Insikt Group đã phát hiện hạ tầng mới liên quan đến nhà cung cấp phần mềm gián điệp của Israel là Candiru, hiện đang hoạt động dưới tên Saito Tech Ltd., tiếp tục triển khai phần mềm độc hại tiên tiến DevilsTongue spyware.
Hoạt Động Mới của Candiru và Hạ Tầng DevilsTongue
Sử dụng thông tin tình báo mạng của Recorded Future, các nhà nghiên cứu đã xác định được tám cụm hoạt động riêng biệt. Mỗi cụm thể hiện sự khác biệt về thiết kế và quản trị hạ tầng.
Các cụm này bao gồm các thành phần tương tác trực tiếp với nạn nhân để triển khai và điều khiển phần mềm gián điệp, cùng với các hệ thống vận hành cấp cao hơn. Một số cụm quản lý trực tiếp giao diện nạn nhân, trong khi các cụm khác sử dụng các lớp trung gian hoặc tận dụng mạng Tor để tăng cường khả năng che giấu.
Các Cụm Hạ Tầng và Mục Tiêu
Năm cụm được đánh giá là đang hoạt động mạnh mẽ, với các kết nối đến các thực thể ở Hungary và Ả Rập Saudi.
Một cụm bổ sung có liên quan đến Indonesia vẫn hoạt động cho đến tháng 11 năm 2024. Hai cụm khác liên kết với Azerbaijan cho thấy tình trạng không chắc chắn do các yếu tố đối mặt với nạn nhân chưa được xác nhận.
Phát hiện này nhấn mạnh khả năng phục hồi của Candiru bất chấp các lệnh trừng phạt quốc tế, bao gồm việc công ty bị thêm vào Danh sách thực thể của Bộ Thương mại Hoa Kỳ vào năm 2021. Candiru liên tục nỗ lực để né tránh các áp lực pháp lý thông qua tái cấu trúc doanh nghiệp.
Kỹ Thuật Tấn Công của DevilsTongue Spyware
DevilsTongue là một phần mềm độc hại mô-đun dành cho Windows, được phát triển bằng C và C++. Nó nổi bật với các cơ chế duy trì quyền kiểm soát tinh vi.
Kiến Trúc và Cơ Chế Tàng Hình
Phần mềm này sử dụng kỹ thuật COM hijacking, trong đó nó ghi đè lên các đường dẫn DLL hợp lệ trong sổ đăng ký để tiêm các payload từ các thư mục ngụy trang như C:\Windows\system32\IME.
Nó tích hợp các driver chế độ kernel để truy cập bộ nhớ và ủy quyền API, đảm bảo khả năng tàng hình bằng cách tái tiêm các DLL gốc và chỉ thực thi các payload đã giải mã trong bộ nhớ.
Khả Năng Đánh Cắp Dữ Liệu và Xâm Nhập
Các khả năng của DevilsTongue spyware mở rộng đến việc đánh cắp thông tin xác thực từ LSASS và các trình duyệt, trích xuất tin nhắn Signal được mã hóa, và mạo danh dựa trên cookie trên các nền tảng như Gmail và Facebook.
Khai Thác Zero-day và Vectơ Lây Nhiễm
Phần mềm này có sự trùng lặp với các bộ công cụ khai thác (exploit kits) như CHAINSHOT, khai thác các lỗ hổng zero-day trong các trình duyệt như Chrome.
Các lỗ hổng này bao gồm CVE-2021-21166, CVE-2021-30551, và CVE-2022-2294, tạo điều kiện truy cập ban đầu qua các liên kết spearphishing, các cuộc tấn công watering-hole, và tiềm năng là các vectơ dựa trên quảng cáo như khả năng Sherlock, vốn chiếm quyền điều khiển quảng cáo có lập trình để lây nhiễm đa nền tảng trên Windows, Android và iOS.
Các Chỉ Số Đe Dọa (IOCs)
Các CVE nghiêm trọng được khai thác bởi DevilsTongue spyware bao gồm:
- CVE-2021-21166: Lỗ hổng trong Google Chrome.
- CVE-2021-30551: Lỗ hổng trong Google Chrome.
- CVE-2022-2294: Lỗ hổng trong Google Chrome.
Chiến Thuật Né Tránh và Mở Rộng Thị Trường
Candiru, được thành lập vào năm 2014 bởi Eran Shorer và Yaakov Weizmann, đã trải qua nhiều lần đổi thương hiệu từ DF Associates Ltd. sang Grindavik Solutions, Taveta Ltd., và cuối cùng là Saito Tech Ltd. để duy trì bí mật hoạt động trong bối cảnh bị giám sát ngày càng tăng.
Lịch Sử Tái Cơ Cấu và Vượt Qua Trừng Phạt
Được hậu thuẫn bởi các nhà đầu tư có liên hệ với NSO Group, công ty đã ký kết các hợp đồng trị giá hàng triệu đô la với các chính phủ ở Châu Âu, Trung Đông, Châu Á và Châu Mỹ Latinh. Candiru cấp phép DevilsTongue spyware dựa trên số lượng nhiễm trùng đồng thời, với các cấp giá cho phép mở rộng cho các thiết bị bổ sung và mục tiêu địa lý.
Các đề xuất bị rò rỉ tiết lộ các hạn chế chống lại việc sử dụng ở các quốc gia như Hoa Kỳ, Nga, Trung Quốc, Israel và Iran. Tuy nhiên, bằng chứng cho thấy các triển khai đã diễn ra ở các khu vực này, bao gồm cả việc nhắm mục tiêu vào các nhà hoạt động người Catalan và người dùng Armenia thông qua các khai thác zero-day. Để biết thêm thông tin chi tiết, có thể tham khảo báo cáo của Recorded Future: Tracking Candiru’s DevilsTongue Spyware.
Xu Hướng Thị Trường và Mua Lại
Một vụ mua lại bị nghi ngờ vào đầu năm 2025 bởi Integrity Partners có trụ sở tại Hoa Kỳ đã chuyển tài sản của Candiru sang một thực thể mới, Integrity Labs Ltd., có khả năng vượt qua các lệnh trừng phạt.
Động thái này phù hợp với các xu hướng rộng hơn trong thị trường phần mềm gián điệp đánh thuê, nơi các nhà cung cấp đổi mới với các chuỗi tấn công tinh vi hơn, nhắm mục tiêu sao lưu đám mây và hệ sinh thái chuyên nghiệp hóa. Các nạn nhân thường là các cá nhân có giá trị cao như chính trị gia và nhà báo, bị xâm nhập thông qua các liên kết độc hại, tài liệu bị vũ khí hóa hoặc các cuộc tấn công mạng MitM.
Biện Pháp Phòng Chống và Ứng Phó
Việc phổ biến các công cụ như DevilsTongue spyware mở rộng rủi ro vượt ra ngoài xã hội dân sự. Điều này được thúc đẩy bởi chi phí triển khai cao và các chiến thuật phát triển như lây nhiễm dựa trên quảng cáo và các cuộc tấn công phía máy chủ.
Phòng Thủ Ngắn Hạn
Các biện pháp phòng thủ ngắn hạn bao gồm vá lỗi phần mềm nghiêm ngặt, săn tìm chỉ số đe dọa (indicator hunting), phân tách thiết bị và đào tạo bảo mật để chống lại các vectơ tấn công.
Chiến Lược Dài Hạn và Quy Định Toàn Cầu
Các chiến lược dài hạn đòi hỏi đánh giá rủi ro thích ứng và giám sát hệ sinh thái. Mặc dù có các sáng kiến như hạn chế phần mềm gián điệp của EU và quy trình Pall Mall, khả năng thích nghi của Candiru vẫn đặt ra các mối đe dọa liên tục, đòi hỏi các quy định toàn cầu mạnh mẽ hơn để giảm thiểu rủi ro về quyền riêng tư và an toàn.
