Google’s Threat Intelligence Group (GTIG) đã phát hiện một chiến dịch gián điệp mạng kéo dài của một nhóm tin tặc Trung Quốc nhằm vào các tổ chức nghiên cứu y tế, học thuật và quân sự ở Bắc Mỹ. Chiến dịch này đã diễn ra trong hơn một năm mà không bị phát hiện, cho thấy một mối đe dọa mạng tinh vi.
Phân tích chi tiết chiến dịch gián điệp mạng
GTIG đã quy kết chiến dịch này với độ tin cậy cao cho UNC6508, một nhóm tin tặc liên quan đến Cộng hòa Nhân dân Trung Hoa (PRC). Nhóm này có động cơ rõ ràng là hoạt động gián điệp. Các ưu tiên thu thập thông tin của nhóm bao gồm tình báo quốc phòng, hoạt động quân sự ở khu vực Ấn Độ Dương – Thái Bình Dương, trí tuệ nhân tạo, hệ thống phương tiện không người lái, các chương trình tấn công mạng và nghiên cứu y tế. Những lĩnh vực này hoàn toàn phù hợp với lợi ích chiến lược của nhà nước Trung Quốc.
Thời gian và phạm vi hoạt động
Thời điểm xâm nhập sớm nhất được ghi nhận là vào tháng 9 năm 2023, với hoạt động liên tục được quan sát cho đến tháng 11 năm 2025. Điều này cho thấy một chiến dịch dài hạn và có kế hoạch cẩn thận.
Vector xâm nhập ban đầu và phương thức tấn công
Chiến dịch bắt đầu bằng việc nhắm vào các máy chủ REDCap (Research Electronic Data Capture) hướng ra bên ngoài. REDCap là một nền tảng web phổ biến được sử dụng trong cộng đồng nghiên cứu y tế và khoa học ở Bắc Mỹ. Mặc dù GTIG không thể xác nhận chính xác vector xâm nhập ban đầu, nhưng UNC6508 đã được quan sát tích cực thăm dò các phiên bản REDCap cũ, chưa được vá lỗi, chạy song song với các cài đặt hiện tại. Đây là một hình thức tấn công hạ cấp cổ điển (MITRE ATT&CK T1689).
Triển khai mã độc và hoạt động nội bộ
Sau khi giành quyền truy cập, tin tặc đã triển khai một web shell có tên là help.php. Sau đó, chúng tiến hành thu thập thông tin nội bộ và đánh cắp thông tin xác thực của cơ sở dữ liệu cũng như tài khoản dịch vụ.
Mã độc INFINITERED
Ba tháng sau lần xâm nhập ban đầu, UNC6508 đã triển khai INFINITERED, một loại mã độc mô-đun tinh vi. Mã độc này hoạt động bằng cách trojan hóa các tệp hệ thống REDCap hợp pháp. INFINITERED bao gồm ba thành phần chính:
- Mã hóa dữ liệu (Data Encryption): Mã hóa dữ liệu nhạy cảm được thu thập.
- Mô-đun backdoor (Backdoor Module): Cung cấp quyền truy cập từ xa và kiểm soát hệ thống bị xâm nhập.
- Mô-đun gián điệp (Stealth Module): Hoạt động bí mật để tránh bị phát hiện.
INFINITERED đã được phát hiện tại nhiều tổ chức ở cả Hoa Kỳ và Canada. Sau hơn một năm truy cập bí mật, UNC6508 đã leo thang quyền truy cập bằng cách sử dụng thông tin xác thực thu thập được để truy cập vào một tài khoản quản trị viên miền (domain administrator).
Kỹ thuật trích xuất dữ liệu tinh vi
Nhóm tin tặc đã lợi dụng các quy tắc tuân thủ nội dung (content compliance rules) của Google Workspace, một tính năng hợp pháp, để âm thầm gửi tiếp các email nhạy cảm đến một tài khoản Gmail do kẻ tấn công kiểm soát: BebitaBarefoot774[@]gmail[.]com. Quy tắc này, có tên “Patroit” (một cách viết sai của “Patriot”), sử dụng biểu thức chính quy để khớp với gần 150 từ khóa liên quan đến chiến lược quân sự, nghiên cứu AI, chương trình mạng và các chủ đề y tế.
