False flag trong tin tức bảo mật này cho thấy một chiến dịch kết hợp giữa gián điệp và chiếm quyền điều khiển, khi nhóm MuddyWater triển khai Chaos ransomware như lớp ngụy trang để che giấu hoạt động thu thập thông tin, đánh cắp dữ liệu và duy trì hiện diện lâu dài trong hệ thống.
Chiến dịch Chaos ransomware dưới vỏ bọc gián điệp
Trong giai đoạn đầu năm 2026, Rapid7 được gọi vào một vụ xâm nhập tưởng như là sự cố Chaos ransomware thông thường. Tuy nhiên, phân tích pháp chứng cho thấy đây là một chiến dịch có chủ đích, với mức độ tin cậy trung bình, liên kết với MuddyWater.
Nhóm này còn được theo dõi dưới các tên Mango Sandstorm, Seedworm và Static Kitten. Tác nhân bị đánh giá là một Advanced Persistent Threat (APT) có liên hệ với MOIS, nhưng trọng tâm của chiến dịch không phải mã hóa dữ liệu để tống tiền.
Thay vào đó, mục tiêu kỹ thuật là credential harvesting, data exfiltration và persistence. Đây là dấu hiệu điển hình của hoạt động tình báo hơn là tội phạm mạng thuần túy.
False flag và cách che giấu nguồn gốc
Báo cáo của Rapid7 mô tả đây là một chiến lược false flag: kẻ tấn công sử dụng thương hiệu Chaos ransomware-as-a-service (RaaS) để tạo ấn tượng rằng đây là một vụ tống tiền tài chính. Cách tiếp cận này làm lệch hướng quá trình ứng phó sự cố và che khuất các kênh truy cập bền vững phía sau.
Bối cảnh này phù hợp với lỗ hổng CVE theo nghĩa vận hành phòng thủ: không phải lỗ hổng phần mềm, mà là khoảng trống phát hiện do lớp ngụy trang chiến thuật gây ra. Nguồn tham chiếu có thể xem thêm tại NVD khi đối chiếu các chỉ báo và kỹ thuật tấn công tương tự.
Chuỗi xâm nhập ban đầu qua Microsoft Teams
Chiến dịch bắt đầu bằng các lời nhắn ngoài ý muốn gửi tới nhân viên qua Microsoft Teams. Khi liên lạc được thiết lập, tác nhân khởi tạo các phiên chia sẻ màn hình tương tác để quan sát trực tiếp thao tác của nạn nhân.
Từ đó, kẻ tấn công thực thi các lệnh trinh sát cơ bản như sau:
ipconfig /all
whoami
net startCác lệnh CLI này được dùng để xác định cấu hình mạng, danh tính người dùng và các dịch vụ đang chạy. Đây là bước tiền đề phổ biến trong tấn công mạng nhằm đánh giá mức độ kiểm soát của máy bị xâm nhập.
Sau đó, nạn nhân bị yêu cầu nhập thông tin xác thực vào các tệp văn bản cục bộ có tên credentials.txt và cred.txt, đồng thời thêm thiết bị do kẻ tấn công kiểm soát vào cấu hình MFA. Kỹ thuật này nhằm vượt qua xác thực đa yếu tố và mở đường cho xâm nhập trái phép.
Đánh cắp thông tin xác thực và mở rộng truy cập
Rapid7 cho biết sau khi chiếm được thông tin đăng nhập, tác nhân xác thực vào các hệ thống nội bộ, bao gồm cả Domain Controllers. Từ tài khoản đã thu thập, họ triển khai công cụ quản trị từ xa DWAgent và AnyDesk để duy trì quyền truy cập bền vững.
Đây là một mẫu hành vi thường thấy trong mối đe dọa mạng: dùng công cụ hợp pháp cho mục đích quản trị từ xa để giảm khả năng bị phát hiện bởi các cơ chế giám sát truyền thống.
Downloader ms_upd.exe và hạ tầng C2
Tiếp theo, một downloader tùy biến có tên ms_upd.exe được phân phối qua curl từ hạ tầng C2 tại 172.86.126[.]208:443. Downloader này thu thập thông tin máy chủ, tạo mã định danh khách hàng duy nhất và đăng ký nạn nhân với miền moonzonet[.]com.
Sau khi đăng ký, hệ thống tải về ba thành phần:
- WebView2Loader.dll hợp lệ.
- visualwincomp.txt là tệp cấu hình được mã hóa.
- Game.exe là payload chính.
Việc ghép một thành phần hợp lệ với payload độc hại là kỹ thuật che giấu quen thuộc trong các cảnh báo CVE và chiến dịch gián điệp, dù ở đây không có CVE cụ thể được nêu. Mục tiêu là tạo cảm giác hợp pháp và làm khó phân tích động.
Game.exe: RAT giả mạo WebView2
Game.exe là một Remote Access Trojan (RAT) tùy biến, giả mạo ứng dụng Microsoft WebView2 và trojan hóa dự án WebView2APISample. Kỹ thuật ngụy trang này giúp mã độc trông giống thành phần hợp lệ trong môi trường doanh nghiệp.
RAT này có 12 năng lực cốt lõi, gồm:
- Thực thi lệnh tùy ý qua
cmd.exeẩn hoặc phiênPowerShellđược mã hóa. - Tải tệp theo từng khối.
