Google triệt phá chiến dịch gián điệp mạng GRIDTIDE của UNC2814 sau 53 vụ xâm nhập tại 42 quốc gia

[Nguyễn Tiến Đạt]

Ngày 25/2/2026, Google cho biết đã phối hợp với các đối tác trong ngành để phá vỡ hạ tầng của một nhóm gián điệp mạng nghi có liên hệ với Trung Quốc, được theo dõi với mã số UNC2814. Nhóm này bị xác định đã xâm nhập ít nhất 53 tổ chức tại 42 quốc gia.

Theo Google Threat Intelligence Group (GTIG) và Mandiant, đây là một tác nhân tinh vi, hoạt động âm thầm và có lịch sử nhắm mục tiêu vào các cơ quan chính phủ cùng tổ chức viễn thông trên khắp châu Phi, châu Á và châu Mỹ. Ngoài 42 quốc gia đã được xác nhận, nhóm này còn bị nghi liên quan đến các vụ lây nhiễm tại hơn 20 quốc gia khác.

Google đã theo dõi UNC2814 từ năm 2017 và phát hiện nhóm này sử dụng các lệnh gọi API để liên lạc với các ứng dụng SaaS, qua đó ngụy trang lưu lượng điều khiển – kiểm soát (C2) thành lưu lượng hợp pháp.

GRIDTIDE: Phần mềm độc hại lợi dụng Google Sheets để che giấu C2​

Trung tâm của chiến dịch là một mã độc mới mang tên GRIDTIDE. Đây là phần mềm độc hại viết bằng ngôn ngữ C, có khả năng:

• Tải lên và tải xuống tệp
• Thực thi lệnh shell tùy ý
• Truyền dữ liệu thô

Điểm đáng chú ý là GRIDTIDE lợi dụng API của Google Sheets làm kênh liên lạc C2. Cơ chế này cho phép lưu lượng điều khiển được che giấu dưới dạng truy cập bảng tính thông thường.

Cơ chế điều khiển dựa trên ô bảng tính​

GRIDTIDE sử dụng phương thức thăm dò theo từng ô trong bảng tính:

• Ô A1: Nhận lệnh từ kẻ tấn công và ghi đè bằng phản hồi trạng thái như “SCR” (Server-Command-Success).
• Ô A2–An: Truyền dữ liệu, bao gồm kết quả lệnh và tệp tin.
• Ô V1: Lưu trữ dữ liệu hệ thống thu thập từ thiết bị nạn nhân.

Google cho biết phương thức này giúp che giấu giao tiếp hai chiều, khiến hoạt động C2 khó bị phát hiện.

Kỹ thuật xâm nhập và duy trì quyền kiểm soát​

Hiện cách thức UNC2814 giành quyền truy cập ban đầu vẫn đang được điều tra. Tuy nhiên, nhóm này có tiền lệ khai thác máy chủ web và thiết bị biên (edge devices) để làm điểm xâm nhập.

Sau khi vào hệ thống, chúng:

• Lợi dụng tài khoản dịch vụ để di chuyển ngang qua SSH
• Sử dụng kỹ thuật “living off the land” (LotL) để trinh sát và leo thang đặc quyền
• Thiết lập dịch vụ duy trì tại /etc/systemd/system/xapt.service
• Tạo bản sao mã độc tại /usr/sbin/xapt

Ngoài ra, UNC2814 còn triển khai SoftEther VPN Bridge để thiết lập kết nối mã hóa ra bên ngoài. Việc lạm dụng SoftEther VPN từng được ghi nhận trong nhiều chiến dịch của các nhóm tin tặc Trung Quốc.

GRIDTIDE được phát hiện trên các thiết bị đầu cuối chứa thông tin nhận dạng cá nhân (PII), phù hợp với mô hình gián điệp mạng nhằm theo dõi các mục tiêu quan trọng. Tuy nhiên, Google cho biết không quan sát thấy bằng chứng dữ liệu bị đánh cắp trong suốt chiến dịch.

Google vô hiệu hóa hạ tầng và cảnh báo toàn cầu​

Trong quá trình ứng phó, Google đã:

• Chấm dứt toàn bộ dự án Google Cloud do kẻ tấn công kiểm soát
• Vô hiệu hóa hạ tầng UNC2814 đã biết
• Cắt quyền truy cập vào các tài khoản và lệnh gọi API Google Sheets phục vụ C2
• Gửi thông báo chính thức đến từng nạn nhân
• Hỗ trợ khắc phục cho các tổ chức bị xâm phạm

Google mô tả đây là một trong những chiến dịch có phạm vi và tác động rộng nhất mà họ từng ghi nhận. Phạm vi hoạt động toàn cầu của UNC2814, với hơn 70 quốc gia bị xác nhận hoặc nghi ngờ bị nhắm mục tiêu, cho thấy mối đe dọa nghiêm trọng đối với lĩnh vực chính phủ và viễn thông.

Đáng chú ý, các thiết bị biên tiếp tục là mục tiêu phổ biến do thường thiếu cơ chế phát hiện mã độc nhưng lại đóng vai trò cổng kết nối trực tiếp vào mạng nội bộ doanh nghiệp.

Google nhận định những chiến dịch quy mô lớn như vậy thường là kết quả của nhiều năm xây dựng hạ tầng và duy trì hiện diện. Do đó, UNC2814 nhiều khả năng sẽ tìm cách tái thiết lập ảnh hưởng sau khi bị gián đoạn. (thehackernews)

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview