Những nhóm tấn công tinh vi dai dẳng (APT) do nhà nước tài trợ thường hoạt động biệt lập, mỗi nhóm theo đuổi một chương trình nghị sự quốc gia riêng. Tuy nhiên, bằng chứng mới cho thấy hai trong số các tác nhân APT nguy hiểm nhất thế giới có thể đang hợp tác, đánh dấu một sự thay đổi đáng kể trong bức tranh mối đe dọa mạng toàn cầu.
Các phát hiện chỉ ra rằng nhóm Gamaredon liên kết với Nga và nhóm Lazarus của Triều Tiên dường như đang chia sẻ cơ sở hạ tầng vận hành. Sự liên minh chiến thuật này, nếu được xác nhận rộng rãi, sẽ tạo ra những thách thức đáng kể cho cộng đồng an ninh mạng toàn cầu.
Phát hiện Liên minh APT và Chia sẻ Hạ tầng
Vào ngày 28 tháng 7 năm 2025, các nhà nghiên cứu bảo mật tại GenDigital đã xác định được một sự hợp tác tiềm năng giữa hai nhóm APT này. Hệ thống giám sát của họ đã phát hiện một địa chỉ IP chung liên kết cả hai tác nhân đe dọa.
Máy chủ tại địa chỉ 144.172.112.106 lần đầu tiên được gắn cờ trong quá trình theo dõi cơ sở hạ tầng Command-and-Control (C2) của nhóm Gamaredon. Việc theo dõi này được thực hiện thông qua các kênh Telegram và Telegraph đã biết mà nhóm này thường sử dụng.
Cơ sở Hạ tầng Chung và Thời gian Phát hiện
Chỉ bốn ngày sau phát hiện ban đầu, cùng một máy chủ đã được tìm thấy đang lưu trữ một phiên bản mã độc InvisibleFerret bị xáo trộn. Mã độc này được gán cho nhóm Lazarus. Sự trùng hợp về thời gian và cơ sở hạ tầng này cho thấy một mức độ phối hợp đáng báo động.
Điều này không chỉ là một sự trùng hợp ngẫu nhiên về cơ sở hạ tầng mà còn là một dấu hiệu rõ ràng về khả năng chia sẻ tài nguyên kỹ thuật. Việc các nhóm APT quốc gia mạnh mẽ hợp tác như vậy mang lại nhiều hệ lụy nghiêm trọng cho việc phòng thủ.
Phân tích Mã độc InvisibleFerret và Chứng minh Liên kết
Tải trọng mã độc InvisibleFerret được phân phối thông qua một cấu trúc URL phù hợp với các chiến dịch trước đây của nhóm Lazarus. Cụ thể, nó tương đồng với hoạt động ContagiousInterview, một chiến dịch từng nhắm mục tiêu vào những người tìm việc với các tin nhắn tuyển dụng giả mạo.
Mã băm tải trọng SHA256: 128da948f7c3a6c052e782acfee503383bf05d953f3db5c603e4d386e2cf4b4d đã xác nhận sự gán cho bộ công cụ của Lazarus. Mã băm này cũng khớp với các mẫu đã biết từ các cuộc tấn công trước đó của nhóm. Thông tin này củng cố thêm bằng chứng về sự liên kết. Để biết thêm chi tiết về phát hiện này, bạn có thể tham khảo báo cáo của GenDigital tại GenDigital.
Bối cảnh Chính trị và Lịch sử Liên kết
Sự hợp tác tiềm năng này diễn ra trong bối cảnh các mối quan hệ chính trị và quân sự sâu sắc giữa Nga và Triều Tiên. Hai quốc gia này đã duy trì mối quan hệ mạnh mẽ trong nhiều thập kỷ, với sự hợp tác ngày càng tăng trong các lĩnh vực khác nhau.
Vào năm 2024, cả hai quốc gia đã làm mới liên minh của mình thông qua một Quan hệ đối tác Chiến lược Toàn diện. Thỏa thuận này bao gồm các cam kết phòng thủ lẫn nhau, cho thấy một sự gắn kết chính trị mạnh mẽ.
Có báo cáo rằng binh lính Triều Tiên đã được triển khai cùng với lực lượng Nga ở Ukraine. Điều này càng chứng minh sự hợp tác sâu sắc hơn của họ trên chiến trường, mở rộng từ lĩnh vực quân sự truyền thống sang cả không gian mạng.
