ChatGPT bị lạm dụng trong các chiến dịch gián điệp: Sự thật về nhóm UTA0388

[CyberThao]

Một nhóm tin tặc được cho là có liên hệ từ Trung Quốc, mang tên UTA0388, đã bị phát hiện tiến hành hàng loạt chiến dịch lừa đảo tinh vi nhắm vào các tổ chức ở Bắc Mỹ, châu Á và châu Âu. Mục tiêu của chúng là phát tán một phần mềm gián điệp (backdoor) mới viết bằng ngôn ngữ Go, mang tên GOVERSHELL.

Theo báo cáo của Volexity, các chiến dịch ban đầu được thiết kế riêng cho từng mục tiêu. Tin nhắn giả mạo thường mang danh những chuyên gia hoặc nhà phân tích cấp cao đến từ các tổ chức “nghe có vẻ hợp pháp”, nhằm dụ người nhận nhấp vào liên kết chứa mã độc. Các file này thường là tệp ZIP hoặc RAR lưu trên các nền tảng hợp pháp như Netlify, Sync hoặc OneDrive, bên trong có chứa DLL độc hại được tải thông qua kỹ thuật DLL side-loading.

Chiến thuật lừa đảo tinh vi và sự ra đời của GOVERSHELL​

Ban đầu, UTA0388 chỉ nhúng các liên kết độc hại vào email. Tuy nhiên, trong các chiến dịch sau, nhóm đã nâng cấp phương thức tấn công bằng cách xây dựng lòng tin với nạn nhân trước khi gửi liên kết – một dạng lừa đảo dựa trên quan hệ (relationship phishing).

Phần mềm GOVERSHELL được xem là phiên bản nâng cấp của họ mã độc C++ HealthKick, được Proofpoint theo dõi với tên UNK_DropPitch. Cho đến nay, các nhà nghiên cứu đã xác định năm biến thể khác nhau của GOVERSHELL:

• HealthKick (tháng 4/2025): thực thi lệnh bằng cmd.exe.
• TE32 (tháng 6/2025): chạy lệnh qua PowerShell reverse shell.
• TE64 (tháng 7/2025): chạy lệnh gốc và lệnh động bằng PowerShell, thu thập thông tin hệ thống và kết nối tới máy chủ điều khiển (C2).
• WebSocket (giữa tháng 7/2025): thực thi lệnh qua powershell.exe, có lệnh “update” chưa hoàn thiện.
• Beacon (tháng 9/2025): hỗ trợ thực thi PowerShell nâng cao, ngẫu nhiên hóa chu kỳ thăm dò máy chủ, giúp ẩn mình tốt hơn.

Các biến thể này cho thấy GOVERSHELL đang phát triển mạnh mẽ về khả năng ẩn danh, duy trì kết nối và kiểm soát từ xa, hướng đến mức độ tự động hóa cao hơn.

AI và ChatGPT – công cụ mới trong tay tin tặc​

Một phát hiện đáng báo động là nhóm UTA0388 đã lạm dụng ChatGPT của OpenAI trong quá trình tấn công. Theo điều tra, nhóm này sử dụng ChatGPT để:

• Viết email lừa đảo bằng nhiều ngôn ngữ (Anh, Trung, Nhật).
• Hỗ trợ tạo nội dung mã độc và quy trình tấn công.
• Tìm kiếm thông tin về các công cụ dò quét nguồn mở như nuclei và fscan.

Những tài khoản ChatGPT liên quan đến nhóm đã bị khóa sau khi phát hiện hành vi vi phạm. Volexity nhận định, việc sử dụng mô hình ngôn ngữ lớn (LLM) giúp nhóm tin tặc tăng tốc tạo nội dung, giảm sai sót và mở rộng quy mô tấn công, trong khi vẫn duy trì yếu tố “giả người thật” trong các email phishing.

Công ty này cũng cho biết mục tiêu chính của chiến dịch phù hợp với các lợi ích chính trị của Trung Quốc tại châu Á, đặc biệt là khu vực Đài Loan. Nhiều email, tài liệu và tập tin trong các chiến dịch được tự động tạo ra mà hầu như không có sự kiểm duyệt của con người.

Cảnh báo và hệ quả​

Tiết lộ của Volexity trùng thời điểm với báo cáo từ StrikeReady Labs, phát hiện một chiến dịch gián điệp mạng khác cũng bị nghi ngờ có liên quan đến Trung Quốc. Chiến dịch này tấn công một bộ phận chính phủ Serbia trong lĩnh vực hàng không và nhiều tổ chức tại Hungary, Bỉ, Ý và Hà Lan.

Cách thức tương tự: kẻ tấn công gửi email chứa liên kết giả Cloudflare CAPTCHA, sau đó tải xuống file ZIP có phím tắt Windows (LNK) để thực thi PowerShell, mở tài liệu giả và tải mã độc PlugX bằng kỹ thuật DLL side-loading.

Những phát hiện này cho thấy xu hướng sử dụng AI trong tấn công mạng ngày càng phổ biến, khi tin tặc có thể tự động hóa từng bước trong chiến dịch, từ tạo nội dung đến triển khai mã độc — khiến việc phát hiện và phòng vệ trở nên khó khăn hơn bao giờ hết.

Đọc chi tiết tại đây: https://thehackernews.com/2025/10/new-oracle-e-business-suite-bug-could.html

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview