TA829, còn được biết đến với các tên gọi khác như RomCom, Void Rabisu và Tropical Scorpius, là một nhóm tác nhân đe dọa đang được theo dõi chặt chẽ do khả năng triển khai các chiến thuật, kỹ thuật và quy trình (TTPs) tinh vi. Nhóm này đã được ghi nhận sử dụng một phiên bản cập nhật của backdoor RomCom khét tiếng, nay được đặt tên là SingleCamper (hay còn gọi là SnipBot).
Nhóm TA829 nổi tiếng với sự kết hợp nhuần nhuyễn giữa các chiến dịch tội phạm mạng có động cơ tài chính và các hoạt động gián điệp, thường được cho là liên quan đến lợi ích của nhà nước Nga. Trong suốt năm 2024 và kéo dài đến năm 2025, TA829 đã thể hiện một sự phát triển đáng kể trong quy mô và tính phức tạp của các hoạt động tấn công của mình.
Hoạt Động Gần Đây và Phương Thức Né Tránh Phát Hiện
Các hoạt động gần đây nhất của TA829 đã tái diễn với tần suất gia tăng đáng kể vào tháng 2 năm 2025, sau một thời gian tạm lắng. Những hoạt động này tiết lộ việc nhóm sử dụng chiến lược các quy trình tự động hóa và cơ sở hạ tầng được lấy từ giới tội phạm ngầm. Việc áp dụng các kỹ thuật tự động hóa giúp TA829 mở rộng quy mô tấn công nhanh chóng, đồng thời tăng cường khả năng né tránh các cơ chế phát hiện truyền thống bằng cách liên tục thay đổi các điểm truy cập và dấu vết.
Các chiến dịch phishing của TA829 được đặc trưng bởi việc gửi các email văn bản thuần túy, thường có nguồn gốc từ các bộ định tuyến MikroTik bị xâm nhập hoặc các nhà cung cấp email miễn phí. Những email này được thiết kế để giả mạo các liên kết của OneDrive hoặc Google Drive, nhằm mục đích lừa nạn nhân nhấp vào và khởi đầu chuỗi lây nhiễm. Để tăng cường khả năng che giấu và theo dõi nạn nhân, TA829 tận dụng các bộ chuyển hướng của Rebrandly. Các bộ chuyển hướng này đóng vai trò như một lớp trung gian, dẫn dắt nạn nhân đến các trang đích lừa đảo được kiểm soát bởi kẻ tấn công, đồng thời giúp chúng ẩn mình khỏi các công cụ phân tích lưu lượng mạng và cơ chế phát hiện.
Sự Xuất Hiện của UNK_GreenSec và Backdoor TransferLoader
Song song với quá trình theo dõi các hoạt động của TA829, các nhà nghiên cứu đã phát hiện một chiến dịch tấn công khác có cấu trúc và phương thức hoạt động đáng ngạc nhiên, được quy kết cho một nhóm riêng biệt với tên gọi UNK_GreenSec. Nhóm này được xác định là đang triển khai một loader và backdoor mới, được đặt tên là TransferLoader. Các chiến dịch của UNK_GreenSec thường dẫn đến các lây nhiễm ransomware Morpheus, cho thấy động cơ tài chính rõ rệt.
TTPs Trùng Lặp và Điểm Khác Biệt Giữa Hai Nhóm
Mặc dù được coi là hai nhóm riêng biệt, cả TA829 và UNK_GreenSec đều thể hiện một số TTPs đáng chú ý. Cụ thể, cả hai đều sử dụng dịch vụ REM Proxy trên các bộ định tuyến bị xâm nhập để thực hiện việc gửi email lừa đảo. Việc này cho phép chúng che giấu nguồn gốc thực sự của các email và lợi dụng cơ sở hạ tầng đã bị chiếm đoạt để gửi tin nhắn một cách ẩn danh và khó truy vết.
Ngoài ra, các chiến dịch của cả hai nhóm đều sử dụng các chủ đề mồi nhử tương tự nhau, đặc biệt là xoay quanh các đơn xin việc, nhằm thu hút sự chú ý của các đối tượng mục tiêu. Chúng cũng triển khai các chuỗi chuyển hướng phức tạp, được thiết kế để lọc ra các nhà nghiên cứu bảo mật và môi trường sandbox tự động. Các chuỗi chuyển hướng này giúp đảm bảo rằng chỉ những nạn nhân thực sự mới tiếp cận được các payload độc hại, từ đó làm giảm nguy cơ bị phân tích và phát hiện sớm.
Tuy nhiên, vẫn có những điểm khác biệt rõ ràng giữa TA829 và UNK_GreenSec. Sự khác biệt nằm ở khối lượng mục tiêu, cách thức phân phối payload cụ thể và mức độ trưởng thành của cơ sở hạ tầng. Đáng chú ý, UNK_GreenSec đã được ghi nhận sử dụng Cloudflare để tăng cường khả năng lọc lưu lượng và che giấu cơ sở hạ tầng độc hại của mình. Việc sử dụng các dịch vụ như Cloudflare cho thấy một mức độ tinh vi cao hơn trong việc quản lý cơ sở hạ tầng, có thể gợi ý về sự khác biệt tiềm năng trong nguồn lực hoặc thậm chí là khả năng cả hai nhóm đang chia sẻ cùng một nhà cung cấp dịch vụ ngầm.
Chuỗi Lây Nhiễm Chi Tiết của TA829
Chuỗi lây nhiễm của TA829 rất phức tạp và được tối ưu hóa để đảm bảo sự bền bỉ và né tránh phát hiện. Ban đầu, nhóm sử dụng các loader như SlipScreen và RustyClaw. Các loader này đóng vai trò quan trọng trong việc thiết lập một chỗ đứng ban đầu trên hệ thống của nạn nhân. Để đạt được sự bền bỉ (persistence) và né tránh các công cụ phân tích sandbox, TA829 tận dụng rộng rãi Windows Registry. Việc thao tác với Registry cho phép chúng cấu hình các mục khởi động tự động, ẩn mình trong các khóa Registry hợp pháp, và làm cho việc phát hiện thủ công trở nên khó khăn hơn.
Sau khi thiết lập được chỗ đứng, các loader này sẽ phát tán các payload chính của TA829. Có hai loại payload chính được sử dụng tùy thuộc vào mục tiêu của chiến dịch: DustyHammock và SingleCamper. DustyHammock là một backdoor nhẹ, được thiết kế cho các hoạt động gián điệp cơ bản và thu thập thông tin nhanh chóng. Ngược lại, SingleCamper là một công cụ mạnh mẽ hơn, được sử dụng cho các nhiệm vụ gián điệp phức tạp, đòi hỏi khả năng kiểm soát sâu rộng và thu thập dữ liệu nhạy cảm.
Các công cụ độc hại của TA829 được cập nhật thường xuyên với các crypter mới. Việc này giúp chúng thay đổi dấu hiệu mã của mình liên tục, từ đó làm vô hiệu hóa các cơ chế phát hiện dựa trên chữ ký (static detection mechanisms) của các phần mềm bảo mật. Hơn nữa, việc chúng được viết bằng các ngôn ngữ lập trình hiện đại như Rust và C++ cho thấy cam kết của TA829 trong việc sử dụng các công nghệ tiên tiến để tăng cường khả năng né tránh và chống phân tích. Các ngôn ngữ này cung cấp khả năng kiểm soát cấp thấp, tối ưu hóa hiệu suất và làm cho việc phân tích ngược (reverse engineering) trở nên khó khăn hơn.
