Nguyễn Tiến Đạt
Intern Writer
Nhóm tin tặc có liên hệ với Iran mang tên MuddyWater, còn được biết đến với các tên như Mango Sandstorm, Seedworm hay Static Kitten, bị cáo buộc đứng sau một chiến dịch tấn công mạng giả dạng mã độc tống tiền.
Theo báo cáo từ Rapid7
, chiến dịch được phát hiện vào đầu năm 2026 và sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) thông qua Microsoft Teams để xâm nhập hệ thống.
Ban đầu, vụ việc có dấu hiệu giống một cuộc tấn công ransomware-as-a-service (RaaS) liên quan đến nhóm Chaos. Tuy nhiên, các chuyên gia nhận định đây thực chất là một chiến dịch có chủ đích do nhà nước hậu thuẫn, được ngụy trang dưới hình thức tống tiền mạng.
Kẻ tấn công sử dụng tính năng chia sẻ màn hình trên Microsoft Teams để đánh cắp thông tin đăng nhập và thao túng xác thực đa yếu tố (MFA). Sau khi xâm nhập thành công, chúng không mã hóa dữ liệu như ransomware truyền thống mà tập trung vào đánh cắp dữ liệu và duy trì quyền truy cập lâu dài thông qua các công cụ điều khiển từ xa như DWAgent và AnyDesk.
Rapid7 cho biết nhóm này còn cố tình làm mờ dấu vết bằng cách sử dụng các công cụ phổ biến trong giới tội phạm mạng nhằm gây khó khăn cho việc truy vết nguồn gốc.
Sau khi kiểm soát thiết bị, kẻ tấn công tiến hành thu thập thông tin hệ thống, truy cập dữ liệu cấu hình VPN, đánh cắp tài khoản và di chuyển ngang trong mạng nội bộ trước khi đánh cắp dữ liệu quan trọng.
Rapid7 cũng phát hiện các mã độc được sử dụng trong chuỗi tấn công gồm:
Mối liên hệ với MuddyWater được xác định thông qua chứng chỉ ký mã “Donald Gay”, từng được nhóm này sử dụng trong các chiến dịch trước đây để ký mã độc như CastleLoader và Fakeset.
Việc sử dụng mô hình ransomware-as-a-service giúp các nhóm tin tặc che giấu mục tiêu thực sự, đồng thời khiến các tổ chức phòng thủ tập trung vào nguy cơ tống tiền mà bỏ sót các cơ chế duy trì truy cập ngầm trong hệ thống.
Song song đó, nhiều hoạt động mạng có liên hệ với Iran cũng được phát hiện trong thời gian gần đây, bao gồm các cuộc tấn công nhắm vào cơ quan chính phủ Oman và các cơ sở hạ tầng quan trọng tại Trung Đông.
Giới nghiên cứu cảnh báo ranh giới giữa tấn công mạng và các hoạt động gây ảnh hưởng ngoài đời thực đang ngày càng mờ đi, đặc biệt khi dữ liệu đánh cắp từ các hệ thống hạ tầng có thể được sử dụng cho các mục đích quân sự hoặc phá hoại thực tế.
Theo báo cáo từ Rapid7
, chiến dịch được phát hiện vào đầu năm 2026 và sử dụng các kỹ thuật tấn công phi kỹ thuật (social engineering) thông qua Microsoft Teams để xâm nhập hệ thống.
Ban đầu, vụ việc có dấu hiệu giống một cuộc tấn công ransomware-as-a-service (RaaS) liên quan đến nhóm Chaos. Tuy nhiên, các chuyên gia nhận định đây thực chất là một chiến dịch có chủ đích do nhà nước hậu thuẫn, được ngụy trang dưới hình thức tống tiền mạng.
Kẻ tấn công sử dụng tính năng chia sẻ màn hình trên Microsoft Teams để đánh cắp thông tin đăng nhập và thao túng xác thực đa yếu tố (MFA). Sau khi xâm nhập thành công, chúng không mã hóa dữ liệu như ransomware truyền thống mà tập trung vào đánh cắp dữ liệu và duy trì quyền truy cập lâu dài thông qua các công cụ điều khiển từ xa như DWAgent và AnyDesk.
Rapid7 cho biết nhóm này còn cố tình làm mờ dấu vết bằng cách sử dụng các công cụ phổ biến trong giới tội phạm mạng nhằm gây khó khăn cho việc truy vết nguồn gốc.
Chiến thuật “giả ransomware” ngày càng nguy hiểm
Theo phân tích, chiến dịch bắt đầu bằng việc gửi hàng loạt tin nhắn hoặc cuộc gọi giả danh bộ phận hỗ trợ CNTT qua Microsoft Teams nhằm dụ nạn nhân cài đặt các công cụ truy cập từ xa như Microsoft Quick Assist.Sau khi kiểm soát thiết bị, kẻ tấn công tiến hành thu thập thông tin hệ thống, truy cập dữ liệu cấu hình VPN, đánh cắp tài khoản và di chuyển ngang trong mạng nội bộ trước khi đánh cắp dữ liệu quan trọng.
Rapid7 cũng phát hiện các mã độc được sử dụng trong chuỗi tấn công gồm:
- Stagecomp (ms_upd.exe): Thu thập thông tin hệ thống và tải thêm payload độc hại.
- Darkcomp (game.exe): Một RAT giả dạng ứng dụng hợp pháp của Microsoft WebView2.
- WebView2Loader.dll: DLL hợp pháp phục vụ việc nhúng nội dung web trên Windows.
- visualwincomp.txt: Tệp cấu hình mã hóa chứa thông tin máy chủ điều khiển (C2).
Mối liên hệ với MuddyWater được xác định thông qua chứng chỉ ký mã “Donald Gay”, từng được nhóm này sử dụng trong các chiến dịch trước đây để ký mã độc như CastleLoader và Fakeset.
Xu hướng kết hợp giữa gián điệp mạng và tội phạm mạng
Các chuyên gia an ninh mạng nhận định chiến dịch lần này phản ánh xu hướng ngày càng rõ giữa hoạt động gián điệp do nhà nước hậu thuẫn và các mô hình tội phạm mạng thương mại.Việc sử dụng mô hình ransomware-as-a-service giúp các nhóm tin tặc che giấu mục tiêu thực sự, đồng thời khiến các tổ chức phòng thủ tập trung vào nguy cơ tống tiền mà bỏ sót các cơ chế duy trì truy cập ngầm trong hệ thống.
Song song đó, nhiều hoạt động mạng có liên hệ với Iran cũng được phát hiện trong thời gian gần đây, bao gồm các cuộc tấn công nhắm vào cơ quan chính phủ Oman và các cơ sở hạ tầng quan trọng tại Trung Đông.
Giới nghiên cứu cảnh báo ranh giới giữa tấn công mạng và các hoạt động gây ảnh hưởng ngoài đời thực đang ngày càng mờ đi, đặc biệt khi dữ liệu đánh cắp từ các hệ thống hạ tầng có thể được sử dụng cho các mục đích quân sự hoặc phá hoại thực tế.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
