Pink: Nhóm tội phạm mạng mới sử dụng cuộc gọi giả mạo để đánh cắp dữ liệu

Pink: Nhóm tội phạm mạng mới sử dụng cuộc gọi giả mạo để đánh cắp dữ liệu

Một thương hiệu tống tiền mới có tên là Pink — có thể là sự thay đổi thương hiệu từ nhóm BlackFile — đang sử dụng các cuộc gọi lừa đảo qua giọng nói (vishing) và giả mảng bộ phận hỗ trợ kỹ thuật (helpdesk) để xâm nhập môi trường IT của các tổ chức, đánh cắp dữ liệu nhạy cảm và đe dọa công bố nếu nạn nhân không trả tiền chuộc.

Đội ngũ Unit 42 của Palo Alto Networks là người đầu tiên phát hiện ra nhóm này, theo dõi chúng dưới mã định danh cluster CL-CRI-1147, cùng với trang web rò rỉ dữ liệu đi vào hoạt động từ ngày 31/5.

Thủ đoạn và Mối liên hệ với BlackFile

Pink sử dụng vishing và mạo danh nhân viên IT để lừa đảo thông tin đăng nhập cũng như mã xác thực đa yếu tố (MFA), sau đó exfiltrate (tấn công xuất) dữ liệu lưu trữ đám mây và dữ liệu sản xuất của doanh nghiệp nhằm tống tiền nạn nhân.

Tuy nhiên, Google Threat Intelligence không chắc chắn đây là một nhóm hoàn toàn mới. Austin Larsen, chuyên gia phân tích mối đe dọa chính tại Google Threat Intelligence Group, cho biết: "Sau khi ngừng hoạt động thương hiệu BlackFile vào tháng 5 năm 2026, chúng tôi đánh giá rằng nhóm này đã tung ra thương hiệu 'Redact' và nay có khả năng đã xuất hiện với tư cách là 'Pink'".

Ông nhận định thêm rằng hoạt động mới này thể hiện các đặc điểm của UNC6671, bao gồm cơ sở hạ thu thập thông tin xác thực tương tự, trang web rò rỉ dữ liệu (DLS) và thông điệp lặp đi lặp lại tuyên bố sẽ 'cải thiện bảo mật' cho các nạn nhân trả tiền. Google cũng xác định các tên miền của Pink do Unit 42 công bố gần đây thuộc về UNC6671.

Tiếp nối chiến thuật của Lapsus$ và Scattered Spider

Dù là nhóm mới hay chỉ là "thay đổi lớp vỏ", các chiến thuật mà Pink sử dụng lại vô cùng quen thuộc. Pink là một trong nhiều nhóm tội phạm sử dụng các thủ thuật kỹ thuật xã hội tinh vi để đánh cắp thông tin đăng nhập của nhân viên, vượt qua MFA và sử dụng quyền truy cập này để đột nhập vào kho lưu trữ đám mây và cơ sở dữ liệu của công ty.

Chiến thuật xâm nhập qua điện thoại này từng được nhóm tội phạm hỗn loạn Lapsus$ làm phổ biến trong làn sóng tống tiền năm 2021 và 2022, nhắm vào các mục tiêu lớn như Nvidia, Microsoft và Okta. Sau đó, Scattered Spider đã tiếp quản ngọn cờ này, nổi tiếng nhất với vụ đánh cắp dữ liệu số tại các sòng bài ở Las Vegas năm 2023. Thậm chí, nhóm này từng khoe rằng chỉ cần một cuộc gọi 10 phút với bộ phận helpdesk là có thể đột nhập vào mạng của MGM.

Trong những năm gần đây, ShinyHunters cũng đã sử dụng kịch bản tương tự để đánh cắp dữ liệu nhạy cảm từ Ticketmaster, AT&T, các khách hàng của Salesforce, cũng như hàng nghìn trường học và đại học sử dụng nền tảng học kỹ thuật số Canvas.

Mối liên hệ với The Com

Mặc dù đã có nhiều vụ bắt giữ diễn ra đối với cả ba nhóm nêu trên, nhưng chúng tiếp tục quay lại tấn công các tổ chức mới. Hầu hết các nhân viên ứng phó sự cố, bao gồm Mandiant của Google và Unit 42, đều liên kết nhiều tập hợp tội phạm này với The Com — một nhóm lỏng lẻo gồm chủ yếu là người nói tiếng Anh, bao gồm nhiều mạng lưới hacker, người đổi SIM và kẻ tống tiền liên kết với nhau. Một số nhóm nhỏ của The Com thậm chí còn cung cấp dịch vụ tội phạm bạo lực ngoài đời thực.

Theo Unit 42, đợt hoạt động tống tiền mới nhất này cũng "có khả năng là một diễn viên liên kết với The Com".

Quá trình tấn công và Chỉ số xâm nhập (IoCs)

Sau khi điều tra "nhiều" cuộc tấn công tống tiền trong vài tháng qua, Unit 42 đã phát hiện ra điều gì đó dẫn họ đến trang web "đánh点名" của Pink.

Vào ngày 1/6/2026, một cuộc đàm phán tống tiền tồn đọng trước đó chưa nhận được phản hồi — được quy cho một nhóm liên quan đến The Com — đã nhận được thông tin liên lạc mới từ một tác nhân đe dọa thông qua tài khoản webmail miễn phí. Tác nhân này đã cung cấp ID qTox mới và trang web rò rỉ liên kết với thương hiệu Pink, nhưng lại tham chiếu đến việc đánh cắp thông tin gần như giống hệt với thông báo tống tiền ban đầu.

Sau khi xâm nhập tài khoản của nạn nhân, tội phạm sẽ lục lọi tìm kiếm dữ liệu công ty và khách hàng có giá trị từ các nền tảng như SharePoint và OneDrive. Sau khi exfiltrate các tệp bị đánh cắp, những kẻ tấn công Pink sử dụng tài khoản nạn nhân bị xâm phạm và tin nhắn nội bộ qua Teams để tống tiền công ty.

Unit 42 cũng liệt kê các tên miền lừa đảo (phishing) sau là chỉ số xâm nhập (IoC):

• passkeyadd[.]compasskeydeploy[.]com
• deploypasskey[.]com

Cùng với ba địa chỉ IP:

• 185[.]178.208[.]153 (lưu trữ tên miền lừa đảo)
• 172[.]93.100[.]252 (truy cập tài khoản bị xâm phạm)
• 96[.]232.20[.]66 (IP proxy residential chịu trách nhiệm tạo email tống tiền)

Ngoài ra, các chuỗi user-agent sau đây được quan sát thấy trong quá trình exfiltrate dữ liệu:

• Microsoft.Graph.Client/5.62.0
• python-requests/2.28.1
• python-requests/2.33.1

Các chuyên gia khuyên những người bảo vệ mạng nên cực kỳ cảnh giác với các cuộc gọi từ bộ phận help desk, cả từ những người tự xưng là nhân viên bị khóa tài khoản công ty lẫn những người mạo nhân viên hỗ trợ triển khai cập nhật MFA bắt buộc hoặc các tình huống khẩn cấp khác.