Nghiên cứu bảo mật gần đây đã phát hiện những điểm trùng lặp đáng kể trong hạ tầng tấn công của ShadowSyndicate, còn được Group-IB gọi là Infra Storm, và một số chiến dịch ransomware-as-a-service (RaaS) nổi bật. Từ tháng 7 năm 2022, ShadowSyndicate đã liên kết với các thương hiệu RaaS cấp cao như AlphaV/BlackCat, LockBit, Play, Royal, Cl0p, Cactus và RansomHub, cho thấy một mối đe dọa mạng phức tạp.
Phân tích Hoạt động của ShadowSyndicate
Nhóm ShadowSyndicate được cho là hoạt động như một đơn vị liên kết RaaS hơn là một nhà môi giới truy cập ban đầu (IAB) thuần túy. Nhóm này chia sẻ các điểm tương đồng về chiến thuật, kỹ thuật và quy trình (TTP) với các nhóm xâm nhập như TrickBot, Ryuk/Conti, FIN7 và TrueBot (Silence.Downloader). Các nhóm này có liên quan đến các tác nhân gián điệp mạng của Nga như Evil Corp, có khả năng được chỉ đạo bởi FSB để thực hiện các chiến dịch chống lại các đồng minh NATO. Điều này nhấn mạnh nguy cơ bảo mật từ các nhóm lai (hybrid threat).
Phát hiện Hạ tầng và Dấu Vân Tay SSH
Cuộc điều tra bắt đầu với hai địa chỉ IP quét (91.238.181.225 và 5.188.86.169) cùng thể hiện một dấu vân tay Secure Shell (SSH) chung. Dấu vân tay này là b5:4c:ce:68:9e:91:39:e8:24:b6:e5:1a:84:a7:a1:03. Bằng cách sử dụng các công cụ như Shodan và Fofa, phạm vi điều tra đã mở rộng đến 138 máy chủ. Dấu vân tay này khớp với một TTP đã được Group-IB báo cáo vào tháng 9 năm 2023, cho phép theo dõi liên tục hạ tầng kiên cố của nhóm.
Mối liên kết với các Chiến dịch Tấn công Ransomware và APT
Nghiên cứu đã xác định các điểm trùng lặp vừa phải với chiến dịch khai thác lỗ hổng CVE-2023-4966 (Citrix Bleed) của LockBit 3.0 từ tháng 10 năm 2023. Trong chiến dịch này, các đối tác đã triển khai ransomware LockBit và ThreeAM. Khoảng 40 địa chỉ IP đã giao nhau, bao gồm các beacon Cobalt Strike trên các máy chủ như 147.78.47.226 và 147.78.47.231. Các IP này liên kết với các watermark chỉ đến UAC-0056 (Cadet Blizzard, liên kết với GRU) và các hoạt động của Cl0p khai thác lỗ hổng MOVEit.
Các kết nối khác cũng xuất hiện với Cicada3301, một thương hiệu tiềm năng của BlackCat/ALPHV, chia sẻ các máy chủ exfiltration và khai thác các lỗ hổng CVE-2024-1708/1709 (ScreenConnect). Ngoài ra, Black Basta và Bl00dy ransomware cũng có liên quan. Các mối quan hệ hạ tầng còn mở rộng đến các mối đe dọa dai dẳng cấp cao (APT) do nhà nước tài trợ, bao gồm các tác nhân Trung Quốc thông qua các biến thể backdoor ToneShell và các nhóm Triều Tiên như Andariel (Onyx Sleet) sử dụng ransomware RustDoor và Maui.
Sự trùng lặp với các infostealer như Atomic (AMOS) và Poseidon, được phân phối qua quảng cáo Google giả mạo và mồi nhử DeepSeek LLM, cho thấy vai trò của ShadowSyndicate trong các hệ sinh thái tội phạm mạng rộng lớn hơn. Điều này tiềm năng tạo điều kiện truy cập cho các APT thông qua các botnet brute-force như Brutus.
Theo báo cáo từ Intrinsec (chi tiết báo cáo), các nhà nghiên cứu đánh giá với độ tin cậy vừa phải rằng ShadowSyndicate truy cập vào một mạng lưới các nhà cung cấp hosting “chống đạn” (BPH) tư nhân ở châu Âu. Các nhà cung cấp này thể hiện các đặc điểm của hosting cơ quan tình báo (IAH), được điều hành từ Nga thông qua các thực thể nước ngoài ở Panama, Seychelles và Quần đảo Virgin thuộc Hoa Kỳ. Các BPH này, được ngụy trang dưới dạng dịch vụ VPS, VPN hoặc proxy, đảm bảo khả năng chống gỡ bỏ thông qua các số hệ thống tự trị (ASN) lồng ghép như AS209588 (Flyservers S.A.), AS209132 (Alviva Holding Limited), và AS-Tamatiya (bao gồm 22 ASN). Những mối liên kết này cho thấy sự phức tạp trong hoạt động của ShadowSyndicate và tầm quan trọng của việc cập nhật bản vá thường xuyên.
Các mối liên hệ địa chính trị và Hybrid Threat
Các mối liên hệ với lợi ích của Kremlin, bao gồm các nhà tài phiệt như Mikhail Slipenchuk, nhấn mạnh khả năng liên kết với nhà nước. Các mối liên hệ với độ tin cậy thấp với các hoạt động thao túng và can thiệp thông tin nước ngoài (FIMI), như vụ rò rỉ máy tính xách tay của Hunter Biden qua hunterlap.top, nhằm mục đích ảnh hưởng đến cuộc bầu cử tổng thống Hoa Kỳ năm 2024, làm nổi bật các mối đe dọa lai kết hợp tội phạm mạng với sự gián đoạn địa chính trị.
Hạ tầng này cũng giao cắt với DecoyDog (PupyRAT qua DNS tunneling) và các chiến dịch liên quan đến Amadey loaders và Nitol malware. Tính đến tháng 5 năm 2025, mạng lưới này vẫn hoạt động, liên tục quét tìm lỗ hổng và triển khai payload. Sự tinh vi ở cấp độ sáng tạo của ShadowSyndicate, tận dụng các lỗ hổng zero-day và tài nguyên cấp độ tổ chức, định vị nó như một IAB lai hỗ trợ các APT của Nga, Triều Tiên, và có thể cả Trung Quốc, phản ánh các liên minh chiến trường ở Ukraine.
Chỉ số Nhận dạng Mã độc (IOCs) của ShadowSyndicate
Để hỗ trợ các nỗ lực phát hiện và phòng ngừa các cuộc tấn công ransomware, dưới đây là các chỉ số nhận dạng mã độc (IOCs) quan trọng liên quan đến hạ tầng của ShadowSyndicate:
- Địa chỉ IP quét:
91.238.181.2255.188.86.169
- Dấu vân tay SSH chung:
b5:4c:ce:68:9e:91:39:e8:24:b6:e5:1a:84:a7:a1:03
- Địa chỉ IP của Beacon Cobalt Strike:
147.78.47.226147.78.47.231
- Các số Hệ thống Tự trị (ASN) liên quan đến Bulletproof Hosting:
AS209588(Flyservers S.A.)AS209132(Alviva Holding Limited)AS-Tamatiya(bao gồm 22 ASN)
Thông tin chi tiết về các chiến thuật và kỹ thuật của Black Basta cũng được cung cấp tại đây. Một bài viết khác về sự xáo trộn của RansomHub RaaS sau khi bị truy cập chat của đối tác có thể tham khảo tại đây. Việc giám sát liên tục các IOC và cập nhật hệ thống là cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công mạng.
