Tin tức bảo mật về vụ dẫn độ Xu Zewei làm nổi bật một chiến dịch tấn công mạng kéo dài, liên quan đến các cuộc xâm nhập nhắm vào tổ chức nghiên cứu, đơn vị pháp lý và hệ thống doanh nghiệp dùng Microsoft Exchange Server. Theo hồ sơ vụ án, các hoạt động này diễn ra từ tháng 2/2020 đến tháng 6/2021, trùng với giai đoạn HAFNIUM bị theo dõi rộng rãi trong cộng đồng an ninh mạng.
Diễn biến vụ việc và phạm vi truy tố
Xu Zewei, 34 tuổi, đã được dẫn độ từ Italy sang Hoa Kỳ và xuất hiện trước Tòa án Liên bang tại Houston, Texas, vào ngày 27/04/2026. Cáo trạng liên bang gồm 9 tội danh, tập trung vào chuỗi computer intrusions thực hiện trong giai đoạn 2020–2021.
Tài liệu tố tụng cho thấy Xu bị cáo buộc hành động theo chỉ đạo của Ministry of State Security (MSS), cụ thể là Shanghai State Security Bureau (SSSB). Trong thời điểm đó, Xu làm việc cho Shanghai Powerock Network Co. Ltd., một doanh nghiệp công nghệ tư nhân bị mô tả là đơn vị “enabling” hỗ trợ che giấu vai trò trực tiếp của nhà nước trong các hoạt động mạng.
Liên hệ với HAFNIUM và Silk Typhoon
Theo Bộ Tư pháp Hoa Kỳ, các hoạt động bị cáo buộc của Xu là thành phần cốt lõi của HAFNIUM campaign, hiện được ngành bảo mật theo dõi rộng rãi dưới tên Silk Typhoon. Một số nguồn tham chiếu công khai có thể xem tại Justice Department và NVD để đối chiếu thông tin kỹ thuật liên quan.
HAFNIUM được ghi nhận đã ảnh hưởng đến hơn 12.700 tổ chức tại Hoa Kỳ, trải rộng từ cơ sở học thuật đến lĩnh vực dịch vụ pháp lý và các thực thể liên quan cơ quan công quyền. Đây là một cảnh báo CVE theo nghĩa vận hành, vì các đợt xâm nhập xoay quanh việc khai thác lỗ hổng đã biết trên nền tảng phổ biến.
Chuỗi xâm nhập ban đầu
Giai đoạn đầu của chiến dịch nhắm vào các trường đại học tại Hoa Kỳ, cùng với nhà nghiên cứu virus học và miễn dịch học làm việc về vaccine, phương pháp điều trị và xét nghiệm COVID-19. Ngày 19/02/2020, Xu được cho là đã xác nhận với một sĩ quan SSSB rằng ông ta đã xâm nhập thành công vào mạng của một trường đại học nghiên cứu tại Southern District of Texas.
Sau đó, sĩ quan này chỉ đạo Xu truy cập các tài khoản email cụ thể của những nhà khoa học đang nghiên cứu COVID-19. Xu tiếp tục xác nhận rằng đã trích xuất toàn bộ nội dung hộp thư và báo cáo kết quả về cho người chỉ huy. Ở góc độ rủi ro bảo mật, đây là mô hình đánh cắp dữ liệu có chủ đích, không phải hoạt động tấn công ngẫu nhiên.
Khai thác Microsoft Exchange Server và web shell
Từ cuối năm 2020, nhóm của Xu chuyển sang khai thác các lỗ hổng CVE đã biết trên Microsoft Exchange Server, nền tảng email doanh nghiệp được triển khai rộng rãi. Sau khi đạt được quyền truy cập ban đầu, họ cài web shell lên máy chủ bị xâm nhập để duy trì truy cập từ xa bền vững.
Web shell là một script độc hại cho phép điều khiển máy chủ thông qua trình duyệt web, giúp kẻ tấn công tiếp tục thao tác mà không cần tạo thêm dấu hiệu xâm nhập mới. Trong phân tích forensics, các web shell này được liên kết với HAFNIUM ở thời điểm đó, hỗ trợ việc quy kết kỹ thuật.
