Duy Linh
Writer
Một chiến dịch gián điệp mạng có chủ đích đã nhắm vào các tổ chức tại Libya, gây ảnh hưởng đến một nhà máy lọc dầu, một nhà cung cấp viễn thông và một cơ quan nhà nước trong giai đoạn từ tháng 11/2025 đến tháng 2/2026.
Điểm đáng chú ý là chiến dịch tập trung vào cơ sở hạ tầng trọng yếu, đặc biệt là ngành dầu mỏ. Năm 2025, Libya đạt sản lượng khoảng 1,37 triệu thùng/ngày, mức cao nhất trong hơn một thập kỷ.
Trong bối cảnh căng thẳng địa chính trị tại khu vực Vịnh Ba Tư ảnh hưởng đến thị trường năng lượng toàn cầu, việc nhắm mục tiêu vào hạ tầng dầu mỏ ngoài vùng xung đột trực tiếp cho thấy rủi ro lan rộng đối với chuỗi cung ứng toàn cầu.
Các nhà nghiên cứu xác định chiến dịch sử dụng AsyncRAT – một trojan truy cập từ xa phổ biến, thường xuất hiện trong cả hoạt động tội phạm mạng và các chiến dịch liên quan đến nhà nước, làm dấy lên nghi vấn về khả năng có sự hậu thuẫn cấp quốc gia.
Các hệ thống bị nhiễm chứa các tệp VBS độc hại như “video_saif_gadafi_2026.vbs”. Những script này được tải từ nền tảng chia sẻ tệp KrakenFiles và kích hoạt chuỗi lây nhiễm nhiều giai đoạn.
Mã độc VBS tiếp tục tải xuống payload dựa trên PowerShell, được ngụy trang dưới dạng tệp hình ảnh. Payload này tạo tác vụ theo lịch “devil” thông qua cấu hình XML lưu trong thư mục công khai. Sau khi thực thi để duy trì truy cập, tác vụ sẽ tự xóa nhằm giảm khả năng bị phát hiện.
Payload cuối cùng là AsyncRAT – trojan có khả năng ghi lại bàn phím, chụp màn hình, đánh cắp thông tin đăng nhập và thực thi lệnh từ xa. Nhờ mã nguồn mở và tính linh hoạt, AsyncRAT được nhiều nhóm tấn công ưa chuộng.
Phân tích cho thấy kẻ tấn công duy trì truy cập lâu dài vào mạng của ít nhất một công ty dầu khí, với hoạt động ghi nhận trong tháng 11, 12/2025 và tiếp tục vào tháng 2/2026. Điều này cho thấy mục tiêu chính là thu thập thông tin tình báo thay vì phá hoại ngay lập tức.
Ngoài ra, các mẫu mã độc liên quan đã xuất hiện trên VirusTotal từ tháng 4/2025, với tên file mang chủ đề Libya như:
Chiến dịch cho thấy các tác nhân mạng đang tận dụng bất ổn địa chính trị để tiếp cận mục tiêu giá trị cao. Tình hình chính trị mong manh tại Libya, cùng với lo ngại toàn cầu về an ninh năng lượng, tạo điều kiện thuận lợi cho hoạt động gián điệp mạng.
Căng thẳng tại eo biển Hormuz, nơi vận chuyển khoảng 20% nguồn cung dầu toàn cầu tiếp tục làm gia tăng rủi ro gián đoạn. Một số dự báo cho rằng giá dầu có thể vượt 200.200 USD/thùng (khoảng 5.005.000 VNĐ/thùng) nếu tình hình leo thang.
Trong bối cảnh này, việc thu thập thông tin về các nhà sản xuất dầu thay thế như Libya mang ý nghĩa chiến lược rõ rệt.
Các chuyên gia cảnh báo ngành năng lượng cần duy trì mức cảnh giác cao, đồng thời mọi lĩnh vực nên thận trọng với các chiến dịch phishing lợi dụng sự kiện thời sự như xung đột địa chính trị hoặc bất ổn kinh tế.
Chiến dịch này cho thấy các mối đe dọa mạng ngày càng gắn chặt với diễn biến chính trị toàn cầu, khi tin tặc nhanh chóng thích nghi để khai thác các khủng hoảng nhằm đạt lợi thế chiến lược.
Điểm đáng chú ý là chiến dịch tập trung vào cơ sở hạ tầng trọng yếu, đặc biệt là ngành dầu mỏ. Năm 2025, Libya đạt sản lượng khoảng 1,37 triệu thùng/ngày, mức cao nhất trong hơn một thập kỷ.
Trong bối cảnh căng thẳng địa chính trị tại khu vực Vịnh Ba Tư ảnh hưởng đến thị trường năng lượng toàn cầu, việc nhắm mục tiêu vào hạ tầng dầu mỏ ngoài vùng xung đột trực tiếp cho thấy rủi ro lan rộng đối với chuỗi cung ứng toàn cầu.
Các nhà nghiên cứu xác định chiến dịch sử dụng AsyncRAT – một trojan truy cập từ xa phổ biến, thường xuất hiện trong cả hoạt động tội phạm mạng và các chiến dịch liên quan đến nhà nước, làm dấy lên nghi vấn về khả năng có sự hậu thuẫn cấp quốc gia.
Chuỗi tấn công lừa đảo và lây nhiễm
Điểm xâm nhập ban đầu là các email phishing được thiết kế theo các sự kiện chính trị xã hội tại Libya. Các tài liệu mồi nhử khai thác tin tức thời sự, nổi bật là file “Đoạn phim CCTV bị rò rỉ – Vụ ám sát Saif al-Gaddafi.gz”, liên quan đến sự kiện ám sát nhân vật này vào tháng 2/2026.Các hệ thống bị nhiễm chứa các tệp VBS độc hại như “video_saif_gadafi_2026.vbs”. Những script này được tải từ nền tảng chia sẻ tệp KrakenFiles và kích hoạt chuỗi lây nhiễm nhiều giai đoạn.
Mã độc VBS tiếp tục tải xuống payload dựa trên PowerShell, được ngụy trang dưới dạng tệp hình ảnh. Payload này tạo tác vụ theo lịch “devil” thông qua cấu hình XML lưu trong thư mục công khai. Sau khi thực thi để duy trì truy cập, tác vụ sẽ tự xóa nhằm giảm khả năng bị phát hiện.
Payload cuối cùng là AsyncRAT – trojan có khả năng ghi lại bàn phím, chụp màn hình, đánh cắp thông tin đăng nhập và thực thi lệnh từ xa. Nhờ mã nguồn mở và tính linh hoạt, AsyncRAT được nhiều nhóm tấn công ưa chuộng.
Phân tích cho thấy kẻ tấn công duy trì truy cập lâu dài vào mạng của ít nhất một công ty dầu khí, với hoạt động ghi nhận trong tháng 11, 12/2025 và tiếp tục vào tháng 2/2026. Điều này cho thấy mục tiêu chính là thu thập thông tin tình báo thay vì phá hoại ngay lập tức.
Ngoài ra, các mẫu mã độc liên quan đã xuất hiện trên VirusTotal từ tháng 4/2025, với tên file mang chủ đề Libya như:
- Audio_Libya_algeria.vbs
- Voice_Egypt_hafter_Libya.vbs
- Libya_Jordan_File.vbs
- names_libya444.vbs
Ý nghĩa và rủi ro chiến lược
Dù AsyncRAT thường được sử dụng trong nhiều loại tấn công khác nhau, việc nhắm vào các lĩnh vực chiến lược cùng mức độ duy trì dài hạn làm tăng khả năng chiến dịch có liên quan đến lợi ích nhà nước. Tuy nhiên, việc quy kết cụ thể vẫn chưa thể xác định.Chiến dịch cho thấy các tác nhân mạng đang tận dụng bất ổn địa chính trị để tiếp cận mục tiêu giá trị cao. Tình hình chính trị mong manh tại Libya, cùng với lo ngại toàn cầu về an ninh năng lượng, tạo điều kiện thuận lợi cho hoạt động gián điệp mạng.
Căng thẳng tại eo biển Hormuz, nơi vận chuyển khoảng 20% nguồn cung dầu toàn cầu tiếp tục làm gia tăng rủi ro gián đoạn. Một số dự báo cho rằng giá dầu có thể vượt 200.200 USD/thùng (khoảng 5.005.000 VNĐ/thùng) nếu tình hình leo thang.
Trong bối cảnh này, việc thu thập thông tin về các nhà sản xuất dầu thay thế như Libya mang ý nghĩa chiến lược rõ rệt.
Các chuyên gia cảnh báo ngành năng lượng cần duy trì mức cảnh giác cao, đồng thời mọi lĩnh vực nên thận trọng với các chiến dịch phishing lợi dụng sự kiện thời sự như xung đột địa chính trị hoặc bất ổn kinh tế.
Chiến dịch này cho thấy các mối đe dọa mạng ngày càng gắn chặt với diễn biến chính trị toàn cầu, khi tin tặc nhanh chóng thích nghi để khai thác các khủng hoảng nhằm đạt lợi thế chiến lược.
Nguồn: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Đính kèm
Sửa lần cuối bởi điều hành viên: