Một tác nhân đe dọa tinh vi, được định danh là TAG-150, đã hoạt động ít nhất từ tháng 3 năm 2025. Nhóm này nổi bật với khả năng phát triển mã độc nhanh chóng, trình độ kỹ thuật cao và một cơ sở hạ tầng đa tầng phức tạp. TAG-150 đã triển khai một số họ mã độc tự phát triển, bao gồm CastleLoader, CastleBot và gần đây nhất là CastleRAT, nhắm mục tiêu vào các tổ chức thông qua các chiến dịch lừa đảo (phishing) và kho lưu trữ giả mạo.
Phân tích Mối đe dọa mạng của TAG-150 và Các Hoạt động Mã độc
TAG-150 lần đầu tiên được biết đến với CastleLoader, một loại trình tải (loader) có khả năng phân phối nhiều loại payload tiếp theo, bao gồm các công cụ đánh cắp thông tin (information stealer) và trojan truy cập từ xa (Remote Access Trojan – RAT). Ngay sau đó, một biến thể loader khác mang tên CastleBot cũng xuất hiện.
Sự phát triển của Mã độc CastleRAT
Vào đầu tháng 8 năm 2025, nhóm Insikt của Recorded Future đã ghi nhận sự xuất hiện của CastleRAT, một trojan truy cập từ xa có sẵn ở cả hai biến thể Python và C. Mã độc này có khả năng thực hiện trinh sát hệ thống, tải xuống và thực thi payload, cùng với các lệnh shell từ xa.
Biến thể C của CastleRAT còn tích hợp các chức năng nâng cao hơn như ghi lại thao tác bàn phím (keylogging), chụp màn hình, tải lên/tải xuống tệp và chấm dứt tiến trình. Điều này phản ánh việc liên tục mở rộng các tính năng của nhóm TAG-150 để tăng cường khả năng tấn công và kiểm soát.
Cơ sở hạ tầng đa tầng của TAG-150
Cơ sở hạ tầng của TAG-150 hoạt động theo mô hình bốn tầng phức tạp, được thiết kế để duy trì sự bền bỉ và khó bị phát hiện:
- Tầng 1: Máy chủ Command-and-Control (C2)
Đây là các máy chủ C2 đối mặt với nạn nhân, được sử dụng cho các họ mã độc như CastleLoader, CastleRAT, SectopRAT và WarmCookie. Các máy chủ này thường được đăng ký qua các nhà cung cấp như NameCheap hoặc TUCOWS và được lưu trữ trên nhiều hệ thống tự trị (AS) khác nhau, với các nhà cung cấp đáng chú ý như servinga GmbH và FEMO IT Solutions. - Tầng 2: Trung gian VPS
Tầng này bao gồm các máy chủ VPS trung gian được truy cập qua giao thức RDP (Remote Desktop Protocol) và được sử dụng để dàn xếp các kết nối đến Tầng 1. - Tầng 3: Các cụm máy chủ hỗ trợ
Tầng 3 gồm hai cụm riêng biệt: một tập hợp các máy chủ VPS chia sẻ chứng chỉ TLS và một địa chỉ IP dân cư của Nga liên lạc qua Tox. Điều này gợi ý khả năng có sự tham gia của các đối tác liên kết hoặc các nhà điều hành thứ hai. - Tầng 4: Lớp dự phòng
Tầng 4 dường như đóng vai trò là lớp dự phòng, với các phiên UDP cổng cao chạy dài hạn liên kết các nút VPS với nhau, đảm bảo khả năng phục hồi của hệ thống C2.
Thông tin chi tiết về cơ sở hạ tầng này đã được Insikt Group công bố trong báo cáo của họ. Để biết thêm thông tin, bạn đọc có thể tham khảo nghiên cứu của Recorded Future tại From CastleLoader to CastleRAT: TAG-150 Advances Operations.
Phương thức Tấn công và Mục tiêu của TAG-150
TAG-150 chủ yếu sử dụng các cuộc tấn công lừa đảo (phishing) theo chủ đề Cloudflare có tên gọi “ClickFix” và các kho lưu trữ GitHub giả mạo để dụ dỗ nạn nhân thực thi các lệnh PowerShell độc hại. Mặc dù tỷ lệ nhấp chuột tổng thể vẫn ở mức khiêm tốn, nhưng gần 29% người dùng tương tác đã bị nhiễm mã độc, điều này nhấn mạnh hiệu quả của chiến dịch.