Hồ sơ các Nhóm APT Chính
Việc khám phá ra cơ sở hạ tầng chung này mang đến những hàm ý lớn cho các nhà bảo vệ an ninh mạng toàn cầu. Việc hiểu rõ đặc điểm của từng nhóm là rất quan trọng để xây dựng các chiến lược phòng thủ hiệu quả chống lại mối đe dọa mạng kết hợp này.
Gamaredon (Liên kết với FSB Nga)
Nhóm Gamaredon đã hoạt động từ năm 2013 và chủ yếu tập trung vào hoạt động gián điệp mạng. Mục tiêu chính của nhóm này là các cơ quan chính phủ Ukraine, nơi chúng tìm cách thu thập thông tin nhạy cảm và gây rối các hoạt động.
Cơ quan An ninh Ukraine (SSU) đã liên kết nhóm này với Cục An ninh Liên bang Nga (FSB) vào năm 2021. SSU đã quy trách nhiệm cho Gamaredon thực hiện hơn 5.000 cuộc tấn công mạng, cho thấy quy mô và mức độ tinh vi của các hoạt động của chúng.
Lazarus Group (Chuyển hướng Tài chính)
Nhóm Lazarus đã hoạt động từ năm 2009 và ban đầu tập trung vào gián điệp. Tuy nhiên, nhóm này đã chuyển trọng tâm sang các cuộc tấn công có động cơ tài chính trong những năm gần đây. Mục tiêu của chúng là đánh cắp tiền điện tử từ các nền tảng và sàn giao dịch.
Lazarus được biết là đã đánh cắp hơn 1,7 tỷ USD tiền điện tử từ nhiều nền tảng khác nhau. Các mục tiêu đáng chú ý bao gồm Bybit, WazirX và AtomicWallet. Tải trọng mã độc được tìm thấy trên máy chủ chung đã sử dụng một đường dẫn phân phối giống hệt với các hoạt động trước đây của Lazarus, minh chứng cho sự nhất quán trong phương thức hoạt động của chúng.
Chỉ số Thỏa hiệp (IOCs)
Để hỗ trợ các nhóm bảo mật trong việc phát hiện và ứng phó, dưới đây là các chỉ số thỏa hiệp (IOCs) đã được xác định liên quan đến hoạt động này:
- Địa chỉ IP:
144.172.112.106 - Mã băm SHA256 của tải trọng mã độc InvisibleFerret:
128da948f7c3a6c052e782acfee503383bf05d953f3db5c603e4d386e2cf4b4d
Các IOCs này cần được tích hợp vào các hệ thống phòng thủ để tăng cường khả năng phát hiện các hoạt động liên quan đến các nhóm APT này.
Hàm ý và Khuyến nghị Bảo mật
Nếu được xác nhận rộng rãi, sự chồng chéo giữa Gamaredon và Lazarus sẽ đại diện cho trường hợp đầu tiên được ghi nhận về sự hợp tác mạng giữa Nga và Triều Tiên trong thực tế. Đây là một bước leo thang đáng lo ngại trong các chiến thuật của mối đe dọa mạng do nhà nước bảo trợ, đòi hỏi một cách tiếp cận phòng thủ mới.
Các nhóm bảo mật cần tăng cường phân tích tương quan cơ sở hạ tầng. Điều này bao gồm việc sử dụng các công cụ và quy trình để xác định các mối liên kết tiềm ẩn giữa các tác nhân đe dọa khác nhau. Việc này cũng giúp phát hiện sớm các chiến dịch phối hợp.
Ưu tiên chia sẻ thông tin tình báo xuyên lĩnh vực là yếu tố then chốt. Việc chia sẻ thông tin về mối đe dọa mạng, IOCs và các kỹ thuật tấn công giữa các tổ chức và quốc gia sẽ giúp xây dựng một bức tranh toàn cảnh hơn. Từ đó, có thể phát hiện các liên minh mới nổi này và bảo vệ các tài sản quan trọng khỏi các mối đe dọa mạng phối hợp.
Việc tăng cường an ninh mạng thông qua việc cập nhật liên tục các chiến lược phòng thủ và hợp tác quốc tế là điều cần thiết. Các tổ chức phải luôn cảnh giác trước các chiến thuật phát triển của các nhóm APT để giảm thiểu rủi ro bị xâm nhập. Đây là một cuộc chiến không ngừng nghỉ trong việc bảo vệ dữ liệu và hệ thống quan trọng.