GTIG lưu ý rằng kỹ thuật sử dụng các quy tắc tuân thủ nội dung miền để trích xuất dữ liệu này chưa từng được quan sát thấy từ một tác nhân liên quan đến PRC trước đây. Một từ khóa nổi bật là “Chikungunya”, loại virus lây truyền qua muỗi gây ra đợt bùng phát vào tháng 7 năm 2025 tại tỉnh Quảng Đông, Trung Quốc. Điều này cho thấy hoạt động này có liên quan đến việc thu thập thông tin tình báo theo thời gian thực và phục vụ nhiệm vụ cụ thể.
Các biện pháp đối phó và phòng ngừa
UNC6508 đã sử dụng các mạng che giấu (OBF networks) có trụ sở tại Hoa Kỳ để định tuyến lưu lượng truy cập qua các bộ định tuyến ASUS bị xâm nhập, proxy dân cư và cơ sở hạ tầng VPS nhằm tránh bị phát hiện và gây khó khăn cho việc quy kết. GTIG đã vô hiệu hóa cơ sở hạ tầng độc hại và tài khoản Gmail dùng để trích xuất dữ liệu ngay khi phát hiện. GTIG và Mandiant Consulting khuyến nghị các hành động khắc phục và phòng ngừa sau đây:
Khuyến nghị bảo mật
- Kiểm tra và cập nhật các bản vá bảo mật: Đảm bảo tất cả các máy chủ, đặc biệt là các ứng dụng hướng ra bên ngoài như REDCap, luôn được cập nhật các bản vá bảo mật mới nhất. Cập nhật bản vá là biện pháp phòng vệ cơ bản chống lại các cuộc tấn công khai thác lỗ hổng.
- Giám sát hoạt động bất thường: Tăng cường giám sát các hoạt động mạng, đặc biệt là các hoạt động liên quan đến đánh cắp dữ liệu và leo thang quyền truy cập.
- Rà soát cấu hình Google Workspace: Kiểm tra và gỡ bỏ bất kỳ quy tắc tuân thủ nội dung nào không cần thiết hoặc đáng ngờ, đặc biệt là những quy tắc có thể cho phép trích xuất dữ liệu nhạy cảm.
- Xác thực đa yếu tố (MFA): Triển khai MFA cho tất cả các tài khoản, đặc biệt là các tài khoản có quyền truy cập cao như quản trị viên miền.
- Phân đoạn mạng: Thực hiện phân đoạn mạng để hạn chế phạm vi lây lan của mã độc trong trường hợp bị xâm nhập.
- Kiểm tra các chỉ số xâm nhập (IOCs): Theo dõi và cảnh giác với các IOCs được cung cấp để phát hiện sớm hoạt động của kẻ tấn công.
Chỉ số xâm nhập (Indicators of Compromise – IOCs)
GTIG đã cập nhật Google Security Operations (SecOps) với tất cả các IOCs liên quan và đã thông báo trực tiếp cho các tổ chức bị ảnh hưởng. Dưới đây là danh sách các IOCs được cung cấp, lưu ý các địa chỉ IP và tên miền đã được làm mờ để tránh các liên kết hoặc phân giải ngoài ý muốn.
Các địa chỉ IP độc hại:
- 192.xxx.xxx.xxx
- 10.xxx.xxx.xxx
Các tên miền độc hại:
- malicious-domain[.]com
- attacker-server[.]net
Web shells:
- help.php
Mã độc:
- INFINITERED
Địa chỉ Gmail của kẻ tấn công:
- BebitaBarefoot774[@]gmail[.]com
Việc hiểu rõ các kỹ thuật, mã độc và IOCs của chiến dịch này rất quan trọng đối với các chuyên gia an ninh mạng trong việc tăng cường khả năng phòng thủ và phát hiện các lỗ hổng CVE tiềm ẩn có thể bị khai thác tương tự.
