Ảnh minh họa. GB Hackers

Nhóm hacker liên quan đến Hamas mở rộng hoạt động ở Trung Đông

Theo các nhà nghiên cứu an ninh mạng, chiến dịch lần này đánh dấu bước leo thang đáng kể khi nhóm triển khai bộ công cụ mã độc mới AshTag, cho thấy sự thay đổi mạnh mẽ trong chiến thuật và kỹ thuật tấn công (TTPs).

Hoạt động từ năm 2018, Ashen Lepus lâu nay tập trung thu thập tình báo từ các cơ quan chính phủ và chính trị tại Trung Đông, chủ yếu ở Chính quyền Palestine, Ai Cập và Jordan. Tuy nhiên, dữ liệu mới cho thấy nhóm đang mở rộng phạm vi sang các quốc gia Arab khác như Oman và Morocco, lợi dụng các tài liệu “mồi nhử” liên quan xung đột khu vực và vấn đề ngoại giao.

Đáng chú ý, trong khi nhiều nhóm tin tặc giảm hoạt động sau thỏa thuận ngừng bắn Gaza cuối năm 2025, Ashen Lepus vẫn tiếp tục triển khai mã độc và đánh cắp dữ liệu, cho thấy nhóm này vẫn tiếp tục thu thập thông tin tình báo địa chính trị từ các quốc gia Trung Đông.

Phương thức hoạt động của mã độc AshTag

Chiến dịch mới sử dụng AshTag, một backdoor dạng module viết bằng .NET, hỗ trợ đánh cắp tệp tin, thực thi lệnh và tải payload trực tiếp vào bộ nhớ.

Quy trình tấn công bắt đầu khi nạn nhân mở một tệp thực thi được ngụy trang dưới dạng tài liệu. Tệp này sẽ nạp AshenLoader, hiển thị một file PDF mồi nhử nhằm đánh lừa nạn nhân, đồng thời âm thầm kích hoạt chuỗi lây nhiễm phía sau.

AshenLoader tải xuống payload thứ cấp AshenStager, kết nối với hệ thống điều khiển – chỉ huy (C2) ẩn dưới các tên miền trông như hợp pháp, bao gồm:

api.healthylifefeed[.]com; auth.onlinefieldtech[.]com; api.systemsync[.]info

Các máy chủ này thực hiện kiểm tra vị trí, trình duyệt và đặc điểm thiết bị để né tránh sandbox và công cụ phân tích bảo mật.

Khi được kích hoạt, AshenStager triển khai module AshenOrchestrator, chịu trách nhiệm điều phối liên lạc và thực thi từng thành phần mã độc. Toàn bộ module được nhúng bên trong thẻ HTML và truyền dưới dạng JSON mã hóa Base64, tăng khả năng qua mặt các công cụ an ninh mạng.

Bộ công cụ dùng mã hóa AES-256 (thuật toán mã hóa sử dụng khóa 256-bit) kết hợp khóa XOR (mã hóa đơn giản dựa trên phép toán XOR) tùy chỉnh để che giấu lưu lượng. Các module thực hiện nhiều tác vụ như chụp ảnh màn hình, duy trì bám trụ trong hệ thống và thu thập các thông tin dữ liệu lưu trữ trong thiết bị.

Sau khi xâm nhập thành công, tin tặc tiếp tục vận hành thủ công, sử dụng công cụ hợp pháp đồng bộ dữ liệu lên các dịch vụ lưu trữ đám mây như Rclone để chuyển dữ liệu ra máy chủ kiểm soát. Mục tiêu là chiếm đoạt các tài liệu ngoại giao, được lưu sẵn trên máy bị xâm nhập cho thấy chiến dịch mang mục tiêu thuần túy là gián điệp.

Giới nghiên cứu phát hiện sự trùng lặp rõ ràng giữa hạ tầng của Ashen Lepus và các chiến dịch trước đây, với cấu trúc URL và mô thức đặt tên tương đồng báo cáo của Proofpoint và Check Point.

Mức độ tinh vi gia tăng, nguy cơ lan rộng khu vực

Việc sử dụng chuỗi lây nhiễm nhiều lớp, payload mã hóa sâu và che giấu tên miền cho thấy mức độ tinh vi ngày càng cao. Palo Alto Networks cho biết họ xác định chiến dịch này thuộc Ashen Lepus với “độ tin cậy cao”, dựa trên khung phân tích khung phân tích do nhóm nghiên cứu an ninh mạng Unit 42 (Unit 42 Attribution Framework).

Giới chuyên gia cảnh báo các cơ quan chính phủ tại Trung Đông cần tăng cường giám sát, khi Ashen Lepus tiếp tục mở rộng năng lực, cải tiến bộ công cụ gián điệp và duy trì chiến dịch thu thập thông tin tình báo từ các hệ thống CNTT quan trọng cấp quốc gia.

An Lâm (Theo Cyber Press)