CyberThao
Writer
Ngành viễn thông và sản xuất tại các quốc gia Trung và Nam Á đang trở thành mục tiêu của một chiến dịch mạng tinh vi. Chiến dịch này phát tán biến thể mới của phần mềm độc hại PlugX (còn gọi là Korplug hoặc SOGU), một trojan truy cập từ xa (RAT) đã nhiều lần gắn liền với các nhóm tin tặc có nguồn gốc Trung Quốc.
Theo phân tích mới nhất của Cisco Talos, biến thể này chia sẻ nhiều đặc điểm với cả backdoor RainyDay và Turian, chẳng hạn như việc lạm dụng ứng dụng hợp pháp để tải DLL, sử dụng thuật toán XOR-RC4-RtlDecompressBuffer để mã hóa/giải mã dữ liệu và các khóa RC4. Điểm khác biệt nằm ở cấu hình, khi biến thể PlugX này áp dụng cấu trúc của RainyDay, một backdoor liên quan đến nhóm Lotus Panda (hay Naikon APT), vốn cũng được Kaspersky theo dõi với tên FoundCore và được cho là có liên hệ với nhóm Cycldek.
PlugX từ lâu đã trở thành công cụ chủ lực trong tay nhiều nhóm APT nói tiếng Trung, đặc biệt là Mustang Panda (còn gọi là BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TEMP.Hex và Twill Typhoon). Trong khi đó, Turian (hay Quarian hoặc Whitebird) chủ yếu được BackdoorDiplomacy sử dụng trong các cuộc tấn công ở Trung Đông.
Các nhà nghiên cứu cho rằng sự trùng lặp về lựa chọn mục tiêu, cơ chế mã hóa, tái sử dụng khóa và phương pháp tấn công cho thấy khả năng có sự liên quan giữa Lotus Panda và BackdoorDiplomacy. Cisco Talos đã ghi nhận trường hợp Naikon nhắm đến một công ty viễn thông ở Kazakhstan, quốc gia có đường biên giới với Uzbekistan – nơi từng là mục tiêu của BackdoorDiplomacy.
Trong chuỗi tấn công, kẻ tấn công lợi dụng một tệp thực thi hợp lệ liên kết với Ứng dụng Popup Di động để tải DLL độc hại, sau đó giải mã và khởi chạy PlugX, RainyDay hoặc Turian trực tiếp trong bộ nhớ. Các cuộc tấn công gần đây tập trung nhiều hơn vào PlugX, với cấu trúc giống RainyDay và kèm theo plugin keylogger. Cisco Talos nhấn mạnh rằng mặc dù chưa có bằng chứng chắc chắn cho thấy Naikon và BackdoorDiplomacy là cùng một nhóm, nhưng sự tương đồng về công cụ và mục tiêu mang đến mức độ tin cậy trung bình rằng đây là các chiến dịch liên quan đến tác nhân nói tiếng Trung.
Song song với các cuộc tấn công trên, Unit 42 của Palo Alto Networks đã công bố kết quả nghiên cứu sâu về Bookworm – một phần mềm độc hại được Mustang Panda sử dụng từ năm 2015. Đây là RAT có khả năng thực thi lệnh tùy ý, tải lên hoặc tải xuống tệp, đánh cắp dữ liệu và duy trì quyền truy cập liên tục vào hệ thống bị xâm nhập.
Tháng 3 năm nay, các chuyên gia phát hiện Mustang Panda đã triển khai Bookworm để tấn công một số quốc gia trong khối ASEAN. Bookworm thường sử dụng các tên miền giả mạo hợp pháp hoặc hạ tầng C2 bị xâm nhập để che giấu hoạt động, đồng thời chia sẻ đặc điểm với TONESHELL – một backdoor khác của Mustang Panda được phát hiện từ cuối năm 2022.
Các cuộc tấn công bằng Bookworm cũng dựa trên kỹ thuật tải DLL, nhưng biến thể mới có cải tiến khi gói shellcode trong dạng UUID, sau đó giải mã và thực thi. Điểm nổi bật là kiến trúc mô-đun, cho phép bổ sung thêm chức năng từ máy chủ C2, khiến phân tích tĩnh trở nên khó khăn. Theo Palo Alto Networks, việc Mustang Panda tiếp tục triển khai và phát triển Bookworm cho thấy công cụ này vẫn là thành phần quan trọng và lâu dài trong kho vũ khí của nhóm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/china-linked-plugx-and-bookworm-malware.html
Theo phân tích mới nhất của Cisco Talos, biến thể này chia sẻ nhiều đặc điểm với cả backdoor RainyDay và Turian, chẳng hạn như việc lạm dụng ứng dụng hợp pháp để tải DLL, sử dụng thuật toán XOR-RC4-RtlDecompressBuffer để mã hóa/giải mã dữ liệu và các khóa RC4. Điểm khác biệt nằm ở cấu hình, khi biến thể PlugX này áp dụng cấu trúc của RainyDay, một backdoor liên quan đến nhóm Lotus Panda (hay Naikon APT), vốn cũng được Kaspersky theo dõi với tên FoundCore và được cho là có liên hệ với nhóm Cycldek.
PlugX từ lâu đã trở thành công cụ chủ lực trong tay nhiều nhóm APT nói tiếng Trung, đặc biệt là Mustang Panda (còn gọi là BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TEMP.Hex và Twill Typhoon). Trong khi đó, Turian (hay Quarian hoặc Whitebird) chủ yếu được BackdoorDiplomacy sử dụng trong các cuộc tấn công ở Trung Đông.
Các nhà nghiên cứu cho rằng sự trùng lặp về lựa chọn mục tiêu, cơ chế mã hóa, tái sử dụng khóa và phương pháp tấn công cho thấy khả năng có sự liên quan giữa Lotus Panda và BackdoorDiplomacy. Cisco Talos đã ghi nhận trường hợp Naikon nhắm đến một công ty viễn thông ở Kazakhstan, quốc gia có đường biên giới với Uzbekistan – nơi từng là mục tiêu của BackdoorDiplomacy.
Trong chuỗi tấn công, kẻ tấn công lợi dụng một tệp thực thi hợp lệ liên kết với Ứng dụng Popup Di động để tải DLL độc hại, sau đó giải mã và khởi chạy PlugX, RainyDay hoặc Turian trực tiếp trong bộ nhớ. Các cuộc tấn công gần đây tập trung nhiều hơn vào PlugX, với cấu trúc giống RainyDay và kèm theo plugin keylogger. Cisco Talos nhấn mạnh rằng mặc dù chưa có bằng chứng chắc chắn cho thấy Naikon và BackdoorDiplomacy là cùng một nhóm, nhưng sự tương đồng về công cụ và mục tiêu mang đến mức độ tin cậy trung bình rằng đây là các chiến dịch liên quan đến tác nhân nói tiếng Trung.
Chi tiết về phần mềm độc hại Bookworm của Mustang Panda
Song song với các cuộc tấn công trên, Unit 42 của Palo Alto Networks đã công bố kết quả nghiên cứu sâu về Bookworm – một phần mềm độc hại được Mustang Panda sử dụng từ năm 2015. Đây là RAT có khả năng thực thi lệnh tùy ý, tải lên hoặc tải xuống tệp, đánh cắp dữ liệu và duy trì quyền truy cập liên tục vào hệ thống bị xâm nhập.
Tháng 3 năm nay, các chuyên gia phát hiện Mustang Panda đã triển khai Bookworm để tấn công một số quốc gia trong khối ASEAN. Bookworm thường sử dụng các tên miền giả mạo hợp pháp hoặc hạ tầng C2 bị xâm nhập để che giấu hoạt động, đồng thời chia sẻ đặc điểm với TONESHELL – một backdoor khác của Mustang Panda được phát hiện từ cuối năm 2022.
Các cuộc tấn công bằng Bookworm cũng dựa trên kỹ thuật tải DLL, nhưng biến thể mới có cải tiến khi gói shellcode trong dạng UUID, sau đó giải mã và thực thi. Điểm nổi bật là kiến trúc mô-đun, cho phép bổ sung thêm chức năng từ máy chủ C2, khiến phân tích tĩnh trở nên khó khăn. Theo Palo Alto Networks, việc Mustang Panda tiếp tục triển khai và phát triển Bookworm cho thấy công cụ này vẫn là thành phần quan trọng và lâu dài trong kho vũ khí của nhóm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/china-linked-plugx-and-bookworm-malware.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview