Ảnh minh họa. Nguồn Internet

Nhà cung cấp an ninh mạng Nga BI.ZONE đã phát hiện và đang theo dõi một chiến dịch tấn công vào các cơ quan và doanh nghiệp quốc gia này, có tên mã là “Cavalry Werewolf”. Theo các chuyên gia, nhóm YoroTrooper này có nhiều điểm tương đồng với các nhóm tin tặc từng được biết đến như SturgeonPhisher, Silent Lynx, Comrade Saiga, ShadowSilk và Tomiris, đều là những nhóm hoạt động trong khu vực Á - Âu, chuyên khai thác hình thức lừa đảo qua email và đánh cắp dữ liệu các cơ quan chính phủ và doanh nghiệp nhà nước.

Vào tháng 8/2025, công ty an ninh mạng Group-IB từng tiết lộ các cuộc tấn công do nhóm ShadowSilk thực hiện, nhắm vào các cơ quan chính phủ tại Trung Á và khu vực châu Á - Thái Bình Dương (APAC). Các vụ việc này đều cho thấy sự phối hợp giữa các nhóm hacker nói trên, sử dụng công cụ và chiến thuật tương tự để xâm nhập hệ thống.

Những cuộc tấn công lừa đảo mới nhất được phát hiện trong khoảng tháng 5 đến tháng 8 năm 2025 cho thấy, tin tặc sử dụng thủ đoạn gửi tin nhắn email từ địa chỉ email giả mạo quan chức chính phủ Kyrgyzstan để phân phối các tệp lưu trữ RAR có chứa mã độc FoalShell hoặc StallionRAT nhằm âm thầm chiếm đoạt và duy trì quyền điều khiển từ xa, đánh cắp dữ liệu từ các máy chủ.

Mối liên hệ giữa chiến dịch Cavalry Werewolf và Tomiris được giới chuyên gia đặc biệt chú ý. Microsoft trước đó đã xác định Tomiris là một nhóm có căn cứ tại Kazakhstan, hoạt động dưới tên mã Storm-0473. Việc các chiến dịch gần đây mang nhiều dấu hiệu trùng lặp càng củng cố nghi ngờ rằng, chiến dịch tấn công Cavalry Werewolf do một nhóm trong trong tổ chức các nhóm tin tặc có nguồn gốc từ Kazakhstan.

Mở rộng mục tiêu ra ngoài lãnh thổ Nga

Theo BI.ZONE, các nhà phân tích đã phát hiện nhiều tệp tin trong chiến dịch “Cavalry Werewolf” có tên bằng tiếng Anh và tiếng Ả Rập, cho thấy phạm vi tấn công của nhóm có thể không chỉ giới hạn ở Nga. Đây là dấu hiệu cho thấy nhóm đang tìm cách mở rộng mục tiêu sang các quốc gia khác, đặc biệt là khu vực Trung Đông và châu Á.

“Nhóm Cavalry Werewolf đang tích cực mở rộng công cụ và phương thức tấn công của mình,” báo cáo của BI.ZONE nêu rõ. “Nếu không kịp thời nhận diện và phân tích các kỹ thuật mới mà nhóm này sử dụng, các tổ chức sẽ rất khó duy trì biện pháp phòng thủ hiệu quả.”

Hơn 500 công ty Nga bị tấn công trong năm 2024

Tiết lộ về chiến dịch này xuất hiện cùng thời điểm BI.ZONE công bố báo cáo thường niên, cho thấy mức độ tấn công mạng tại Nga tăng mạnh. Chỉ trong một năm qua, hơn 500 công ty trong các lĩnh vực thương mại, tài chính, giáo dục và giải trí đã bị xâm nhập hệ thống.

Theo báo cáo, phần lớn các vụ tấn công bắt nguồn từ việc tin tặc khai thác lỗ hổng trên các ứng dụng web công cộng. Sau khi xâm nhập, tội phạm mạng cài đặt công cụ truy cập ngầm để duy trì quyền kiểm soát, đánh cắp dữ liệu người dùng và bí mật nội bộ. Trong nhiều trường hợp, dữ liệu bị đánh cắp đã được tung lên mạng hoặc rao bán trên các diễn đàn ngầm.

Các chuyên gia nhận định, tội phạm mạng toàn cầu đang có xu hướng tập trung vào những cuộc tấn công có chủ đích, đặt mục tiêu chiếm đoạt dữ liệu có giá trị cao của những tổ chức, doanh nghiệp. Từ chiến dịch “Cavalry Werewolf”, nguy cơ này càng rõ ràng hơn khi tin tặc dường như không chỉ nhằm mục tiêu đòi tiền chuộc, mà còn nhằm thu thập thông tin tình báo phục vụ mục đích địa chính trị.

An Lâm (Theo The Hacker News)