Ảnh minh họa. Internet

Hai nhà nghiên cứu Daniil Grigoryan và Varvara Koloskova của công ty an ninh mạng Positive Technologies cho biết trong một báo cáo: "APT31 thực hiện các cuộc tấn công với mục đích gián điệp và được chuẩn bị kỹ lưỡng, có thời gian ẩn nấp lâu dài. Từ 2024 đến 2025, các công ty CNTT, đặc biệt là đơn vị cung cấp giải pháp cho cơ quan nhà nước, liên tục trở thành mục tiêu của các chiến dịch tấn công có chủ đích.”

Ẩn nấp trong các dịch vụ đám mây Nga

APT31 (còn gọi là Altaire, Bronze Vinewood, Judgement Panda, RedBravo...) được đánh giá hoạt động từ ít nhất năm 2010, chuyên thu thập thông tin tình báo phục vụ lợi ích chính trị - kinh tế - quân sự. Nhóm này từng bị nhiều quốc gia cáo buộc tấn công vào các cơ quan chính phủ, các ngành tài chính, quốc phòng, viễn thông. Tháng 5/2025, Cộng hòa Czech xác định APT31 đứng sau vụ xâm nhập Bộ Ngoại giao quốc gia này.

Tại Nga, nhóm tập trung sử dụng dịch vụ đám mây hợp pháp, trong đó phổ biến nhất là Yandex Cloud, để điều khiển máy chủ C2 và thu thập dữ liệu. Phương thức này giúp tin tặc “hòa vào” lưu lượng bình thường, tránh bị hệ thống giám sát phát hiện. Ngoài ra, APT31 còn giấu lệnh tấn công trong hồ sơ mạng xã hội và chọn thời điểm hoạt động vào cuối tuần, kỳ nghỉ lễ.

Một vụ xâm nhập được phát hiện cho thấy nhóm đã hiện diện trong mạng của một công ty CNTT Nga từ cuối năm 2022, sau đó hoạt động tích cực vào đúng dịp nghỉ Tết Dương lịch 2023.

Phishing, CloudyLoader và nhiều phần mềm xâm nhập độc hại

Trong đợt tấn công tháng 12/2024, tin tặc gửi email mạo danh kèm tệp RAR chứa shortcut LNK. Khi mở, tệp này kích hoạt CloudyLoader “bộ nạp mã độc dùng để triển khai công cụ tấn công”, một bộ nạp Cobalt Strike thông qua kỹ thuật DLL side-loading. Kaspersky sau đó ghi nhận hoạt động tương tự vào tháng 7/2025, cho thấy sự trùng khớp với nhóm đe dọa EastWind.

Các nhà nghiên cứu cũng phát hiện một tệp ZIP giả mạo “báo cáo của Bộ Ngoại giao Peru” nhằm phát tán CloudyLoader.

Kho vũ khí tấn công ngày càng mở rộng

Để duy trì hiện diện trong hệ thống nạn nhân, APT31 dùng lịch tác vụ (Scheduled Tasks) giả dạng ứng dụng hợp pháp như Yandex Disk hoặc Google Chrome. Nhóm sử dụng nhiều công cụ mã nguồn mở và phần mềm tùy chỉnh như:

SharpADUserIP: trinh sát mạng nội bộ.

SharpChrome.exe: lấy mật khẩu, cookie từ Chrome/Edge.

SharpDir: tìm kiếm tệp.

StickyNotesExtract.exe: trích dữ liệu từ Sticky Notes của Windows.

Tailscale VPN, Microsoft dev tunnels: tạo đường hầm mã hóa.

Owawa: mô-đun IIS đánh cắp thông tin đăng nhập.

AufTime: backdoor Linux dùng wolfSSL.

COFFProxy, VtChatter, OneDriveDoor, CloudSorcerer: các backdoor dùng dịch vụ đám mây làm kênh điều khiển.

LocalPlugX: biến thể PlugX lan truyền nội bộ.

YaLeak: công cụ .NET tải dữ liệu lên Yandex Cloud.

Positive Technologies nhận định APT31 liên tục mở rộng, cập nhật bộ công cụ. “Nhóm đặc biệt ưu tiên sử dụng dịch vụ đám mây như Yandex và Microsoft OneDrive để duy trì kênh C2. Trong nhiều trường hợp, tội phạm mạng hoạt động theo chế độ ‘chờ kết nối’, giúp ẩn mình trong hạ tầng nạn nhân nhiều năm”, báo cáo nêu.

Dữ liệu bị đánh cắp bao gồm tài liệu nội bộ, tệp làm việc, mật khẩu thư điện tử và dịch vụ doanh nghiệp, được tải lên kho lưu trữ Yandex Cloud một cách có hệ thống.

An Lâm (Theo The Hackers News)