CyberThao
Writer
Nhóm hacker được biết đến là Confucius (hoạt động từ khoảng 2013) vừa được ghi nhận triển khai chuỗi chiến dịch lừa đảo nhắm vào người dùng ở Pakistan, sử dụng các họ phần mềm độc hại WooperStealer và Anondoor. Nhà nghiên cứu Cara Lin của Fortinet FortiGuard Labs nhắc lại rằng trong thập kỷ qua, Confucius nhiều lần nhắm vào cơ quan chính phủ, tổ chức quân sự, nhà thầu quốc phòng và các ngành công nghiệp quan trọng ở khu vực này bằng lừa đảo trực tuyến và tài liệu độc hại làm bước xâm nhập ban đầu.
Fortinet ghi nhận một chuỗi tấn công bắt đầu khoảng tháng 12/2024, khi nạn nhân ở Pakistan bị lừa mở tệp .PPSX. Tệp này kích hoạt phân phối WooperStealer thông qua kỹ thuật DLL side-loading (tải DLL phụ). Đợt tấn công tiếp theo vào tháng 3/2025 dùng tệp .LNK (phím tắt Windows) để giải phóng một DLL WooperStealer độc hại, cũng khởi chạy thông qua tải DLL bên ngoài nhằm đánh cắp dữ liệu nhạy cảm từ máy chủ bị xâm phạm.
Trong tháng 8/2025, Fortinet phát hiện một tệp .LNK khác dùng chiến thuật tương tự nhưng lần này DLL mở đường cho Anondoor — một backdoor viết bằng Python. Anondoor được thiết kế để gửi thông tin thiết bị về máy chủ điều khiển, chờ lệnh thực thi, chụp ảnh màn hình, liệt kê tệp/thư mục và trích xuất mật khẩu từ Google Chrome. Nhóm KnownSec 404 (Seebug) cũng báo cáo việc sử dụng Anondoor vào tháng 7/2025, cho thấy sự trùng lặp quan sát giữa các nhà nghiên cứu.
Các chiến dịch gần đây của Confucius thể hiện khả năng thích ứng cao: nhóm sử dụng nhiều kỹ thuật che giấu để né detection và thay đổi nhanh chóng giữa kỹ thuật, cơ sở hạ tầng và họ phần mềm độc hại nhằm duy trì hiệu quả thu thập tình báo. Một chuỗi lây nhiễm mà K7 Security Labs phân tích (liên quan tới nhóm Patchwork) khởi nguồn từ macro độc hại, tải xuống tệp .LNK chứa mã PowerShell chịu trách nhiệm tải payload bổ sung, lợi dụng DLL side-loading để khởi chạy phần mềm độc hại chính đồng thời hiển thị tài liệu PDF giả mạo.
Payload cuối cùng thiết lập kết nối tới máy chủ chỉ huy-điều khiển (C2), thu thập thông tin hệ thống và nhận lệnh được mã hóa — sau khi giải mã lệnh được thực thi qua cmd.exe. Phần mềm độc hại có khả năng chụp màn hình, tải lên/tải xuống tệp và lưu file cục bộ trong thư mục tạm. Fortinet lưu ý rằng phần mềm độc hại cấu hình để chờ và thử gửi lại dữ liệu đến 20 lần, theo dõi lỗi để đảm bảo việc đánh cắp dữ liệu liên tục và kín đáo mà không cảnh báo người dùng hoặc hệ thống bảo mật.
Fortinet kết luận rằng các chiến dịch này không chỉ minh họa tính bền bỉ của Confucius mà còn cho thấy họ đã phát triển kỹ thuật và bộ công cụ để điều chỉnh ưu tiên thu thập thông tin tình báo theo thời điểm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/confucius-hackers-hit-pakistan-with-new.html
Chi tiết chiến dịch
Fortinet ghi nhận một chuỗi tấn công bắt đầu khoảng tháng 12/2024, khi nạn nhân ở Pakistan bị lừa mở tệp .PPSX. Tệp này kích hoạt phân phối WooperStealer thông qua kỹ thuật DLL side-loading (tải DLL phụ). Đợt tấn công tiếp theo vào tháng 3/2025 dùng tệp .LNK (phím tắt Windows) để giải phóng một DLL WooperStealer độc hại, cũng khởi chạy thông qua tải DLL bên ngoài nhằm đánh cắp dữ liệu nhạy cảm từ máy chủ bị xâm phạm.
Trong tháng 8/2025, Fortinet phát hiện một tệp .LNK khác dùng chiến thuật tương tự nhưng lần này DLL mở đường cho Anondoor — một backdoor viết bằng Python. Anondoor được thiết kế để gửi thông tin thiết bị về máy chủ điều khiển, chờ lệnh thực thi, chụp ảnh màn hình, liệt kê tệp/thư mục và trích xuất mật khẩu từ Google Chrome. Nhóm KnownSec 404 (Seebug) cũng báo cáo việc sử dụng Anondoor vào tháng 7/2025, cho thấy sự trùng lặp quan sát giữa các nhà nghiên cứu.
Cách hoạt động và rủi ro
Các chiến dịch gần đây của Confucius thể hiện khả năng thích ứng cao: nhóm sử dụng nhiều kỹ thuật che giấu để né detection và thay đổi nhanh chóng giữa kỹ thuật, cơ sở hạ tầng và họ phần mềm độc hại nhằm duy trì hiệu quả thu thập tình báo. Một chuỗi lây nhiễm mà K7 Security Labs phân tích (liên quan tới nhóm Patchwork) khởi nguồn từ macro độc hại, tải xuống tệp .LNK chứa mã PowerShell chịu trách nhiệm tải payload bổ sung, lợi dụng DLL side-loading để khởi chạy phần mềm độc hại chính đồng thời hiển thị tài liệu PDF giả mạo.
Payload cuối cùng thiết lập kết nối tới máy chủ chỉ huy-điều khiển (C2), thu thập thông tin hệ thống và nhận lệnh được mã hóa — sau khi giải mã lệnh được thực thi qua cmd.exe. Phần mềm độc hại có khả năng chụp màn hình, tải lên/tải xuống tệp và lưu file cục bộ trong thư mục tạm. Fortinet lưu ý rằng phần mềm độc hại cấu hình để chờ và thử gửi lại dữ liệu đến 20 lần, theo dõi lỗi để đảm bảo việc đánh cắp dữ liệu liên tục và kín đáo mà không cảnh báo người dùng hoặc hệ thống bảo mật.
Fortinet kết luận rằng các chiến dịch này không chỉ minh họa tính bền bỉ của Confucius mà còn cho thấy họ đã phát triển kỹ thuật và bộ công cụ để điều chỉnh ưu tiên thu thập thông tin tình báo theo thời điểm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/10/confucius-hackers-hit-pakistan-with-new.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview