Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch tấn công mạng tinh vi mang mật danh RedKitten, được cho là có liên hệ với các lợi ích của nhà nước Iran, đang nhắm mục tiêu vào các tổ chức phi chính phủ (NGO) và các nhà hoạt động nhân quyền. Chiến dịch này bị phát hiện trong bối cảnh Iran trải qua làn sóng bất ổn xã hội nghiêm trọng do khủng hoảng kinh tế và các cuộc biểu tình quy mô lớn từ cuối năm 2025.
Theo công ty an ninh mạng Pháp HarfangLab, RedKitten được ghi nhận lần đầu vào tháng 1/2026, trùng thời điểm chính quyền Iran tiến hành đàn áp các cuộc biểu tình phản đối lạm phát, giá lương thực tăng cao và đồng nội tệ mất giá. Các cuộc trấn áp này được cho là đã gây ra thương vong lớn và nhiều đợt cắt internet trên diện rộng.
Những bảng tính này được ngụy trang là dữ liệu về những người biểu tình thiệt mạng tại Tehran trong giai đoạn từ cuối tháng 12/2025 đến tháng 1/2026. Tuy nhiên, khi macro VBA được kích hoạt, chúng sẽ cài đặt một backdoor dựa trên C# thông qua kỹ thuật AppDomainManager injection, mở đường cho việc kiểm soát hệ thống nạn nhân từ xa.
Phân tích mã độc cho thấy các macro có dấu hiệu được tạo ra bằng mô hình ngôn ngữ lớn (LLM), thể hiện qua cấu trúc mã, cách đặt tên biến và thậm chí cả các chú thích trong mã nguồn — cho thấy vai trò ngày càng rõ nét của AI trong các chiến dịch gián điệp mạng.
SloppyMIO sử dụng kỹ thuật giấu tin (steganography) để trích xuất cấu hình từ các hình ảnh lưu trữ trên Google Drive, trong đó có thông tin bot Telegram dùng cho kênh điều khiển và chỉ huy (C2). Mọi hoạt động trao đổi dữ liệu, gửi lệnh và exfiltration đều được thực hiện thông qua Telegram Bot API, khiến việc phát hiện trở nên khó khăn hơn.
Diễn biến này cũng cho thấy xu hướng đáng lo ngại: các tác nhân đe dọa ngày càng tận dụng AI và hạ tầng hợp pháp để che giấu dấu vết, khiến việc quy kết và phòng thủ trở nên phức tạp hơn. Dù việc sử dụng các nền tảng phổ biến giúp kẻ tấn công “ẩn mình giữa đám đông”, chúng đồng thời để lại những dấu vết siêu dữ liệu có thể trở thành điểm yếu trong dài hạn.
Các chuyên gia cảnh báo, trong bối cảnh AI ngày càng được vũ khí hóa, các tổ chức nhân quyền, nhà báo và NGO cần nâng cao cảnh giác, tăng cường đào tạo an ninh mạng và áp dụng các biện pháp phòng thủ nhiều lớp để giảm thiểu rủi ro từ các chiến dịch tấn công tinh vi như RedKitten.
Theo công ty an ninh mạng Pháp HarfangLab, RedKitten được ghi nhận lần đầu vào tháng 1/2026, trùng thời điểm chính quyền Iran tiến hành đàn áp các cuộc biểu tình phản đối lạm phát, giá lương thực tăng cao và đồng nội tệ mất giá. Các cuộc trấn áp này được cho là đã gây ra thương vong lớn và nhiều đợt cắt internet trên diện rộng.
Lợi dụng công cụ phổ biến để che giấu hoạt động
Điểm đáng chú ý của RedKitten là việc khai thác các nền tảng phổ biến như GitHub, Google Drive và Telegram để phân phối phần mềm độc hại và điều khiển tấn công. Các tệp độc hại ban đầu được phát tán dưới dạng file nén 7-Zip có tên tiếng Ba Tư, bên trong chứa các bảng tính Microsoft Excel được bảo vệ bằng macro.Những bảng tính này được ngụy trang là dữ liệu về những người biểu tình thiệt mạng tại Tehran trong giai đoạn từ cuối tháng 12/2025 đến tháng 1/2026. Tuy nhiên, khi macro VBA được kích hoạt, chúng sẽ cài đặt một backdoor dựa trên C# thông qua kỹ thuật AppDomainManager injection, mở đường cho việc kiểm soát hệ thống nạn nhân từ xa.
Phân tích mã độc cho thấy các macro có dấu hiệu được tạo ra bằng mô hình ngôn ngữ lớn (LLM), thể hiện qua cấu trúc mã, cách đặt tên biến và thậm chí cả các chú thích trong mã nguồn — cho thấy vai trò ngày càng rõ nét của AI trong các chiến dịch gián điệp mạng.
SloppyMIO – công cụ gián điệp đa năng
Payload chính của chiến dịch, được đặt tên là SloppyMIO, có khả năng tải và thực thi nhiều mô-đun khác nhau, bao gồm thực thi lệnh hệ thống, đánh cắp tệp, duy trì sự tồn tại thông qua tác vụ theo lịch trình và triển khai thêm phần mềm độc hại khác.SloppyMIO sử dụng kỹ thuật giấu tin (steganography) để trích xuất cấu hình từ các hình ảnh lưu trữ trên Google Drive, trong đó có thông tin bot Telegram dùng cho kênh điều khiển và chỉ huy (C2). Mọi hoạt động trao đổi dữ liệu, gửi lệnh và exfiltration đều được thực hiện thông qua Telegram Bot API, khiến việc phát hiện trở nên khó khăn hơn.
Nhắm vào tâm lý nạn nhân
Các chuyên gia nhận định RedKitten có thể đã cố tình nhắm tới những cá nhân đang tìm kiếm thông tin về người thân mất tích, lợi dụng trạng thái căng thẳng và lo âu để thúc đẩy họ mở các tệp độc hại. Việc phát hiện nhiều dữ liệu giả mạo trong các bảng tính càng củng cố giả thuyết đây là một chiến dịch lừa đảo có chủ đích cao.Dấu hiệu quy kết và bối cảnh rộng hơn
HarfangLab cho biết các bằng chứng ngôn ngữ tiếng Ba Tư, chủ đề mồi nhử và sự tương đồng về chiến thuật cho thấy RedKitten có mối liên hệ với các chiến dịch trước đây của các nhóm tin tặc Iran, bao gồm Tortoiseshell, Nemesis Kitten và Charming Kitten.Diễn biến này cũng cho thấy xu hướng đáng lo ngại: các tác nhân đe dọa ngày càng tận dụng AI và hạ tầng hợp pháp để che giấu dấu vết, khiến việc quy kết và phòng thủ trở nên phức tạp hơn. Dù việc sử dụng các nền tảng phổ biến giúp kẻ tấn công “ẩn mình giữa đám đông”, chúng đồng thời để lại những dấu vết siêu dữ liệu có thể trở thành điểm yếu trong dài hạn.
Các chuyên gia cảnh báo, trong bối cảnh AI ngày càng được vũ khí hóa, các tổ chức nhân quyền, nhà báo và NGO cần nâng cao cảnh giác, tăng cường đào tạo an ninh mạng và áp dụng các biện pháp phòng thủ nhiều lớp để giảm thiểu rủi ro từ các chiến dịch tấn công tinh vi như RedKitten.
Nguồn: thehackernews
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