- Thiết lập shell tương tác.
- Xóa tệp theo lệnh.
- Gửi kết quả về C2 tại uploadfiler[.]com qua cổng 443.
Game.exe cũng triển khai sandbox detection, virtual machine detection dựa trên phân tích CPU và lưu cấu hình bằng AES-256-GCM. Tuy nhiên, việc nhiều chuỗi quan trọng như lệnh RAT và định dạng đăng ký JSON vẫn để ở dạng plaintext cho thấy mức độ che giấu chưa đồng đều.
Thông tin hạ tầng và chỉ dấu kỹ thuật
Một chứng chỉ ký mã được phát hành dưới tên Donald Gay bởi Microsoft ID Verified CS AOC CA 02 có thumbprint B674578D4BDB24CD58BF2DC884EAA658B7AA250C là điểm kỹ thuật then chốt làm lộ lớp ngụy trang. Chứng chỉ này được nhiều nhà cung cấp threat intelligence ghi nhận là tài nguyên dùng chung trong bộ công cụ của MuddyWater.
Miền moonzonet[.]com cũng được liên kết với hoạt động tương tự trong đầu năm 2026. Ngoài ra, dấu hiệu sử dụng pythonw.exe để chèn mã vào tiến trình bị treo tiếp tục củng cố chuỗi kỹ thuật đã được quan sát trước đó.
IOC cần theo dõi
Các chỉ dấu sau đây là dữ liệu quan trọng cho phát hiện xâm nhập và điều tra rủi ro bảo mật:
- 172.86.126[.]208:443 — C2 được dùng cho downloader.
- moonzonet[.]com — miền đăng ký nạn nhân và liên quan đến hạ tầng C2.
- uploadfiler[.]com — máy chủ C2 của RAT.
- ms_upd.exe — downloader tùy biến.
- Game.exe — RAT chính.
- DWAgent — công cụ truy cập từ xa được triển khai sau khi chiếm tài khoản.
- AnyDesk — công cụ truy cập từ xa được dùng để duy trì hiện diện.
- credentials.txt, cred.txt — tệp thu thập thông tin đăng nhập.
Liên hệ với Chaos ransomware và bối cảnh đe dọa
Chaos ransomware xuất hiện từ đầu năm 2025 như một hệ sinh thái kế thừa từ hạ tầng BlackSuit bị gián đoạn. Nó được biết đến với chiến thuật double-extortion và triple-extortion, bao gồm đe dọa công bố dữ liệu, DDoS và liên hệ khách hàng của nạn nhân.
Đến cuối tháng 3 năm 2026, nhóm vận hành đã công bố 36 nạn nhân, chủ yếu trong các lĩnh vực xây dựng, sản xuất và dịch vụ kinh doanh tại Hoa Kỳ. Trong bối cảnh này, việc dùng nhãn Chaos ransomware làm vỏ bọc đã chuyển trọng tâm của đội ứng cứu sang triage tống tiền thay vì truy tìm các kênh truy cập bền vững.
Rapid7 cũng ghi nhận rằng cùng nhóm này từng liên hệ với hệ sinh thái Qilin RaaS vào cuối năm 2025. Cách sử dụng thương hiệu ransomware như một lớp ngụy trang là điểm cần lưu ý trong tin bảo mật mới nhất vì nó ảnh hưởng trực tiếp đến quy trình phát hiện và phản ứng.
Các dấu hiệu hành vi cần ưu tiên điều tra
Những hành vi sau được xem là tín hiệu cảnh báo cao trong môi trường an toàn thông tin:
- Lời mời chat bất thường qua Microsoft Teams từ bên ngoài.
- Yêu cầu chia sẻ màn hình và thao tác trực tiếp trên máy người dùng.
- Thực thi các lệnh trinh sát như
ipconfig /all,whoami,net start. - Yêu cầu nhập thông tin xác thực vào tệp văn bản cục bộ.
- Thêm thiết bị lạ vào MFA.
- Xuất hiện
DWAgent,AnyDesk, hoặcpythonw.exetrong luồng truy cập không bình thường. - Kết nối tới 172.86.126[.]208:443, moonzonet[.]com hoặc uploadfiler[.]com.
Trong môi trường giám sát, các chỉ dấu này nên được kết hợp với log xác thực, telemetry tiến trình và lưu lượng mạng để tăng độ chính xác của phát hiện tấn công.
Khía cạnh cần ưu tiên trong điều tra
Trọng tâm không nằm ở việc Chaos ransomware có mã hóa dữ liệu hay không, mà là ở việc liệu hệ thống đã bị mở đường cho đánh cắp dữ liệu, duy trì truy cập và điều khiển từ xa hay chưa. Với mẫu hành vi này, một cập nhật bản vá đơn thuần không đủ; cần rà soát toàn bộ tài khoản, thiết bị MFA, phiên Teams, tiến trình từ xa và luồng C2 đã ghi nhận.
Các chi tiết kỹ thuật nêu trên cho thấy một chiến dịch tấn công mạng có lớp ngụy trang ransomware rõ rệt, trong đó mục tiêu thật sự là hiện diện lâu dài trong hệ thống thay vì mã hóa để đòi tiền chuộc.
