MinhSec
Writer
Nhóm tin tặc HoneyMyte, còn được biết đến với các tên gọi Mustang Panda hoặc Bronze President, đang tiếp tục gây ra mối đe dọa nghiêm trọng đối với các tổ chức chính phủ tại nhiều quốc gia ở châu Á và châu Âu. Các nghiên cứu an ninh mạng gần đây cho thấy nhóm hacker này không ngừng nâng cấp kho vũ khí kỹ thuật số, tập trung vào những phiên bản phần mềm độc hại tinh vi hơn nhằm đánh cắp dữ liệu nhạy cảm từ các hệ thống mục tiêu.
Hoạt động của HoneyMyte đặc biệt tập trung tại khu vực Đông Nam Á, nơi các cơ quan nhà nước vẫn là mục tiêu ưu tiên trong các chiến dịch tấn công có chủ đích. Theo các chuyên gia bảo mật, nhóm này thể hiện mức độ tổ chức cao và chiến lược lâu dài, cho thấy đây là một tác nhân đe dọa dai dẳng ở cấp độ quốc gia.
CoolClient hoạt động thông qua cơ chế phân phối nhiều giai đoạn, dựa trên kỹ thuật tải DLL từ bên ngoài, còn gọi là DLL sideloading. Đây là phương pháp lợi dụng các phần mềm hợp pháp để tải và thực thi mã độc mà không gây chú ý. Trong giai đoạn từ năm 2021 đến 2025, HoneyMyte đã khai thác nhiều ứng dụng quen thuộc như BitDefender, VLC Media Player và các phần mềm của Sangfor để che giấu hoạt động độc hại.
Các biến thể CoolClient đã được ghi nhận xuất hiện tại nhiều quốc gia, bao gồm Myanmar, Mông Cổ, Malaysia, Nga và Pakistan. Việc lợi dụng phần mềm hợp pháp giúp phần mềm độc hại này dễ dàng vượt qua các cơ chế bảo vệ truyền thống và kéo dài thời gian tồn tại trong hệ thống mục tiêu.
Phần mềm độc hại này hoạt động bằng cách sao chép cơ sở dữ liệu đăng nhập và các tệp cấu hình của trình duyệt vào thư mục tạm thời. Sau đó, nó tận dụng các cơ chế bảo mật sẵn có của Windows để giải mã mật khẩu đã lưu trữ. Bằng cách trích xuất các khóa mã hóa chính và sử dụng API bảo vệ dữ liệu của Windows, phần mềm độc hại có thể khôi phục đầy đủ thông tin đăng nhập, bao gồm tên người dùng và mật khẩu.
Sau khi thu thập dữ liệu, các thông tin nhạy cảm được lưu trữ trong những thư mục hệ thống ẩn và chờ chuyển về máy chủ do kẻ tấn công kiểm soát. Ngoài việc đánh cắp thông tin trình duyệt, HoneyMyte còn sử dụng các tập lệnh thu thập tài liệu mật, thông tin hệ thống, kết hợp với các chức năng như ghi lại thao tác bàn phím và theo dõi bộ nhớ tạm.
Những khả năng này cho thấy HoneyMyte đang chuyển từ các hoạt động gián điệp truyền thống sang mô hình giám sát chủ động, cho phép theo dõi hành vi người dùng và khai thác dữ liệu sâu hơn trong thời gian dài. Trước mối đe dọa ngày càng gia tăng, các cơ quan chính phủ được khuyến nghị tăng cường giám sát an ninh, triển khai các biện pháp phát hiện sớm và theo dõi chặt chẽ các dấu hiệu liên quan đến CoolClient cũng như các họ phần mềm độc hại khác do nhóm tin tặc này sử dụng.
Hoạt động của HoneyMyte đặc biệt tập trung tại khu vực Đông Nam Á, nơi các cơ quan nhà nước vẫn là mục tiêu ưu tiên trong các chiến dịch tấn công có chủ đích. Theo các chuyên gia bảo mật, nhóm này thể hiện mức độ tổ chức cao và chiến lược lâu dài, cho thấy đây là một tác nhân đe dọa dai dẳng ở cấp độ quốc gia.
CoolClient được cải tiến với kỹ thuật tải DLL tinh vi
Trong năm 2025, các nhà phân tích bảo mật phát hiện HoneyMyte đã mở rộng đáng kể bộ công cụ tấn công bằng cách nâng cấp phần mềm độc hại cửa hậu CoolClient. Phiên bản mới của CoolClient được bổ sung nhiều khả năng giúp nhóm tin tặc duy trì quyền truy cập lâu dài và âm thầm vào các hệ thống bị xâm nhập.
CoolClient hoạt động thông qua cơ chế phân phối nhiều giai đoạn, dựa trên kỹ thuật tải DLL từ bên ngoài, còn gọi là DLL sideloading. Đây là phương pháp lợi dụng các phần mềm hợp pháp để tải và thực thi mã độc mà không gây chú ý. Trong giai đoạn từ năm 2021 đến 2025, HoneyMyte đã khai thác nhiều ứng dụng quen thuộc như BitDefender, VLC Media Player và các phần mềm của Sangfor để che giấu hoạt động độc hại.
Các biến thể CoolClient đã được ghi nhận xuất hiện tại nhiều quốc gia, bao gồm Myanmar, Mông Cổ, Malaysia, Nga và Pakistan. Việc lợi dụng phần mềm hợp pháp giúp phần mềm độc hại này dễ dàng vượt qua các cơ chế bảo vệ truyền thống và kéo dài thời gian tồn tại trong hệ thống mục tiêu.
Phần mềm đánh cắp dữ liệu trình duyệt và giám sát chủ động
Bên cạnh CoolClient, HoneyMyte còn triển khai nhiều biến thể phần mềm chuyên đánh cắp thông tin đăng nhập được lưu trữ trong trình duyệt web. Ít nhất ba biến thể đã được ghi nhận, trong đó mỗi biến thể tập trung vào một nhóm trình duyệt khác nhau. Một biến thể nhắm vào Google Chrome, biến thể khác tập trung vào Microsoft Edge, trong khi biến thể còn lại hỗ trợ nhiều trình duyệt dựa trên Chromium như Brave và Opera.Phần mềm độc hại này hoạt động bằng cách sao chép cơ sở dữ liệu đăng nhập và các tệp cấu hình của trình duyệt vào thư mục tạm thời. Sau đó, nó tận dụng các cơ chế bảo mật sẵn có của Windows để giải mã mật khẩu đã lưu trữ. Bằng cách trích xuất các khóa mã hóa chính và sử dụng API bảo vệ dữ liệu của Windows, phần mềm độc hại có thể khôi phục đầy đủ thông tin đăng nhập, bao gồm tên người dùng và mật khẩu.
Sau khi thu thập dữ liệu, các thông tin nhạy cảm được lưu trữ trong những thư mục hệ thống ẩn và chờ chuyển về máy chủ do kẻ tấn công kiểm soát. Ngoài việc đánh cắp thông tin trình duyệt, HoneyMyte còn sử dụng các tập lệnh thu thập tài liệu mật, thông tin hệ thống, kết hợp với các chức năng như ghi lại thao tác bàn phím và theo dõi bộ nhớ tạm.
Những khả năng này cho thấy HoneyMyte đang chuyển từ các hoạt động gián điệp truyền thống sang mô hình giám sát chủ động, cho phép theo dõi hành vi người dùng và khai thác dữ liệu sâu hơn trong thời gian dài. Trước mối đe dọa ngày càng gia tăng, các cơ quan chính phủ được khuyến nghị tăng cường giám sát an ninh, triển khai các biện pháp phát hiện sớm và theo dõi chặt chẽ các dấu hiệu liên quan đến CoolClient cũng như các họ phần mềm độc hại khác do nhóm tin tặc này sử dụng.
Nguồn: cybersecuritynews
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
