Ảnh minh họa. GB Hackers

Theo SEQRITE, chiến dịch này được cho là xuất phát từ khu vực Tây Á, tập trung nhắm vào các doanh nghiệp Israel, đặc biệt là các công ty dịch vụ CNTT, cung cấp nguồn nhân lực và các hãng phần mềm.

Giả mạo thương hiệu antivirus để lừa đảo có chủ đích

Email lừa đảo của nhóm UNG0801 được soạn thảo bằng tiếng Hebrew (Do Thái), giả danh các thông báo nội bộ như yêu cầu tuân thủ quy định, bản tin an ninh mạng hoặc thư mời hội thảo trực tuyến của doanh nghiệp.

Đáng chú ý, tin tặc đã lợi dụng giao diện và logo của các hãng diệt virus uy tín, chủ yếu là Check Point và SentinelOne, nhằm đánh lừa người nhận mở và tương tác với các tệp đính kèm độc hại.

Từ giữa tháng 11/2025, các chuyên gia ghi nhận hai chuỗi lây nhiễm riêng biệt, cùng được xếp vào chiến dịch tấn công giả mạo phần mềm diệt virus nhằm phát tán mã độc Operation IconCat do cùng khai thác biểu tượng phần mềm diệt virus. Hai chiến dịch này sử dụng tệp PDF hoặc Word để triển khai các mã độc giai đoạn hai mang tên PYTRIC và RUSTRIC.

Phân tích kỹ thuật mã độc PYTRIC và RUSTRIC

Trong chiến dịch thứ nhất, tin tặc giả mạo Check Point bằng một tệp PDF độc hại có tên help.pdf. Tài liệu này được ngụy trang như hướng dẫn sử dụng, kêu gọi nhân viên tải về một công cụ mang tên “Security Scanner” từ dịch vụ lưu trữ và chia sẻ tệp trực tuyến trên nền tảng đám mây Dropbox, kèm mật khẩu mở tệp là cloudstar.

Sau khi chạy, công cụ này sẽ cài đặt mã độc PYTRIC, được viết bằng Python và đóng gói bằng PyInstaller. Phân tích cho thấy PYTRIC có hành vi mang tính phá hoại, bao gồm quét tệp cục bộ, kiểm tra quyền quản trị và thực thi các lệnh nhằm xóa dữ liệu hệ thống và bản sao lưu.

Mã độc này còn liên lạc với kẻ tấn công thông qua một bot Telegram có tên Backup2040, cho thấy PYTRIC có đặc điểm giống wiper (mã độc phá hủy dữ liệu) hơn là công cụ gián điệp.

Ở chiến dịch thứ hai, tin tặc giả mạo SentinelOne, phát tán mã độc RUSTRIC được viết bằng ngôn ngữ Rust, thông qua các tài liệu Word chứa macro VBA độc hại.

Tệp nhị phân được thả xuống ngụy trang như một công cụ bảo mật, có khả năng liệt kê 28 sản phẩm antivirus và EDR, trong đó có ESET, CrowdStrike, Sophos và Microsoft Defender. RUSTRIC cũng thực thi các lệnh trinh sát tiêu chuẩn như whoami, hostname và nslookup, cho thấy mục tiêu thiên về thu thập thông tin và gián điệp mạng.

Mục đích của mã độc và phương thức tấn công

SEQRITE Labs xác định RUSTRIC liên lạc với các máy chủ điều khiển (C2) tại stratioai[.]org và 159.198.68.25, trong khi chiến dịch PYTRIC chủ yếu dựa vào liên kết Dropbox để phát tán mã độc.

Các dấu vết hạ tầng cho thấy tin tặc đã tái sử dụng chứng chỉ số từ netvigil.org, nhiều khả năng nhằm triển khai nhanh trên các máy chủ VPS giá rẻ.

Cả hai chiến dịch đều sử dụng nhiều kỹ thuật trong khung phân loại các kỹ thuật tấn công mạng do tổ chức MITRE (Mỹ) xây dựng (MITRE ATT&CK) như: T1566.001 (Lừa đảo có chủ đích qua tệp đính kèm); T1059.006 (Thực thi mã Python); T1036.005 (Ngụy trang tệp hoặc chương trình).

SEQRITE kết luận rằng PYTRIC đóng vai trò mã độc phá hoại, trong khi RUSTRIC phục vụ mục đích gián điệp, song cả hai đều cho thấy cùng một chiến thuật tấn công.

Dù chưa thể xác định chính xác chủ thể đứng sau, các chuyên gia cảnh báo đây là xu hướng ngày càng phổ biến, khi tin tặc lợi dụng uy tín của các thương hiệu an ninh mạng để gia tăng hiệu quả của các chiến dịch lừa đảo có chủ đích nhắm vào doanh nghiệp.

An Lâm (Theo Cyber Press)