Tác động hệ thống
- Chiếm quyền điều khiển từ xa trên máy chủ Exchange đã bị khai thác.
- Xâm nhập trái phép vào hộp thư và dữ liệu trao đổi nội bộ.
- Rò rỉ dữ liệu nhạy cảm từ email của nhà nghiên cứu và luật sư.
- Thiết lập truy cập dai dẳng bằng web shell.
Hành vi tìm kiếm và dấu vết điều tra
Những nạn nhân trong giai đoạn này gồm một trường đại học khác tại Texas và một hãng luật toàn cầu có văn phòng tại Washington, D.C. Bên trong hệ thống của hãng luật, nhóm tấn công tìm kiếm hộp thư bằng các từ khóa như “Chinese sources”, “MSS” và “HongKong”, cho thấy mục tiêu là thu thập tình báo hơn là kiếm lợi tài chính.
Trong tháng 4/2021, Bộ Tư pháp đã thực hiện chiến dịch được tòa án cho phép để gỡ bỏ hàng trăm web shell còn tồn tại trên các hệ thống tại Hoa Kỳ. Đến tháng 7/2021, Hoa Kỳ và các nước đồng minh chính thức quy kết chiến dịch HAFNIUM cho MSS.
IOC và dấu hiệu liên quan
Nội dung nguồn không cung cấp IOC dạng hash, IP hay domain cụ thể. Các dấu hiệu quan sát được chủ yếu là chuỗi hành vi và từ khóa tìm kiếm trong hộp thư.
- HAFNIUM
- Silk Typhoon
- Powerock
- “Chinese sources”
- “MSS”
- “HongKong”
- Web shell trên máy chủ Microsoft Exchange Server
Phát hiện và quy kết kỹ thuật
Một phần quan trọng của quá trình phát hiện xâm nhập là việc đối chiếu thời gian, mục tiêu và công cụ. Theo mô tả trong hồ sơ, chiến dịch ban đầu nhắm vào nghiên cứu COVID-19, sau đó chuyển sang khai thác lỗ hổng trong Exchange Server và triển khai web shell để duy trì hiện diện.
Trong bối cảnh threat intelligence, việc nhóm tấn công lạm dụng hệ thống email doanh nghiệp để tìm kiếm chủ đề liên quan đến nhà nước và khu vực địa lý cụ thể là tín hiệu rõ ràng của hoạt động do thám. Đây cũng là lý do chiến dịch được liên kết với HAFNIUM/Silk Typhoon trong các nguồn theo dõi công khai.
Thông tin tố tụng liên quan
- Đối tượng bị dẫn độ: Xu Zewei, 34 tuổi.
- Số tội danh: 9.
- Khung thời gian hoạt động: 02/2020 đến 06/2021.
- Tòa án: U.S. District Court, Houston, Texas.
- Đơn vị điều tra: FBI Houston Field Office.
Khuyến nghị vá lỗi và kiểm tra hệ thống
Vì chiến dịch gắn với lỗ hổng zero-day và các lỗ hổng CVE đã biết trong Microsoft Exchange Server, ưu tiên là cập nhật bản vá, rà soát web shell và kiểm tra dấu hiệu tồn tại dai dẳng trên máy chủ mail. Các hệ thống có Exchange cần đối chiếu trạng thái vá lỗi với tài liệu hãng và thông báo an ninh từ nguồn chính thống.
Tham khảo thêm tài liệu vá lỗi và advisory tại CISA để đối chiếu mức độ ảnh hưởng, khuyến nghị khắc phục và các dấu hiệu liên quan. Với môi trường vận hành có Exchange, việc kiểm tra nhật ký, file bất thường và nội dung web root là bước cần thiết để phát hiện tấn công sớm.
Điểm cần chú ý khi rà soát
- Kiểm tra thư mục web root của Exchange để phát hiện web shell.
- Đối chiếu nhật ký truy cập email và xác thực bất thường.
- Rà soát các truy vấn hộp thư theo từ khóa nhạy cảm.
- Xác minh bản vá bảo mật đã được áp dụng đầy đủ.
