CyberThao
Writer
Một nhóm tin tặc có liên hệ với Trung Quốc, được xác định là Jewelbug, bị cáo buộc đã xâm nhập hệ thống của một nhà cung cấp dịch vụ CNTT tại Nga trong suốt 5 tháng (từ tháng 1 đến tháng 5 năm 2025). Sự kiện này đánh dấu bước mở rộng hoạt động của nhóm ra ngoài khu vực Đông Nam Á và Nam Mỹ.
Theo báo cáo từ Symantec (thuộc sở hữu của Broadcom), Jewelbug có nhiều điểm trùng khớp với các cụm tấn công CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) và REF7707 (Elastic Security Labs). Dù quan hệ quân sự, kinh tế và ngoại giao giữa Moscow và Bắc Kinh ngày càng khăng khít, Nga vẫn không nằm ngoài tầm ngắm của các chiến dịch gián điệp mạng từ Trung Quốc.
Nhóm tấn công đã truy cập vào kho mã nguồn và hệ thống xây dựng phần mềm của nạn nhân — điểm có thể bị lợi dụng để thực hiện tấn công chuỗi cung ứng đến các khách hàng khác tại Nga. Đáng chú ý, chúng còn đánh cắp dữ liệu từ Yandex Cloud.
Earth Alux được xác định hoạt động mạnh từ quý II năm 2023, nhắm đến các tổ chức thuộc lĩnh vực chính phủ, công nghệ, sản xuất, viễn thông, hậu cần, bán lẻ tại khu vực Châu Á - Thái Bình Dương (APAC) và Mỹ Latinh (LATAM). Nhóm này thường phát tán phần mềm độc hại VARGEIT và COBEACON (Cobalt Strike Beacon).
Các cụm CL-STA-0049/REF7707 từng được ghi nhận phát tán backdoor FINALDRAFT (Squidoor), có khả năng lây nhiễm trên cả Windows và Linux. Báo cáo của Symantec lần đầu tiên ghi nhận mối liên hệ giữa hai nhóm hoạt động này.
Trong vụ xâm nhập tại Nga, Jewelbug bị phát hiện đã lợi dụng công cụ Microsoft Console Debugger (cdb.exe) để chạy shellcode, bỏ qua danh sách cho phép ứng dụng, khởi chạy tệp thực thi và vô hiệu hóa phần mềm bảo mật. Ngoài ra, nhóm đánh cắp thông tin đăng nhập, duy trì quyền truy cập bằng tác vụ theo lịch, và xóa nhật ký sự kiện Windows để che giấu dấu vết.
6
Việc tấn công vào nhà cung cấp dịch vụ CNTT được xem là chiến lược nguy hiểm, vì từ đó kẻ tấn công có thể mở rộng sang nhiều khách hàng hạ nguồn thông qua các bản cập nhật phần mềm bị nhiễm mã độc.
Jewelbug cũng bị nghi ngờ liên quan đến vụ xâm nhập một cơ quan chính phủ lớn ở Nam Mỹ (tháng 7/2025). Nhóm đã triển khai backdoor mới sử dụng Microsoft Graph API và OneDrive để chỉ huy và kiểm soát (C2), cho phép thu thập thông tin hệ thống và tải dữ liệu lên OneDrive. Việc dùng API này giúp nhóm ẩn mình trong lưu lượng mạng thông thường, khiến việc phân tích và phát hiện trở nên khó khăn hơn.
Trước đó, Jewelbug còn nhắm vào một nhà cung cấp CNTT ở Nam Á và một công ty Đài Loan (tháng 10–11/2024). Cuộc tấn công vào công ty Đài Loan được cho là sử dụng kỹ thuật tải DLL để phát tán ShadowPad, một cửa hậu chỉ được các nhóm tin tặc Trung Quốc sử dụng.
Chuỗi tấn công cũng sử dụng các công cụ như KillAV để vô hiệu hóa phần mềm bảo mật và EchoDrv để khai thác lỗ hổng nhân trong trình điều khiển ECHOAC — kỹ thuật BYOVD (Bring Your Own Vulnerable Driver). Ngoài ra, nhóm còn dùng LSASS, Mimikatz để lấy thông tin đăng nhập, cùng các công cụ leo thang đặc quyền PrintNotifyPotato, Coerced Potato, Sweet Potato, và tiện ích đào hầm EarthWorm (được nhóm Gelsemium và Lucky Mouse sử dụng).
Symantec nhận định: “Việc Jewelbug tận dụng dịch vụ đám mây và công cụ hợp pháp cho thấy nhóm này ưu tiên duy trì sự hiện diện bí mật và lâu dài trong hệ thống của nạn nhân.”
Cảnh báo này xuất hiện trong bối cảnh Cục An ninh Quốc gia Đài Loan ghi nhận gia tăng tấn công mạng từ Trung Quốc nhắm vào cơ quan chính phủ, cùng chiến dịch tung tin giả trên mạng xã hội nhằm gây hoang mang và giảm lòng tin của người dân, theo Reuters.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/chinese-threat-group-jewelbug-quietly.html
Theo báo cáo từ Symantec (thuộc sở hữu của Broadcom), Jewelbug có nhiều điểm trùng khớp với các cụm tấn công CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) và REF7707 (Elastic Security Labs). Dù quan hệ quân sự, kinh tế và ngoại giao giữa Moscow và Bắc Kinh ngày càng khăng khít, Nga vẫn không nằm ngoài tầm ngắm của các chiến dịch gián điệp mạng từ Trung Quốc.
Nhóm tấn công đã truy cập vào kho mã nguồn và hệ thống xây dựng phần mềm của nạn nhân — điểm có thể bị lợi dụng để thực hiện tấn công chuỗi cung ứng đến các khách hàng khác tại Nga. Đáng chú ý, chúng còn đánh cắp dữ liệu từ Yandex Cloud.
Chiến thuật, công cụ và kỹ thuật của Jewelbug
Earth Alux được xác định hoạt động mạnh từ quý II năm 2023, nhắm đến các tổ chức thuộc lĩnh vực chính phủ, công nghệ, sản xuất, viễn thông, hậu cần, bán lẻ tại khu vực Châu Á - Thái Bình Dương (APAC) và Mỹ Latinh (LATAM). Nhóm này thường phát tán phần mềm độc hại VARGEIT và COBEACON (Cobalt Strike Beacon).
Các cụm CL-STA-0049/REF7707 từng được ghi nhận phát tán backdoor FINALDRAFT (Squidoor), có khả năng lây nhiễm trên cả Windows và Linux. Báo cáo của Symantec lần đầu tiên ghi nhận mối liên hệ giữa hai nhóm hoạt động này.
Trong vụ xâm nhập tại Nga, Jewelbug bị phát hiện đã lợi dụng công cụ Microsoft Console Debugger (cdb.exe) để chạy shellcode, bỏ qua danh sách cho phép ứng dụng, khởi chạy tệp thực thi và vô hiệu hóa phần mềm bảo mật. Ngoài ra, nhóm đánh cắp thông tin đăng nhập, duy trì quyền truy cập bằng tác vụ theo lịch, và xóa nhật ký sự kiện Windows để che giấu dấu vết.
6
Việc tấn công vào nhà cung cấp dịch vụ CNTT được xem là chiến lược nguy hiểm, vì từ đó kẻ tấn công có thể mở rộng sang nhiều khách hàng hạ nguồn thông qua các bản cập nhật phần mềm bị nhiễm mã độc.
Jewelbug cũng bị nghi ngờ liên quan đến vụ xâm nhập một cơ quan chính phủ lớn ở Nam Mỹ (tháng 7/2025). Nhóm đã triển khai backdoor mới sử dụng Microsoft Graph API và OneDrive để chỉ huy và kiểm soát (C2), cho phép thu thập thông tin hệ thống và tải dữ liệu lên OneDrive. Việc dùng API này giúp nhóm ẩn mình trong lưu lượng mạng thông thường, khiến việc phân tích và phát hiện trở nên khó khăn hơn.
Mở rộng tấn công và chiến thuật ẩn mình tinh vi
Trước đó, Jewelbug còn nhắm vào một nhà cung cấp CNTT ở Nam Á và một công ty Đài Loan (tháng 10–11/2024). Cuộc tấn công vào công ty Đài Loan được cho là sử dụng kỹ thuật tải DLL để phát tán ShadowPad, một cửa hậu chỉ được các nhóm tin tặc Trung Quốc sử dụng.
Chuỗi tấn công cũng sử dụng các công cụ như KillAV để vô hiệu hóa phần mềm bảo mật và EchoDrv để khai thác lỗ hổng nhân trong trình điều khiển ECHOAC — kỹ thuật BYOVD (Bring Your Own Vulnerable Driver). Ngoài ra, nhóm còn dùng LSASS, Mimikatz để lấy thông tin đăng nhập, cùng các công cụ leo thang đặc quyền PrintNotifyPotato, Coerced Potato, Sweet Potato, và tiện ích đào hầm EarthWorm (được nhóm Gelsemium và Lucky Mouse sử dụng).
Symantec nhận định: “Việc Jewelbug tận dụng dịch vụ đám mây và công cụ hợp pháp cho thấy nhóm này ưu tiên duy trì sự hiện diện bí mật và lâu dài trong hệ thống của nạn nhân.”
Cảnh báo này xuất hiện trong bối cảnh Cục An ninh Quốc gia Đài Loan ghi nhận gia tăng tấn công mạng từ Trung Quốc nhắm vào cơ quan chính phủ, cùng chiến dịch tung tin giả trên mạng xã hội nhằm gây hoang mang và giảm lòng tin của người dân, theo Reuters.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/chinese-threat-group-jewelbug-quietly.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview