Các nhóm APT Trung Quốc mở rộng mục tiêu, cập nhật công cụ tấn công mới

Các nhóm tin tặc nhà nước Trung Quốc (APT) được quan sát thấy đang mở rộng danh sách mục tiêu và cập nhật các công cụ độc hại trong các chiến dịch mới. Những hoạt động này vừa tuân theo các mô hình tấn công đã biết, vừa thích ứng với các sự kiện chính trị hiện tại.

Theo báo cáo từ Bitdefender, trong khoảng thời gian từ tháng 12 năm 2025 đến tháng 2 năm 2026, nhóm Salt Typhoon – còn được biết đến với các tên gọi Earth Estries, FamousSparrow, GhostEmperor và UNC2286 – đã nhắm đến một công ty dầu và khí đốt tại Azerbaijan. Được coi là một trong những nhóm APT Trung Quốc hung hăng nhất, chiến dịch này đánh dấu sự chuyển dịch mục tiêu so với hoạt động thường thấy của Salt Typhoon, vốn thường tập trung vào chính phủ, viễn thông và các thực thể công nghệ tại Mỹ, châu Á, Trung Đông và Châu Phi.

Chiến tranh mạng

Sự chuyển hướng mục tiêu này dường như được kích hoạt bởi vai trò ngày càng tăng của Azerbaijan trong an ninh năng lượng của châu Âu. Bitdefender nhận định rằng do sự hết hạn của thỏa thuận trung chuyển khí đốt của Nga qua Ukraine và các gián đoạn gần đây tại Eo biển Hormuz, Azerbaijan đã trở thành đối tác năng lượng chiến lược của các nước châu Âu, đưa quốc gia này vào tầm ngắm của các nhóm APT.

Chiến thuật tấn công của Salt Typhoon

Cuộc xâm nhập gần đây, được quy cho Salt Typhoon với độ tin cậy từ trung bình đến cao, bắt đầu bằng việc khai thác lỗ hổng Microsoft Exchange. Sau đó, tin tặc triển khai web shell, thực thi lệnh, sử dụng kỹ thuật DLL sideloading và cài đặt cửa sau (backdoor).

Vào tháng 12, nhóm tin tặc này đã sử dụng chuỗi khai thác ProxyNotShell để thực thi mã trên máy chủ Exchange, triển khai web shell để thiết lập chỗ đứng vững chắc, và sau đó triển khai phần mềm truy cập từ xa (RAT) tên là Deed thông qua kỹ thuật DLL sideloading đã được cập nhật.

Bảo mật mạng

Cửa sau được ẩn trong một thư mục mạo danh cài đặt hợp pháp của LogMeIn Hamachi, và tính bền bỉ được duy trì thông qua một dịch vụ ngụy trang là LogMeIn Hamachi, tự động khởi động cùng hệ thống. Sau khi xâm nhập máy chủ ban đầu, kẻ tấn công lạm dụng giao thức RDP để truy cập máy chủ thứ hai, đăng nhập vào tài khoản quản trị và triển khai Deed RAT. Sau đó, chúng sử dụng các công cụ Impacket để xâm phạm máy chủ thứ ba.

Tháng sau, sau khi malware bị loại bỏ khỏi ít nhất một máy chủ, tin tặc đã quay lại máy chủ bị xâm nhập ban đầu và triển khai backdoor TernDoor – một cửa trước mà các nhà nghiên cứu bảo mật của Cisco Talos từng liên kết với Salt Typhoon. Đến cuối tháng 2, nhóm APT này tiếp tục truy cập vào môi trường của nạn nhân và cố gắng triển khai lại Deed RAT bằng cùng chuỗi thực thi.

Bitdefender nhận định: "Cuộc xâm nhập này không nên được coi là một sự cố riêng lẻ, mà là một hoạt động bền bỉ và thích ứng được thực hiện bởi một tác nhân liên tục tìm cách giành lại và mở rộng quyền truy cập trong môi trường nạn nhân. Tr qua nhiều đợt hoạt động, cùng một đường dẫn truy cập đã được sử dụng lại, các payload mới được đưa vào và các chỗ đứng mới được thiết lập."

Twill Typhoon tấn công khu vực Châu Á - Thái Bình Dương

Song song với đó, Darktrace quan sát thấy nhóm APT Twill Typhoon (còn gọi là Bronze President, Camaro Dragon, Earth Preta, Mustang Panda và TA416) có liên quan đến Trung Quốc đang nhắm mục tiêu vào các thực thể tại khu vực Châu Á - Thái Bình Dương và Nhật Bản (APJ) từ tháng 9 năm 2025 đến ít nhất là tháng 4 năm 2026.

Nhóm này đã sử dụng kho vũ khí được cập nhật, bao gồm một khung RAT dựa trên .NET dạng module. Nhiều máy chủ bị nhiễm đã được thấy gửi yêu cầu đến các tên miền mạo danh mạng phân phối nội dung (CDN), bao gồm cả dịch vụ của Yahoo và Apple, để tải xuống các tệp nhị phân hợp pháp cùng với các tệp cấu hình .config và DLL độc hại tương ứng.

Quy trình tải xuống này là đặc điểm của các chiến dịch có nguồn gốc Trung Quốc, dẫn đến việc thực thi một khung RAT mới được đặt tên là FDMTP thông qua DLL sideloading. Trong các cuộc tấn công observed vào tháng 9 và tháng 10, các máy chủ bị xâm phạm đã liên tục tải xuống một DLL từ cùng một máy chủ bên ngoài. Vào tháng 4, một hệ thống trong mạng của một tổ chức tài chính đã tải xuống một tệp nhị phân hợp pháp và sau đó liên tục lấy các tệp cấu hình và thành phần DLL.

Kẻ tấn công dựa vào nền tảng lưu trữ Visual Studio và công cụ ClickOnce hợp pháp của Windows để đảm bảo thực thi malware. Payload chính là một khung dạng module dựa vào các plugin khác nhau cho các chức năng backdoor. RAT này hỗ trợ nhận dạng hệ thống, thực thi lệnh, thao tác tác vụ Windows, quản lý tính bền bỉ qua registry, thao tác quy trình hệ thống và truy xuất tệp cũng như lệnh.

Darktrace nhận định: "Các cuộc xâm nhập không phụ thuộc vào một chỗ đứng duy nhất, mà được phân phối trên các thành phần có thể được cập nhật, thay thế hoặc tải lại độc lập. Cách tiếp cận này nhất quán với thủ thuật tổng thể của các nhóm hacker có nguồn gốc Trung Quốc."