Dark Partners: Nhóm Tội Phạm Tài Chính Đe Dọa Tiền Điện Tử Toàn Cầu

16/07/2025
6 mins read
Nội dung
Tổng quan về Dark Partners: Tổ chức đe dọa tài chính đang gia tăng
Kỹ thuật Xâm nhập và Phân phối Mã độc
Phân tích Mã độc: Poseidon Stealer và PayDay Loader
Poseidon Stealer (macOS)
PayDay Loader (Windows)
PayDay Panel: Nền tảng Quản lý Tập trung
Hạ tầng và Mục tiêu của Dark Partners
Kỹ thuật Né tránh và Tăng cường Khả năng Tấn công
Chỉ số Đã Thỏa Hiệp (IoC) và Diễn biến Chiến dịch
Các Chỉ số Đã Thỏa Hiệp (IoC) Cần Chú ý
Biện pháp Đối phó và Giảm thiểu Rủi ro
Dự báo và Xu hướng Tương lai

Tổng quan về Dark Partners: Tổ chức đe dọa tài chính đang gia tăng

Kể từ ít nhất tháng 5 năm 2025, tổ chức tội phạm mạng với động cơ tài chính được biết đến với tên gọi Dark Partners đã lên kế hoạch cho các vụ trộm tiền điện tử quy mô lớn. Hoạt động này là một phần của chiến dịch tội phạm mạng đang phát triển nhanh chóng, sử dụng một mạng lưới phức tạp gồm hơn 250 tên miền độc hại. Các tên miền này được ngụy trang dưới dạng công cụ AI, dịch vụ VPN, ví tiền điện tử, và các thương hiệu phần mềm nổi tiếng để lừa đảo người dùng.

Mục tiêu chính của Dark Partners là lợi nhuận tài chính thông qua việc bán các tài sản bị đánh cắp trên các thị trường ngầm. Theo nhà nghiên cứu an ninh mạng g0njxa, không có bằng chứng trực tiếp cho thấy Dark Partners có liên hệ với các tổ chức nhà nước (nation-state actors) hoặc các mối đe dọa dai dẳng nâng cao (APT – Advanced Persistent Threats).

Kỹ thuật Xâm nhập và Phân phối Mã độc

Các trang web giả mạo do Dark Partners triển khai đóng vai trò là vector lây nhiễm chính, được phân phối thông qua kỹ thuật SEO poisoning (đầu độc công cụ tìm kiếm) và các chiến thuật social engineering (kỹ thuật xã hội). Các chiến thuật này nhằm mục đích lừa người dùng truy cập vào các trang web độc hại, sau đó triển khai mã độc cụ thể cho từng hệ điều hành:

  • Trên hệ thống macOS: Mã độc Poseidon Stealer được cài đặt.
  • Trên hệ thống Windows: Mã độc PayDay Loader được cài đặt.

Phân tích Mã độc: Poseidon Stealer và PayDay Loader

Poseidon Stealer (macOS)

Poseidon Stealer là mã độc được thiết kế để nhắm mục tiêu vào người dùng macOS. Để duy trì sự hiện diện trên hệ thống bị lây nhiễm, Poseidon Stealer sử dụng các cơ chế persistence (duy trì quyền truy cập) như:

  • Launch agents: Các tác vụ tự động khởi chạy khi người dùng đăng nhập hoặc khi hệ thống khởi động.
  • Scheduled tasks: Các tác vụ được lên lịch để chạy định kỳ.

Mục đích chính của Poseidon Stealer là exfiltration (rút trích) dữ liệu nhạy cảm, bao gồm:

  • Ví tiền điện tử.
  • Thông tin xác thực (credentials).
  • Dữ liệu nhạy cảm khác từ hệ thống bị xâm nhập.

PayDay Loader (Windows)

Đối với các hệ thống Windows, Dark Partners sử dụng PayDay Loader. Mã độc này cũng tập trung vào việc duy trì quyền truy cập và triển khai các payload module. PayDay Loader sử dụng các kỹ thuật sau để duy trì foothold (chỗ đứng) trên hệ thống:

  • PowerShell scripts: Thực thi các script PowerShell để thực hiện các hành vi độc hại.
  • Virtual hard disks: Sử dụng các đĩa cứng ảo để lưu trữ và tải các payload.

PayDay Loader được thiết kế theo kiến trúc module, cho phép tải các payload bổ sung một cách linh hoạt tùy thuộc vào mục tiêu của kẻ tấn công.

PayDay Panel: Nền tảng Quản lý Tập trung

PayDay Panel đóng vai trò là nền tảng quản lý tập trung cho việc triển khai các mã độc dạng module của Dark Partners. Nền tảng này mang lại cho các nhà điều hành khả năng thích ứng động các payload và mở rộng quy mô hoạt động trên ít nhất 37 thương hiệu bị mạo danh khác nhau. Điều này cho phép Dark Partners nhanh chóng thay đổi chiến thuật và mở rộng phạm vi tấn công một cách hiệu quả.

Hạ tầng và Mục tiêu của Dark Partners

Hạ tầng của nhóm tội phạm này bao gồm các máy chủ Command-and-Control (C2) được phân bổ trên toàn cầu. Các máy chủ C2 này là trung tâm điều khiển, giúp Dark Partners thu thập dữ liệu một cách hiệu quả từ các nạn nhân.

Phạm vi hoạt động của Dark Partners rất rộng, nhắm mục tiêu vào các nạn nhân trên khắp các khu vực địa lý quan trọng như:

  • Hoa Kỳ (United States)
  • Liên minh Châu Âu (European Union)
  • Nga (Russia)
  • Canada
  • Úc (Australia)

Trọng tâm đặc biệt của chúng là các lĩnh vực nhạy cảm liên quan đến tài chính và công nghệ, bao gồm:

  • Tiền điện tử (cryptocurrency)
  • Blockchain
  • Công nghệ (technology)
  • Dịch vụ tài chính (financial services)
  • Dịch vụ VPN

Kỹ thuật Né tránh và Tăng cường Khả năng Tấn công

Sự tinh vi về kỹ thuật của Dark Partners thể hiện rõ qua việc chúng sử dụng các chứng chỉ ký mã (code signing certificates) bị đánh cắp. Việc này cho phép chúng vượt qua các hệ thống phát hiện và phản hồi điểm cuối (EDR – Endpoint Detection and Response). Ngoài ra, chúng còn tích hợp các cơ chế chống sandboxing để ngăn chặn các môi trường phân tích tự động, làm phức tạp quá trình điều tra mã độc.

Dữ liệu đo từ xa trong quá khứ cho thấy các chiến dịch đã tăng cường vào tháng 6 năm 2025 với mạng lưới các trang web giả mạo được mở rộng. Mặc dù có một sự gián đoạn tạm thời vào tháng 7 do việc thu hồi chứng chỉ, nhóm này dự kiến sẽ phục hồi bằng cách mua các chứng chỉ mới và tích hợp các kỹ thuật né tránh nâng cao hơn. Các kỹ thuật né tránh trong tương lai có thể bao gồm:

  • Mã độc không tập tin (fileless malware): Thực thi trực tiếp trong bộ nhớ mà không cần ghi vào ổ đĩa.
  • Living-Off-The-Land Binaries (LOLBins): Lợi dụng các công cụ hợp pháp có sẵn trên hệ thống để thực hiện các hành vi độc hại, gây khó khăn cho việc phát hiện.

Chỉ số Đã Thỏa Hiệp (IoC) và Diễn biến Chiến dịch

Việc theo dõi các chỉ số hành vi đóng vai trò quan trọng trong việc phát hiện sớm các hoạt động của Dark Partners. Các chỉ số này bao gồm:

  • Hoạt động PowerShell bất thường trên hệ thống Windows.
  • Hoạt động của các launch agent đáng ngờ trên macOS.
  • Lưu lượng mạng đến các cơ sở hạ tầng C2 đã biết của kẻ tấn công.

Những dấu hiệu này nhấn mạnh sự cần thiết của việc giám sát liên tục và triển khai các kiểm soát dựa trên Dynamic IoC (chỉ số thỏa hiệp động).

Lịch sử chiến dịch của Dark Partners cho thấy sự gia tăng hoạt động vào tháng 6 năm 2025 với việc mở rộng mạng lưới các trang web giả mạo. Sau đó, một sự gián đoạn tạm thời đã xảy ra vào tháng 7 cùng năm do việc thu hồi chứng chỉ. Tuy nhiên, Dark Partners được dự đoán sẽ phục hồi nhanh chóng bằng cách mua sắm chứng chỉ mới và áp dụng các kỹ thuật né tránh tiên tiến hơn.

Các Chỉ số Đã Thỏa Hiệp (IoC) Cần Chú ý

Dựa trên hoạt động của Dark Partners, các chỉ số đã thỏa hiệp (IoC) sau đây cần được theo dõi chặt chẽ để phát hiện và ngăn chặn các cuộc tấn công:

  • Dấu hiệu hành vi trên hệ thống Windows:
    • Sự xuất hiện của các script PowerShell không rõ nguồn gốc hoặc bất thường.
    • Các tiến trình PowerShell có hành vi duy trì quyền truy cập không giải thích được.
  • Dấu hiệu hành vi trên hệ thống macOS:
    • Các tệp hoặc cấu hình launch agent đáng ngờ được tạo ra.
    • Các tác vụ theo lịch trình không xác định chạy định kỳ.
  • Hoạt động mạng:
    • Lưu lượng mạng đến các địa chỉ IP hoặc tên miền C2 không xác định. (Lưu ý: Nội dung gốc không cung cấp danh sách cụ thể các tên miền hoặc địa chỉ IP C2 của Dark Partners, chỉ đề cập chung là “hạ tầng C2 đã biết” và “hơn 250 tên miền độc hại”).
    • Kết nối đến các tên miền mạo danh dịch vụ AI, VPN, ví tiền điện tử hoặc thương hiệu phần mềm.
  • Chứng chỉ số:
    • Phát hiện các chứng chỉ ký mã không hợp lệ hoặc đã bị thu hồi được sử dụng để ký các tệp thực thi.
    • Bất kỳ dấu hiệu nào của việc sử dụng chứng chỉ bị đánh cắp.

Biện pháp Đối phó và Giảm thiểu Rủi ro

Để chống lại mối đe dọa từ Dark Partners, các tổ chức cần triển khai một loạt các biện pháp phòng thủ mạnh mẽ:

  • Triển khai Giải pháp EDR Nâng cao: Sử dụng các giải pháp EDR mạnh mẽ tích hợp khả năng phân tích hành vi để phát hiện các hoạt động bất thường và đáng ngờ trên các điểm cuối.
  • Thực thi Giao thức Xác thực Chứng chỉ Nghiêm ngặt: Áp dụng các quy trình xác thực chứng chỉ nghiêm ngặt để phát hiện và chặn các ứng dụng được ký bằng chứng chỉ bị đánh cắp hoặc không hợp lệ.
  • Triển khai Kiểm soát Mạng Linh hoạt: Thiết lập các kiểm soát mạng có khả năng thích ứng với các IoC đang phát triển để phá vỡ việc phân phối mã độc và liên lạc C2. Điều này bao gồm khả năng cập nhật động các quy tắc tường lửa và hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS).
  • Đào tạo Nhận thức Người dùng: Đối với các lĩnh vực mục tiêu như nền tảng tiền điện tử và DeFi (Decentralized Finance), cần ưu tiên đào tạo nhận thức người dùng và tổ chức các bài tập giả lập tấn công lừa đảo (simulated phishing exercises) để giảm thiểu rủi ro kỹ thuật xã hội, vì đây vẫn là các hình thức tấn công cốt lõi của nhóm.
  • Chia sẻ Thông tin Tình báo: Tăng cường chia sẻ thông tin tình báo giữa các cộng đồng an ninh mạng để cập nhật về các TTPs (Tactics, Techniques, and Procedures – Chiến thuật, Kỹ thuật và Quy trình) mới nhất của Dark Partners.
  • Thực hiện Mô phỏng Red Team: Tiến hành các cuộc mô phỏng tấn công Red Team định kỳ để kiểm tra và xác thực khả năng phòng thủ của tổ chức chống lại các TTPs của Dark Partners, từ đó xác định và khắc phục các lỗ hổng.

Dự báo và Xu hướng Tương lai

Trong thời gian tới, Dark Partners được dự đoán sẽ tăng cường các chiến thuật tấn công của mình. Điều này bao gồm việc sử dụng các mồi nhử được tạo ra bằng trí tuệ nhân tạo (AI-generated lures) để tăng tính thuyết phục và mở rộng mục tiêu sang các hệ sinh thái NFT (Non-Fungible Token) đang phát triển. Điều này đòi hỏi sự hợp tác chặt chẽ trong việc chia sẻ thông tin tình báo giữa các cộng đồng an ninh mạng và việc thực hiện các cuộc mô phỏng red team để kiểm tra tính hiệu quả của các biện pháp phòng thủ.

Phát hiện sớm thông qua việc giám sát các bất thường về chứng chỉ và các cơ chế duy trì quyền truy cập vẫn là yếu tố cực kỳ quan trọng. Các hoạt động có thể mở rộng quy mô của nhóm này tiếp tục đặt ra rủi ro toàn cầu đối với an ninh tài sản kỹ thuật số.