Nhóm tác nhân mối đe dọa mạng TAG-144, còn được biết đến với tên gọi Blind Eagle hoặc APT-C-36, đã được liên kết với năm cụm hoạt động riêng biệt. Các hoạt động này diễn ra từ tháng 5 năm 2024 đến tháng 7 năm 2025, chủ yếu nhắm vào các thực thể chính phủ Colombia ở cấp địa phương, thành phố và liên bang.
Tổng quan về Nhóm Tác nhân TAG-144 (Blind Eagle)
Nhóm tấn công mạng này đã hoạt động tích cực từ ít nhất năm 2018. Chúng sử dụng một sự kết hợp tinh vi giữa hoạt động gián điệp mạng và các chiến thuật có động cơ tài chính rõ ràng.
Mục tiêu chính của TAG-144 là đánh cắp thông tin đăng nhập và tiến hành giám sát mục tiêu. Đây là một hình thức phổ biến của mối đe dọa mạng hiện nay, đặc biệt nhắm vào các tổ chức có giá trị cao.
Để thực hiện các mục tiêu này, TAG-144 sử dụng các loại mã độc RAT (Remote Access Trojan) thương mại phổ biến. Các mã độc này bao gồm AsyncRAT, DcRAT, REMCOS RAT, XWorm, và LimeRAT. Việc sử dụng đa dạng mã độc cho thấy khả năng thích ứng của nhóm.
Chiến thuật, Kỹ thuật và Quy trình (TTPs) Nổi bật
Các cụm hoạt động của TAG-144 thể hiện các Chiến thuật, Kỹ thuật và Quy trình (TTPs) chồng chéo nhưng cũng rất đa dạng. Nhóm này thường sử dụng các chuỗi lây nhiễm đa giai đoạn để duy trì quyền truy cập và kiểm soát.
Chúng khai thác triệt để các dịch vụ Internet hợp pháp (LIS) như Discord, GitHub, và Archive.org. Những dịch vụ này được dùng để dàn dựng và lưu trữ tải trọng độc hại, giúp che giấu hoạt động của chúng khỏi các giải pháp bảo mật truyền thống.
Ngoài ra, TAG-144 còn áp dụng kỹ thuật che giấu thông tin (steganography). Mã độc được nhúng trực tiếp vào các tệp hình ảnh, giúp né tránh hiệu quả các cơ chế phát hiện dựa trên chữ ký và phân tích hành vi.
Phân tích Hạ tầng Kỹ thuật và Đối tượng Bị Ảnh hưởng
Phân tích hạ tầng cho thấy việc sử dụng rộng rãi các máy chủ riêng ảo (VPS) và địa chỉ IP từ các nhà cung cấp dịch vụ Internet (ISP) Colombia. Ngoài ra, các nhà cung cấp DNS động như duckdns.org và noip.com cũng được khai thác để duy trì kết nối C2 linh hoạt.
Một số cụm hoạt động tích hợp các dịch vụ VPN như TorGuard để che giấu các hoạt động lệnh và kiểm soát (C2). Điều này tăng cường khả năng ẩn danh và làm phức tạp quá trình truy vết nguồn gốc mối đe dọa mạng, gây khó khăn cho các nhà phân tích.
Để hiểu rõ hơn về hạ tầng và hoạt động của TAG-144, bạn có thể tham khảo nghiên cứu chi tiết từ Recorded Future: TAG-144’s Persistent Grip on South American Organizations.
Đối tượng Bị Ảnh hưởng bởi TAG-144
Dữ liệu nạn nhân cho thấy sự tập trung cao độ vào các tổ chức chính phủ tại Colombia. Ngoài ra, TAG-144 còn tiến hành các cuộc xâm nhập vào các lĩnh vực quan trọng khác.
Các lĩnh vực này bao gồm giáo dục, chăm sóc sức khỏe và năng lượng. Điều này nhấn mạnh sự tập trung khu vực của TAG-144 vào Nam Mỹ, đặc biệt là Colombia, Ecuador, Chile, và Panama, cho thấy mối đe dọa này có phạm vi địa lý rõ ràng.
Các Cụm Hoạt động và Đặc điểm Khai thác của TAG-144
Khả năng phục hồi hoạt động của TAG-144 thể hiện rõ qua sự khác biệt giữa các cụm. Mỗi cụm được tùy chỉnh với hạ tầng và phương pháp triển khai riêng. Tuy nhiên, chúng vẫn duy trì các TTPs cốt lõi của nhóm mối đe dọa mạng này.
Cụm 1 (Tháng 2 – Tháng 7 năm 2025)
- Phụ thuộc vào máy chủ VPN TorGuard để che giấu danh tính và địa điểm thực.
- Sử dụng các tên miền duckdns.org tĩnh với mẫu đặt tên giống thuật toán tạo tên miền (DGA), ví dụ: “envio16-05.duckdns.org”.
- Triển khai các mã độc DcRAT, AsyncRAT, và REMCOS RAT để duy trì quyền kiểm soát hệ thống.
- Khai thác các LIS mới, bao gồm nền tảng lưu trữ miễn phí lovestoblog.com, để lưu trữ các thành phần độc hại.
- Các script PowerShell được mã hóa tải tải trọng độc hại được ẩn bằng steganography từ các hình ảnh JPG trên Archive.org.
- Thường đi kèm với các bình luận tiếng Bồ Đào Nha trong mã, gợi ý khả năng hợp tác hoặc tái sử dụng mã từ các hệ sinh thái tội phạm mạng Brazil. Bạn có thể đọc thêm về cách nhóm Hive0156 (có liên quan đến TAG-144) sử dụng các RAT này tại: Hive0156 Hackers Targeting Government and Military Organizations.
Cụm 2 (Tháng 9 – Tháng 12 năm 2024)
- Sử dụng dịch vụ lưu trữ của AS-COLOCROSSING và VULTR cho hạ tầng C2 của mình.
- Các tên miền được sử dụng thường có chủ đề tiếng Tây Ban Nha, ví dụ: “pesosdepesoslibras.duckdns.org”.
- Triển khai các biến thể AsyncRAT bị bẻ khóa, thường được tìm thấy và lấy từ các kênh Telegram riêng tư.
- Dẫn đến các cuộc lây nhiễm trên các lĩnh vực chính phủ, giáo dục, quốc phòng và bán lẻ, mở rộng phạm vi tác động.
Các Cụm Hoạt động Khác
- Cụm 3: Sử dụng nhà cung cấp dịch vụ Internet (ISP) UNE EPM của Colombia để triển khai AsyncRAT và REMCOS.
- Cụm 4: Kết hợp mã độc với hạ tầng lừa đảo (phishing), mạo danh các ngân hàng như Bancolombia để đánh cắp thông tin tài chính.
- Cụm 5: Sử dụng dịch vụ lưu trữ GLESYS cho mã độc LimeRAT và các tên miền động, cho phép thay đổi nhanh chóng hạ tầng.
Sự chồng chéo trong hạ tầng, như chia sẻ phân giải IP và thông tin liên lạc nạn nhân, xác nhận các cụm này là các khía cạnh liên kết chặt chẽ trong các chiến dịch tổng thể của TAG-144. Điều này cho thấy một chiến lược tấn công mạng toàn diện và phối hợp cao.
Mối liên hệ và Hệ sinh thái Thích ứng
Các mối liên kết sâu hơn với tác nhân đe dọa Red Akodon đã được xác định rõ. Điều này thông qua các kho lưu trữ GitHub được chia sẻ và các tài khoản email chính phủ bị xâm nhập được sử dụng trong các cuộc tấn công spearphishing.
Điều này làm nổi bật hệ sinh thái thích ứng cao của TAG-144. Nhóm này kết hợp các công cụ mã nguồn mở với các crypter tinh vi như HeartCrypt. Đồng thời, chúng áp dụng cả kỹ thuật giới hạn địa lý (geo-fencing) để hạn chế truy cập bên ngoài các khu vực mục tiêu, nâng cao khả năng ẩn mình.
Khuyến nghị Phòng thủ và Giảm thiểu Rủi ro
Để chống lại các mối đe dọa mạng liên tục từ TAG-144, các đội bảo mật cần thực hiện các biện pháp phòng ngừa và phát hiện chủ động sau:
- Thực hiện chặn IP và tên miền từ các máy chủ C2 RAT liên quan ngay lập tức.
- Triển khai các quy tắc phát hiện mạnh mẽ, bao gồm YARA, Sigma, và Snort, để nhận diện các chữ ký và hành vi của mã độc.
- Giám sát liên tục các kết nối dịch vụ Internet hợp pháp (LIS) để phát hiện hoạt động bất thường hoặc lạm dụng.
- Áp dụng các giải pháp lọc email nâng cao để phát hiện và ngăn chặn các cuộc tấn công spearphishing.
- Triển khai giám sát nghiêm ngặt việc rò rỉ dữ liệu để phát hiện kịp thời các nỗ lực đánh cắp thông tin.
- Cập nhật liên tục thông tin tình báo về mối đe dọa để hiểu rõ các TTPs mới nhất của nhóm.
Những biện pháp này là rất quan trọng. Nhóm này thường sử dụng các router bị xâm nhập làm proxy ngược và liên tục nhắm mục tiêu vào các thực thể có giá trị cao. Việc tăng cường an ninh mạng là điều cần thiết để bảo vệ hệ thống khỏi những cuộc tấn công phức tạp này.
Dự báo Xu hướng Tương lai của TAG-144
Trong tương lai, TAG-144 dự kiến sẽ tiếp tục tập trung vào các tài sản chính phủ Colombia. Nhóm này có thể tích hợp các công cụ mới nổi và mở rộng khai thác LIS, tạo ra những mối đe dọa mạng mới và khó lường.
Hoạt động của chúng cũng sẽ làm mờ ranh giới giữa tội phạm mạng và hoạt động gián điệp trong bối cảnh kỹ thuật số đang phát triển của Nam Mỹ. Sự kiên trì này nhấn mạnh nhu cầu tăng cường phòng thủ khu vực và hợp tác quốc tế. Điều này nhằm giảm thiểu các mối đe dọa mạng được điều chỉnh theo từng khu vực như vậy, đảm bảo an toàn thông tin.
