Cuộc tấn công mã độc tống tiền MuddyWater (tấn công giả mạo)

Nhóm tin tặc MuddyWater do nhà nước Iran tài trợ, còn được theo dõi dưới các bí danh như Mango Sandstorm, Seedworm và Static Kitten, đã bị liên kết với một chiến dịch tấn công mã độc tống tiền tinh vi mà các nhà điều tra mô tả là một hoạt động giả mạo. Mặc dù ban đầu vụ xâm nhập có vẻ giống với hoạt động tấn công mã độc tống tiền dưới dạng dịch vụ (RaaS) thông thường sử dụng thương hiệu mã độc tống tiền Chaos, nhưng phân tích sâu hơn đã tiết lộ các đặc điểm phù hợp với một cuộc tấn công mạng có chủ đích do nhà nước tài trợ, được ngụy trang dưới hình thức tống tiền vì mục đích tài chính.

Vụ tấn công, được phát hiện vào đầu năm 2026, chủ yếu dựa vào kỹ thuật thao túng tâm lý thông qua Microsoft Teams. Kẻ tấn công đã tiến hành các phiên tương tác cao độ với nạn nhân, tận dụng chức năng chia sẻ màn hình để thu thập thông tin đăng nhập và thao túng quy trình xác thực đa yếu tố. Sau khi giành được quyền truy cập, các tác nhân đe dọa đã từ bỏ các chiến thuật mã độc tống tiền truyền thống như mã hóa tập tin quy mô lớn và thay vào đó tập trung vào đánh cắp dữ liệu, duy trì quyền truy cập một cách lén lút và truy cập mạng lâu dài thông qua các tiện ích quản lý từ xa.

Kỹ thuật tội phạm mạng được sử dụng để che giấu các hoạt động của nhà nước.

Các nhà nghiên cứu tin rằng chiến dịch này phản ánh nỗ lực có chủ đích của MuddyWater nhằm che giấu nguồn gốc bằng cách sử dụng các công cụ và kỹ thuật thường thấy trong hệ sinh thái tội phạm mạng. Nhóm này ngày càng tích hợp các phần mềm độc hại ngầm và khung truy cập từ xa có sẵn trên thị trường vào hoạt động của mình, bao gồm các công cụ như CastleRAT và Tsundere.

Chiến thuật này phù hợp với các chiến dịch trước đây của MuddyWater, kết hợp hoạt động gián điệp và phá hoại với các hoạt động kiểu mã độc tống tiền. Năm 2020, nhóm này nhắm mục tiêu vào các tổ chức lớn của Israel bằng cách sử dụng trình tải PowGoop để triển khai một biến thể phá hoại của mã độc tống tiền Thanos. Năm 2023, Microsoft liên kết nhóm này với DEV-1084, một tác nhân có liên quan đến nhân vật DarkBit, trong các cuộc tấn công được ngụy trang dưới dạng các vụ mã độc tống tiền. Đến cuối năm 2025, các nhà điều hành có liên hệ với Iran cũng bị nghi ngờ sử dụng mã độc tống tiền Qilin chống lại một bệnh viện của chính phủ Israel.

Các nhà nghiên cứu an ninh kết luận rằng chiến dịch mới nhất có khả năng liên quan đến các đối tượng có liên hệ với Iran, hoạt động thông qua các cơ sở hạ tầng tội phạm mạng đã được thiết lập, nhằm theo đuổi các mục tiêu địa chính trị rộng lớn hơn. Việc sử dụng Qilin và tham gia vào các hệ sinh thái liên kết với phần mềm tống tiền có thể đã cung cấp vỏ bọc hoạt động, khả năng phủ nhận trách nhiệm và tiếp cận các khả năng tấn công tiên tiến, đồng thời giúp những kẻ tấn công né tránh sự giám sát phòng thủ tăng cường của Israel.

Chaos RaaS: Một hệ sinh thái tống tiền đang phát triển

Chaos nổi lên vào đầu năm 2025 dưới hình thức hoạt động Ransomware-as-a-Service (phần mềm tống tiền dưới dạng dịch vụ) nổi tiếng với chiến thuật tống tiền kép hung hăng. Nhóm này quảng bá chương trình liên kết của mình trên các diễn đàn tội phạm mạng ngầm như RAMP và RehubCom và nhanh chóng mở rộng phạm vi hoạt động.

Các chiến dịch tấn công hỗn loạn thường kết hợp việc gửi hàng loạt email, lừa đảo qua điện thoại và tấn công mạo danh Microsoft Teams, trong đó kẻ tấn công giả danh nhân viên hỗ trợ CNTT. Nạn nhân bị lừa cài đặt các ứng dụng truy cập từ xa như Microsoft Quick Assist, cho phép kẻ tấn công thiết lập chỗ đứng trong môi trường doanh nghiệp trước khi leo thang đặc quyền, di chuyển ngang và triển khai mã độc tống tiền.

Nhóm này cũng đã thể hiện những mô hình tống tiền ngày càng hung hăng:

• Tống tiền kép thông qua việc đánh cắp dữ liệu và đòi tiền chuộc.
• Tống tiền ba lần liên quan đến các mối đe dọa tấn công từ chối dịch vụ phân tán (DDoS).
• Chiến thuật tống tiền bốn lớp bao gồm đe dọa liên hệ với khách hàng, đối tác hoặc đối thủ cạnh tranh để gia tăng áp lực lên nạn nhân.

Tính đến tháng 3 năm 2026, Chaos đã gây ra thiệt hại cho 36 nạn nhân trên nền tảng rò rỉ thông tin của mình, hầu hết các tổ chức đều nằm ở Hoa Kỳ. Các lĩnh vực xây dựng, sản xuất và dịch vụ kinh doanh dường như là những ngành bị nhắm mục tiêu nhiều nhất.

Giải phẫu sự xâm nhập

Trong vụ xâm nhập được điều tra, tin tặc đã chủ động bắt đầu các cuộc trò chuyện Microsoft Teams bên ngoài với nhân viên để tạo lòng tin và khuyến khích chia sẻ màn hình. Sau đó, chúng đã lợi dụng các tài khoản người dùng bị xâm phạm để thu thập thông tin, duy trì quyền truy cập, di chuyển ngang và đánh cắp dữ liệu.

Trong khi kết nối với hệ thống của nạn nhân, những kẻ tấn công đã thực thi các lệnh trinh sát, truy cập các tập tin liên quan đến VPN và hướng dẫn người dùng nhập thủ công thông tin đăng nhập vào các tài liệu văn bản được tạo cục bộ. Trong một số trường hợp, AnyDesk đã được cài đặt để tăng cường khả năng truy cập từ xa.

Ngoài ra, các tác nhân đe dọa còn sử dụng Giao thức Máy tính Từ xa (RDP) để tải xuống một tệp thực thi có tên “ms_upd.exe” từ địa chỉ máy chủ bên ngoài 172.86.126.208 bằng tiện ích curl. Sau khi khởi chạy, phần mềm độc hại đã bắt đầu một chuỗi lây nhiễm nhiều giai đoạn được thiết kế để triển khai thêm các thành phần độc hại và thiết lập liên lạc điều khiển và kiểm soát liên tục.

Kho vũ khí phần mềm độc hại đứng sau chiến dịch này.

Chuỗi lây nhiễm bao gồm nhiều thành phần phần mềm độc hại riêng biệt hoạt động cùng nhau để duy trì sự tồn tại và thực thi các lệnh từ xa:

• 'ms_upd.exe' (Stagecomp) đã thu thập thông tin hệ thống và liên hệ với máy chủ điều khiển để tải xuống các phần mềm độc hại phụ bao gồm 'game.exe', 'WebView2Loader.dll' và 'visualwincomp.txt'.
• 'game.exe' (Darkcomp) hoạt động như một phần mềm độc hại truy cập từ xa tùy chỉnh, giả dạng ứng dụng Microsoft WebView2 hợp pháp dựa trên dự án WebView2APISample chính thức.

• Tệp 'WebView2Loader.dll' đóng vai trò là một thành phần phụ thuộc cần thiết cho chức năng WebView2 của Microsoft Edge.

• Tệp 'visualwincomp.txt' chứa dữ liệu cấu hình được mã hóa mà RAT sử dụng để xác định cơ sở hạ tầng điều khiển và kiểm soát.

Sau khi được kích hoạt, phần mềm độc hại truy cập từ xa này liên tục liên lạc với máy chủ điều khiển của nó cứ mỗi 60 giây, cho phép người điều hành thực thi các tập lệnh PowerShell, chạy các lệnh hệ thống, thao tác với các tập tin và tạo các phiên dòng lệnh tương tác.

Bằng chứng liên kết chiến dịch này với MuddyWater

Việc quy kết cho MuddyWater được củng cố nhờ phát hiện chứng chỉ ký mã liên quan đến 'Donald Gay', được sử dụng để ký mẫu phần mềm độc hại 'ms_upd.exe'. Chứng chỉ tương tự trước đây đã được liên kết với phần mềm độc hại MuddyWater, bao gồm cả một biến thể của trình tải xuống CastleLoader được gọi là Fakeset.

Các nhà nghiên cứu lưu ý rằng chiến dịch này cho thấy sự hội tụ đáng kể giữa hoạt động gián điệp do nhà nước tài trợ và các phương thức hoạt động của tội phạm mạng. Việc tích hợp nhận diện mã độc tống tiền, đàm phán tống tiền và các khung phần mềm độc hại có sẵn trên thị trường đã làm phức tạp các nỗ lực xác định nguồn gốc và chuyển hướng sự chú ý của lực lượng phòng thủ sang các hoạt động phản hồi đòi tiền chuộc ngay lập tức thay vì các cơ chế duy trì hoạt động lâu dài được thiết lập thông qua các công cụ truy cập từ xa.

Vì sao vụ tấn công lại nổi bật

Một trong những khía cạnh bất thường nhất của chiến dịch này là sự vắng mặt rõ ràng của việc mã hóa tập tin trên diện rộng mặc dù đã sử dụng các dấu vết của phần mềm tống tiền Chaos. Sự khác biệt này so với hành vi thông thường của phần mềm tống tiền cho thấy rõ ràng rằng thành phần phần mềm tống tiền chủ yếu hoạt động như một hình thức ngụy trang hoặc đánh lạc hướng hoạt động hơn là mục tiêu chính của nhiệm vụ.

Chiến dịch này cũng nêu bật xu hướng ngày càng gia tăng của các nhóm tội phạm mạng Iran trong việc tích hợp các công cụ tội phạm mạng vào các hoạt động do nhà nước chỉ đạo. Bằng cách tận dụng cơ sở hạ tầng ngầm và hệ sinh thái phần mềm độc hại hiện có, các nhóm như MuddyWater có được sự linh hoạt hoạt động lớn hơn, giảm chi phí phát triển nội bộ và làm phức tạp đáng kể các nỗ lực xác định nguồn gốc đối với cả các nhà phòng thủ và các nhà phân tích tình báo.