Sekoia.io’s Threat Detection & Research (TDR) team đã phát hiện và phân tích các hoạt động khai thác lỗ hổng nghiêm trọng. Trong quá trình giám sát lưu lượng nhắm mục tiêu vào các thiết bị biên và ứng dụng hướng internet bằng honeypots, đội ngũ đã ghi nhận dấu vết mạng đáng ngờ vào ngày 22 tháng 7 năm 2025. Các dấu vết này cho thấy một API của router di động đã bị khai thác để thực hiện các chiến dịch smishing qua tin nhắn SMS độc hại chứa URL lừa đảo. Phân tích chi tiết đã được công bố, làm rõ mức độ nghiêm trọng của sự việc.
Phát Hiện Lỗ Hổng API Không Xác Thực Dẫn Đến Smishing Quy Mô Lớn
Các dấu vết tấn công bắt đầu từ cuối tháng 6 năm 2025, ngay sau khi các honeypots được triển khai. Nguồn gốc duy nhất của các cuộc tấn công này là địa chỉ IP 212.162.155[.]38 thuộc AS Podaon SIA. Việc phân tích chỉ ra rằng Bỉ là mục tiêu trọng tâm, với các cuộc tấn công mạo danh các dịch vụ như CSAM và eBox, sử dụng mã quốc gia +32.
Cơ Chế Khai Thác API SMS
Nhật ký từ các honeypots Milesight Industrial Cellular Router đã tiết lộ các yêu cầu POST đến endpoint /cgi với các payload JSON. Các payload này được sử dụng rõ ràng để gửi tin nhắn SMS. Điều này cho thấy kẻ tấn công đã lợi dụng một tính năng API có sẵn trên router để thực hiện việc gửi tin nhắn.
Mặc dù nhật ký cho thấy việc sử dụng cookie xác thực hợp lệ, mật khẩu không thể được giải mã bằng các khóa AES từ các phương pháp khai thác CVE-2023-43261. Điều này cho thấy kẻ tấn công không trực tiếp khai thác lỗ hổng đã biết để lấy thông tin đăng nhập.
Tuy nhiên, các thử nghiệm của đội ngũ đã phát hiện ra rằng nhiều router Milesight cho phép truy cập không xác thực vào các tính năng SMS. Điều này cho phép kẻ tấn công truy xuất dữ liệu hộp thư đến/hộp thư đi hoặc gửi tin nhắn mà không cần xác thực. Đây là một lỗ hổng API không xác thực nghiêm trọng, cho phép kẻ tấn công bỏ qua cơ chế bảo mật.
POST /cgi HTTP/1.1
Host: [Router_IP]
Content-Type: application/json
Content-Length: [length]
{
"method": "query_outbox",
"params": {},
"id": 1
}
// Hoặc để gửi tin nhắn
{
"method": "send_sms",
"params": {
"number": "+32xxxxxxxx",
"content": "[Nội dung tin nhắn smishing]"
},
"id": 1
}Các yêu cầu POST không xác thực tới /cgi sử dụng các tham số như query_outbox hoặc query_inbox sẽ tạo ra các đối tượng JSON chứa dấu thời gian, nội dung tin nhắn, số người nhận và các chỉ báo trạng thái (thành công hoặc thất bại).
Một số lượng lớn các trạng thái “failed” (thất bại) gợi ý rằng kẻ tấn công ban đầu đã thử nghiệm các router với các số điện thoại mà chúng kiểm soát trước khi triển khai các chiến dịch smishing hàng loạt. Đây là một dấu hiệu hoạt động có thể hỗ trợ trong việc phân cụm và phát hiện.
Phạm Vi và Mục Tiêu của Chiến Dịch Smishing
Một tìm kiếm trên Shodan đã xác định được hơn 19.000 Router công nghiệp Milesight bị phơi nhiễm trên internet công cộng. Gần một nửa số này được đặt tại Úc, với Pháp và Thổ Nhĩ Kỳ cũng có số lượng lớn. Trong số 6.643 thiết bị được kiểm tra, 572 cho phép truy cập API không xác thực, nhiều thiết bị đang chạy firmware lỗi thời (32.2.x.x, 32.3.x.x).
Châu Âu chiếm gần một nửa số router dễ bị tổn thương, tạo điều kiện thuận lợi cho việc gửi tin nhắn SMS đáng tin cậy đến các số điện thoại châu Âu và giải thích mục tiêu không cân xứng của khu vực này. Các chiến dịch smishing khai thác lỗ hổng này đã xuất hiện từ tháng 2 năm 2022. Các mẫu SMS được thu thập và phân cụm theo chiến dịch cho thấy tin nhắn hàng loạt đồng thời tới 42.044 số điện thoại Thụy Điển và 31.353 số điện thoại Ý, trong khi các mục tiêu ở Bỉ và Pháp phải đối mặt với các chiến dịch lặp đi lặp lại, riêng biệt.
Chiến Dịch Smishing Cụ Thể Theo Khu Vực
- Bỉ: Các tin nhắn mạo danh CSAM và eBox, đưa ra các thông báo giả mạo yêu cầu sự chú ý ngay lập tức qua các liên kết độc hại.
- Pháp: Các chiến dịch bắt chước các dịch vụ như Ameli, La Poste, GLS và Crédit Agricole, sử dụng các lý do đa dạng từ gia hạn thẻ y tế đến cảnh báo bảo mật ngân hàng.
- Chiến dịch rộng hơn: Các chiến dịch này sử dụng cụm miền
jnsi[.]xyzthuộc AS211860 của Nga, mạo danh các dịch vụ từ Netflix đến Telia, với các script bị làm xáo trộn (GroozaV2) gây khó khăn cho việc phân tích.
Hạ Tầng Kẻ Tấn Công và Kỹ Thuật Lẩn Tránh
Hạ tầng của kẻ tấn công dựa vào các miền được đăng ký thông qua NameSilo và được lưu trữ bởi Podaon SIA. Trong các chiến dịch tập trung vào Bỉ, các miền như csam.ebox-login[.]xyz và ebox.csam-trust[.]xyz đã phân giải thành các IP của Podaon và vẫn đang hoạt động. Các trang lừa đảo kiểm tra môi trường di động thông qua một mã JavaScript tên là detect_device.js để tránh các sandbox trên máy tính để bàn.
Các Chỉ Số Thỏa Hiệp (IOCs)
Dưới đây là danh sách các chỉ số thỏa hiệp liên quan đến các chiến dịch smishing đã được phân tích:
- Địa chỉ IP nguồn:
212.162.155[.]38(AS Podaon SIA) - Tên miền độc hại (tập trung Bỉ):
csam.ebox-login[.]xyzebox.csam-trust[.]xyz
- Tên miền độc hại (chiến dịch rộng hơn): Cụm miền
jnsi[.]xyz(thuộc AS211860 của Nga) - Kịch bản kiểm tra môi trường:
detect_device.js - Script làm xáo trộn: GroozaV2
Khuyến Nghị Người Dùng
Chiến dịch smishing này nhấn mạnh cách thức hạ tầng đơn giản, dễ tiếp cận — các router di động dễ bị tổn thương — có thể bị vũ khí hóa cho các hoạt động smishing quy mô lớn, hiệu quả cao. Bằng cách phân tán việc gửi SMS qua nhiều quốc gia, kẻ tấn công tránh bị phát hiện và duy trì các chiến dịch lừa đảo sinh lời.
Sự cảnh giác liên tục là rất quan trọng: người dùng phải kiểm tra kỹ các tin nhắn không mong muốn, đặc biệt là những tin nhắn có URL rút gọn, ngôn ngữ khẩn cấp hoặc lỗi ngữ pháp. Nhận thức và sự hoài nghi vẫn là tuyến phòng thủ đầu tiên chống lại các mối đe dọa smishing ngày càng phát triển.
