhóm tấn công dai dẳng đã phát triển phương thức mới để duy trì hoạt động ẩn danh, tập trung vào việc xây dựng mạng lưới bóng tối gần như không thể truy vết. Nhóm này đã điều chỉnh cách thức vận hành các chiến dịch tấn công mạng bằng cách chuyển dịch cơ sở hạ tầng truyền thống sang các thiết bị router gia đình và thiết bị tiêu dùng bị chiếm quyền điều khiển, tạo ra một mối đe dọa mạng tinh vi.
Tái Cấu Trúc Cơ Sở Hạ Tầng Tấn Công
Trong hơn hai thập kỷ, nhóm APT28 đã nhắm mục tiêu vào các cơ quan chính phủ, tổ chức quốc phòng, phái đoàn ngoại giao và cơ sở hạ tầng quan trọng, đặc biệt là các quốc gia thành viên NATO và Ukraine.
Nhóm này hoạt động dưới hơn 30 bí danh đã biết. Chiến dịch mới nhất của họ đặc biệt đáng báo động vì mức độ ẩn danh tăng cao, với lưu lượng truy cập tấn công hòa lẫn vào hoạt động internet thông thường, gây khó khăn cho việc phát hiện tấn công.
Chuyển Đổi Từ Máy Chủ Thuê Sang Thiết Bị Bị Chiếm Quyền
Các nhà phân tích của Sekoia đã theo dõi APT28 trong nhiều năm và xác định được một sự thay đổi cấu trúc đáng kể trong cách nhóm này quản lý cơ sở hạ tầng tấn công.
APT28 đã chuyển phần lớn hoạt động của mình sang các router SOHO (Small Office/Home Office) và các thiết bị biên đã bị xâm phạm, thay thế cho các máy chủ ảo (VPS) thuê mà họ từng sử dụng làm trung tâm chỉ huy.
Quy mô của cơ sở hạ tầng này rất đáng chú ý. Vào tháng 12 năm 2025, các nhà nghiên cứu đã quan sát thấy hơn 18.000 địa chỉ IP duy nhất trên 120 quốc gia giao tiếp với các máy chủ do APT28 kiểm soát.
Khoảng 200 tổ chức và 5.000 thiết bị tiêu dùng bị ảnh hưởng, với các nạn nhân chủ yếu là các bộ ngoại giao, cơ quan thực thi pháp luật và nhà cung cấp dịch vụ lưu trữ IT.
Kỹ Thuật Tấn Công Tinh Vi
Khả năng ứng dụng kỹ thuật của APT28 đã phát triển mạnh mẽ. Nhóm này chuyển đổi từ một khung malware ổn định sang triển khai các công cụ dùng một lần, có mục đích duy nhất và bị loại bỏ ngay khi bị phát hiện.
Họ cũng đã thử nghiệm một công cụ đánh cắp thông tin dựa trên AI có tên LameHug. Công cụ này truy vấn một mô hình AI trực tiếp để tạo lệnh tấn công theo thời gian thực.
Sự kết hợp giữa các công cụ dễ bị loại bỏ, lạm dụng dịch vụ đám mây và chiếm quyền điều khiển router khiến APT28 trở thành một trong những nhóm mối đe dọa có năng lực nhất hiện nay.
Lạm Dụng Router và Dịch Vụ Đám Mây
Thay đổi chiến thuật quan trọng nhất của APT28 là việc chiếm quyền điều khiển các router cấp tiêu dùng. Nhóm này đã tái sử dụng một botnet tội phạm được xây dựng bằng malware MooBot, giành quyền kiểm soát hàng trăm router Ubiquiti EdgeRouters vào tháng 4 năm 2022.
Botnet này phục vụ ba mục đích chính:
- Truyền các hàm băm xác thực bị đánh cắp tới Microsoft Exchange.
- Lưu trữ các trang lừa đảo (phishing) trên địa chỉ IP dân cư.
- Chạy các tập lệnh Python tùy chỉnh trên các router bị chiếm quyền.
Hoạt động Dying Ember của FBI đã triệt phá mạng lưới này vào năm 2024. Ngay cả sau khi bị triệt phá, hơn 350 máy chủ trung tâm dữ liệu vẫn tiếp tục kết nối lại với cơ sở hạ tầng của kẻ tấn công, cho thấy tính khó khăn trong việc loại bỏ hoàn toàn loại botnet này.
Vào năm 2026, APT28 đã mở rộng phương pháp tương tự với một chiến dịch có tên FrostArmada, lần này nhắm mục tiêu vào các router MikroTik và TP-Link. Kẻ tấn công đã viết lại cài đặt DNS để chuyển hướng lưu lượng truy cập qua các máy chủ do chúng kiểm soát.
Mọi thiết bị trên các mạng bị ảnh hưởng sẽ vô tình chuyển tiếp các yêu cầu đăng nhập của chúng qua các node của APT28, cho phép đánh cắp thông tin đăng nhập và token OAuth cho các dịch vụ như Microsoft 365 một cách âm thầm.
Sử Dụng Dịch Vụ Đám Mây Làm Kênh Điều Khiển
Ngoài việc chiếm quyền điều khiển router, APT28 còn định tuyến giao tiếp của malware thông qua các nền tảng đám mây hợp pháp để tránh bị phát hiện.
Trong chiến dịch Phantom Net Voxel, nhóm đã triển khai một backdoor C++ tùy chỉnh có tên BeardShell. Backdoor này sử dụng API lưu trữ đám mây làm kênh chỉ huy của nó. Đối với bất kỳ ai giám sát lưu lượng truy cập, nó trông giống như một kết nối đến một dịch vụ đám mây đáng tin cậy.
Nhóm có thể dễ dàng thay đổi nhà cung cấp đám mây. Các nhà nghiên cứu đã quan sát thấy chuỗi tấn công tương tự được tái sử dụng với một nền tảng lưu trữ tệp khác vài tháng sau đó, xác nhận rằng việc xoay vòng backend đám mây hiện đã trở thành thông lệ.
Một công cụ keylogger có tên Slimagent, được tìm thấy trên cùng cơ sở hạ tầng hoạt động, có liên quan đến nguồn gốc mã trực tiếp từ X-Agent, một implant đặc trưng của APT28 đã được sử dụng hơn một thập kỷ trước.
Các Biện Pháp Phòng Ngừa
Để giảm thiểu rủi ro bị ảnh hưởng, các tổ chức nên thường xuyên cập nhật bản vá cho firmware của router, thay đổi thông tin đăng nhập mặc định và vô hiệu hóa các tính năng quản lý từ xa không sử dụng.
Các doanh nghiệp sử dụng dịch vụ đám mây nên thực thi xác thực đa yếu tố chống lừa đảo và thường xuyên kiểm tra quyền của token OAuth.
Trung tâm khiếu nại tội phạm mạng của FBI đã công bố cảnh báo công khai, kêu gọi người dùng gia đình và doanh nghiệp nhỏ xem xét cài đặt router của họ sau khi chiến dịch FrostArmada được tiết lộ.
Tham khảo thêm thông tin chi tiết về các chiến dịch và kỹ thuật của APT28 tại các báo cáo của Sekoia: Sekoia Blog.