Dữ liệu tình báo của Recorded Future chỉ ra rằng các mục tiêu của TAG-150 chủ yếu nằm ở Hoa Kỳ, bao gồm cả các cá nhân và có khả năng là các mạng lưới doanh nghiệp. Mặc dù vậy, có rất ít tổ chức đã công khai thừa nhận các vụ vi phạm dữ liệu.
Các công cụ và nền tảng hỗ trợ hoạt động của TAG-150
Ngoài các mã độc độc quyền, TAG-150 còn tận dụng nhiều công cụ và nền tảng của giới tội phạm mạng. Insikt Group đã xác định việc sử dụng Kleenscan để chống phát hiện, mạng Oxen để liên lạc an toàn, các dịch vụ chia sẻ tệp như temp.sh và mega.nz, trang web trao đổi tiền điện tử simpleswap.io, và các diễn đàn ngầm như Exploit Forum.
Các dịch vụ này cho phép TAG-150 lưu trữ payload, ẩn danh lưu lượng truy cập và quản lý cơ sở hạ tầng C2 của mình. Phạm vi dữ liệu thu thập đã được mở rộng để bao gồm thành phố, mã ZIP và các chỉ báo về việc liệu địa chỉ IP có liên quan đến VPN, proxy hay nút Tor hay không.
Phòng thủ và Đối phó với TAG-150
Để bảo vệ hệ thống trước các hoạt động của TAG-150, các nhóm bảo mật nên thực hiện các biện pháp sau:
- Theo dõi và Phát hiện: Giám sát liên tục các hoạt động mạng để phát hiện các dấu hiệu xâm nhập hoặc hành vi bất thường liên quan đến mã độc của TAG-150.
- Cập nhật hệ thống: Đảm bảo tất cả các hệ thống và ứng dụng được vá lỗi và cập nhật thường xuyên để giảm thiểu các lỗ hổng có thể bị khai thác.
- Nâng cao nhận thức: Đào tạo người dùng về các mối đe dọa lừa đảo (phishing) và các phương pháp tấn công phi kỹ thuật khác mà TAG-150 sử dụng.
- Kiểm soát truy cập: Áp dụng các nguyên tắc đặc quyền tối thiểu và xác thực đa yếu tố để hạn chế thiệt hại nếu xảy ra xâm nhập.
- Sử dụng Threat Intelligence: Tích hợp thông tin tình báo về mối đe dọa từ các nguồn đáng tin cậy để hiểu rõ hơn về các kỹ thuật, chiến thuật và quy trình (TTP) của TAG-150.
Phụ lục A của báo cáo Insikt Group cung cấp một danh sách đầy đủ các Chỉ số xâm nhập (Indicators of Compromise – IoCs). Trong khi đó, Phụ lục C-E đưa ra các quy tắc phát hiện cho các nền tảng SIEM (Security Information and Event Management) và Endpoint (EDR/EPP).
Tiềm năng Phát triển và Khuyến nghị Tương lai
Sự linh hoạt và sẵn sàng phát triển mã độc mới của TAG-150 cho thấy khả năng công cụ của chúng sẽ tiếp tục mở rộng. Insikt Group dự đoán sẽ có thêm các cải tiến về khả năng tàng hình và né tránh, có thể thông qua các dịch vụ chống phát hiện tiên tiến.
Với khả năng thích ứng cơ sở hạ tầng của TAG-150, cũng có nguy cơ các công cụ của chúng sẽ được cung cấp dưới dạng Malware-as-a-Service (MaaS), cho phép các đối tác liên kết bên thứ ba triển khai. Các chuyên gia bảo mật cần cảnh giác, liên tục giám sát sự phát triển của cơ sở hạ tầng TAG-150 và áp dụng các biện pháp phòng thủ chủ động để giảm thiểu mối đe dọa từ tác nhân mới nổi này. Insikt Group sẽ tiếp tục theo dõi các hoạt động của TAG-150, báo cáo những diễn biến mới và cập nhật các chiến lược phát hiện phù hợp.