Một điểm đáng lo ngại khác là việc TA829 áp dụng các khai thác zero-day trong các chiến dịch gián điệp của mình. Khai thác zero-day là những lỗ hổng chưa được biết đến hoặc chưa được vá bởi các nhà cung cấp phần mềm, cho phép kẻ tấn công thực hiện các cuộc tấn công mà không bị phát hiện. Việc tiếp cận và sử dụng các khai thác zero-day gợi ý về khả năng TA829 được định hướng hoặc thậm chí được tài trợ bởi một thực thể nhà nước, hoặc có khả năng đồng sử dụng các tài nguyên và lỗ hổng từ các nhóm đe dọa khác có nguồn lực dồi dào.
Sự Hội Tụ Giữa Tội Phạm Mạng và Gián Điệp
Sự hội tụ giữa tội phạm mạng và gián điệp trong các hoạt động của TA829 và UNK_GreenSec là một minh chứng rõ ràng cho xu hướng ngày càng phổ biến trong bối cảnh mối đe dọa an ninh mạng. Ranh giới giữa các nhóm tội phạm mạng thông thường và các tác nhân được nhà nước hậu thuẫn ngày càng trở nên mờ nhạt. Điều này phản ánh một thực tế rằng các động cơ tội phạm và các mục tiêu được nhà nước hậu thuẫn đang ngày càng giao thoa, tạo ra một thách thức lớn trong việc phân loại và quy kết các cuộc tấn công.
Vào năm 2025, TA829 đã mở rộng mục tiêu tấn công của mình để bao gồm các lĩnh vực quốc phòng, bên cạnh các nạn nhân tội phạm mạng truyền thống. Sự thay đổi này cho thấy một sự dịch chuyển chiến lược, từ việc chỉ tập trung vào lợi ích tài chính sang việc thu thập thông tin tình báo nhạy cảm. Việc nhóm này sử dụng ShadyHammock và các biến thể SingleCamper được nâng cao, với payload được mã hóa và các khóa riêng biệt cho từng máy chủ, đã nhấn mạnh một chiến lược kép. Mục tiêu của chiến lược này là vừa thực hiện đánh cắp dữ liệu quy mô lớn, vừa triển khai ransomware để tối đa hóa thiệt hại và lợi nhuận. Payload được mã hóa và khóa riêng cho từng máy chủ làm cho việc phát hiện và phục hồi dữ liệu trở nên phức tạp hơn rất nhiều cho các nạn nhân.
Phân Tích Mối Quan Hệ Giữa TA829 và UNK_GreenSec
Phân tích từ các tổ chức tình báo mối đe dọa, như Proofpoint, đã đưa ra những giả thuyết thú vị về mối quan hệ phức tạp giữa TA829 và UNK_GreenSec. Các giả thuyết này đa dạng, từ việc cả hai nhóm có thể chia sẻ cùng một nhà cung cấp cơ sở hạ tầng cho các hoạt động của mình, đến khả năng TransferLoader của UNK_GreenSec có thể là một môi trường thử nghiệm hoặc một công cụ thử nghiệm cho kho vũ khí của TA829. Mối quan hệ tiềm tàng này làm tăng thêm sự phức tạp trong việc theo dõi và phòng chống các mối đe dọa từ những nhóm này, vì chúng có thể học hỏi và chia sẻ TTPs, khiến việc phân biệt trở nên khó khăn hơn.
Yêu Cầu Giám Sát Liên Tục
Mối đe dọa đang phát triển và phức tạp từ các nhóm như TA829 và UNK_GreenSec đòi hỏi phải có sự giám sát liên tục và chặt chẽ. Việc theo dõi sát sao các hoạt động của cả hai nhóm là điều cần thiết để có thêm những hiểu biết sâu sắc về hệ sinh thái liên kết của chúng, các TTPs mới nổi, và các mối liên hệ trực tiếp tiềm tàng. Chỉ thông qua việc giám sát và phân tích liên tục, các tổ chức mới có thể xây dựng các biện pháp phòng thủ hiệu quả, bảo vệ tài sản số và dữ liệu nhạy cảm trước những mối đe dọa ngày càng tinh vi này.
