Tin tức bảo mật mới từ phân tích của LogPresso cho thấy một chiến dịch spear-phishing nhiều nhánh đã được triển khai trong nửa đầu năm 2025, nhắm vào nhiều nhóm nạn nhân khác nhau. Điểm chung của các chiến dịch là dùng file mồi để thiết lập foothold, duy trì persistence và mở kênh điều khiển từ xa.
Chuỗi tấn công trong các chiến dịch spear-phishing
Phân tích mô tả bốn chiến dịch riêng biệt nhưng có cùng logic vận hành: hiển thị tài liệu mồi, thả payload độc hại âm thầm, thiết lập persistence, rồi tạo kênh remote control. Mục tiêu là giành quyền kiểm soát hệ thống mà không kích hoạt cảnh báo sớm.
Các nạn nhân được nhắm tới gồm recruiters, nhà đầu tư và nhà phát triển tiền mã hóa, quan chức thuộc lĩnh vực quốc phòng, và quản trị viên trường sau đại học. Nội dung mồi được thay đổi theo từng nhóm để tăng độ tin cậy của file đính kèm.
Giả mạo nội dung theo từng nhóm mục tiêu
- Recruiters nhận hồ sơ xin việc và danh thiếp giả.
- Người dùng crypto bị dụ bằng nội dung liên quan đến meme coin trên Solana.
- Nhóm quốc phòng nhận tài liệu gắn với một cuộc thi khoa học và quản lý tác chiến.
- Nhân viên đại học nhận tài liệu nhập học giả mạo.
Mục tiêu kỹ thuật xuyên suốt là khiến nạn nhân mở file và cấp cho mã độc điểm bám ban đầu trên hệ thống bị xâm nhập.
Phân tích kỹ thuật về lỗ hổng CVE và hành vi khai thác
Không có tham chiếu lỗ hổng CVE cụ thể trong nội dung gốc. Thay vào đó, chuỗi xâm nhập khai thác hành vi người dùng và cơ chế thực thi hợp lệ của Windows. Đây là một cảnh báo CVE theo nghĩa vận hành, nhưng không phải khai thác CVE đã định danh.
Hành vi đáng chú ý nằm ở cách file mồi được đóng gói. Ba trong bốn chiến dịch dùng LNK giả dạng PDF. Khi mở file, payload được tách thành hai phần: một phần hiển thị tài liệu mồi, phần còn lại tạo file LNK thứ hai trong thư mục khởi động để duy trì persistence.
Cơ chế thực thi của file JSE
Chiến dịch thứ tư dùng file JSE với đuôi kép .hwpx.jse. Do Windows thường ẩn phần mở rộng, nạn nhân nhìn thấy như một tài liệu HWP hợp lệ. Sau khi mở, script giải mã DLL ẩn bằng công cụ certutil và nạp qua rundll32.exe.
certutil -decode input.b64 output.dll
rundll32.exe output.dll,EntryPointViệc dựa vào lệnh CLI và binary hợp lệ khiến chuỗi thực thi khó bị chặn bởi các cơ chế chỉ dựa trên danh tiếng file.
Chuỗi tấn công và kỹ thuật né tránh phát hiện
Trong vòng chưa đầy năm phút sau khi mở file mồi, mã độc đã thực hiện các bước sau: vô hiệu hóa Windows UAC, thêm ngoại lệ cho Microsoft Defender, và tự gắn vào Task Scheduler để tồn tại qua khởi động lại. Đây là dấu hiệu rõ của remote code execution hậu khai thác, dù điểm vào ban đầu không phải RCE truyền thống.
Theo báo cáo, việc chặn theo từng IOC riêng lẻ có nhiều hạn chế. Phòng thủ cần bao phủ toàn bộ chuỗi hành vi, từ file mồi đến persistence và C2.
Hạ tầng điều khiển và kênh liên lạc
Chiến dịch sử dụng nhiều dịch vụ hợp lệ cho command-and-control. GitHub raw APIs, Microsoft CDN và VSCode tunnels được tận dụng để hòa lẫn với lưu lượng bình thường và giảm hiệu quả của công cụ dựa trên danh tiếng mạng.
Trong một trường hợp, máy chủ riêng nelark.icu đóng vai trò C2; trong trường hợp khác, lưu lượng được chuyển qua yespp.co.kr. Các nền tảng này được dùng như lớp trung gian để che giấu hạ tầng thật.
Thông tin kỹ thuật chi tiết có thể đối chiếu thêm tại báo cáo gốc trên LogPresso: https://logpresso.com/ko/blog/2026-05-15-1Q-Kimsuky-report.
IOC cần theo dõi
Nội dung gốc có nhắc đến IOC, nhưng không cung cấp danh sách đầy đủ theo định dạng phân tách. Các IOC xuất hiện trực tiếp trong bài gồm:
- nelark.icu – máy chủ C2.
- yespp.co.kr – điểm trung chuyển dữ liệu.
- GitHub raw APIs – kênh phân phối payload và thu thập dữ liệu.
- Microsoft CDN – kênh phát tán file.
- VSCode tunnels – kênh truy cập từ xa bền vững.
- .hwpx.jse – file đuôi kép dùng trong mồi nhử.
- LNK giả dạng PDF – file thực thi ban đầu.
Với IOC dạng domain và URL, cần refang chỉ trong môi trường kiểm soát như MISP, VirusTotal hoặc SIEM. CISA và NVD là các nguồn tham chiếu phù hợp cho quy trình đối chiếu thông tin mối đe dọa và threat intelligence.
Tham khảo thêm: https://www.cisa.gov/
Điểm nổi bật về persistence và phòng vệ
Một đặc điểm lặp lại trong các chiến dịch là khả năng né tránh phát hiện ngay từ giai đoạn đầu. Sau khi mở file mồi, hệ thống bị xâm nhập có thể bị chỉnh sửa UAC, thêm ngoại lệ Defender và tạo tác vụ tự động trong Task Scheduler. Đây là tổ hợp hành vi thường dùng để duy trì quyền điều khiển lâu dài.
Các cơ chế phòng vệ dựa trên hash hoặc chặn domain đơn lẻ không đủ hiệu quả vì hạ tầng bị xoay vòng nhanh. Cần giám sát theo hành vi, đặc biệt là các chuỗi: LNK hoặc JSE đuôi kép, tác vụ scheduler bất thường, và thay đổi cấu hình bảo mật không có lý do hành chính rõ ràng.
Hành vi cần giám sát trong hệ thống
- File LNK hoặc JSE được ngụy trang thành PDF hoặc HWP.
- Xuất hiện thư mục khởi động có file shortcut mới.
- Lệnh
certutilvàrundll32.exeđược gọi ngoài luồng bình thường. - Windows UAC bị vô hiệu hóa trái với chính sách quản trị.
- Defender được thêm ngoại lệ bất thường.
- Tác vụ Task Scheduler mang tên giống OneDrive hoặc Intel services nhưng không khớp hành vi chuẩn.
Ý nghĩa đối với phát hiện xâm nhập
Chuỗi này cho thấy phát hiện xâm nhập phải dựa vào tương quan hành vi thay vì chỉ IOC tĩnh. Khi payload đi qua GitHub, Microsoft CDN hoặc VSCode tunnels, lưu lượng có thể trông hợp lệ với công cụ giám sát truyền thống.
Do đó, IDS và các hệ thống phát hiện tấn công nên kết hợp telemetry từ endpoint, thay đổi registry, tác vụ định kỳ, lệnh thực thi hợp lệ nhưng bất thường, và dấu hiệu tải DLL từ file script. Trong bối cảnh an toàn thông tin, việc theo dõi chuỗi thực thi đầy đủ có giá trị hơn nhiều so với chặn từng domain riêng lẻ.
Về góc độ mối đe dọa mạng, đây là mô hình spear-phishing có mức độ thích nghi cao, sử dụng file mồi khác nhau nhưng cùng một quy trình: thả payload, thiết lập persistence, rồi mở kênh điều khiển từ xa. Vì vậy, chiến lược bảo mật thông tin cần tập trung vào hành vi, tiến trình con, và thay đổi cấu hình hệ thống thay vì chỉ dựa trên danh sách đen.
