Một nhóm tin tặc vừa bị cáo buộc thực hiện chiến dịch xâm nhập kéo dài nhiều tháng nhằm vào một công ty dầu khí tại Azerbaijan. Cuộc tấn công được cho là diễn ra liên tục từ cuối tháng 12/2025 đến cuối tháng 02/2026 với nhiều đợt xâm nhập khác nhau, sử dụng các backdoor nguy hiểm như Deed RAT và TernDoor.
Theo báo cáo từ Bitdefender, hoạt động này được gán với mức độ tin cậy từ trung bình đến cao cho nhóm tin tặc FamousSparrow, còn được theo dõi dưới định danh UAT 9244. Nhóm này được cho là có nhiều điểm tương đồng về chiến thuật với các cụm tấn công mang tên Earth Estries và Salt Typhoon.
Theo báo cáo từ Bitdefender, hoạt động này được gán với mức độ tin cậy từ trung bình đến cao cho nhóm tin tặc FamousSparrow, còn được theo dõi dưới định danh UAT 9244. Nhóm này được cho là có nhiều điểm tương đồng về chiến thuật với các cụm tấn công mang tên Earth Estries và Salt Typhoon.
Điểm đáng chú ý của chiến dịch là tin tặc liên tục khai thác cùng một điểm truy cập trên máy chủ Microsoft Exchange Server dù phía nạn nhân đã nhiều lần tiến hành khắc phục. Mỗi đợt quay trở lại, nhóm tấn công lại thay đổi backdoor nhằm duy trì khả năng xâm nhập và né tránh phát hiện.
Theo điều tra, đợt tấn công đầu tiên diễn ra ngày 25.12.2025 với việc triển khai Deed RAT, còn được gọi là Snappybee. Đây là biến thể kế nhiệm của ShadowPad và từng được nhiều nhóm gián điệp mạng có liên hệ với Trung Quốc sử dụng. Đến cuối tháng 1 và đầu tháng 2.2026, nhóm tin tặc tiếp tục quay lại với backdoor TernDoor, loại mã độc từng bị phát hiện trong các cuộc tấn công nhắm vào hạ tầng viễn thông tại Nam Mỹ từ năm 2024.
Cuối tháng 2.2026, công ty dầu khí Azerbaijan tiếp tục bị nhắm mục tiêu lần thứ ba khi các đối tượng triển khai phiên bản Deed RAT đã được chỉnh sửa. Theo Bitdefender, điều này cho thấy nhóm tin tặc đang liên tục cải tiến kho công cụ tấn công của mình nhằm tăng khả năng duy trì hiện diện trong hệ thống nạn nhân.
Các chuyên gia nhận định nhóm tấn công đã khai thác chuỗi lỗ hổng ProxyNotShell để giành quyền truy cập ban đầu vào hệ thống Microsoft Exchange Server. Sau khi xâm nhập, tin tặc tìm cách triển khai web shell để duy trì chỗ đứng lâu dài trong mạng nội bộ trước khi phát tán Deed RAT thông qua kỹ thuật DLL side loading cải tiến. Phương pháp này lợi dụng tệp thực thi hợp pháp của LogMeIn Hamachi để tải DLL độc hại và kích hoạt payload chính.
Bitdefender cho biết khác với kỹ thuật DLL side loading truyền thống chỉ thay thế tệp đơn giản, biến thể mới đã ghi đè hai hàm export cụ thể trong thư viện độc hại. Điều này tạo ra cơ chế kích hoạt hai giai đoạn giúp mã độc hoạt động theo luồng xử lý tự nhiên của ứng dụng, qua đó tăng khả năng né tránh các giải pháp phòng thủ bảo mật.
Trong quá trình hoạt động, tin tặc còn thực hiện di chuyển ngang trong hệ thống để mở rộng quyền truy cập và tạo thêm nhiều điểm bám nhằm duy trì khả năng tồn tại ngay cả khi một phần hoạt động bị phát hiện và gỡ bỏ.
Đáng chú ý, ở làn sóng tấn công thứ hai, nhóm tin tặc đã cố gắng sử dụng kỹ thuật DLL side loading để triển khai TernDoor thông qua Mofu Loader, một trình tải shellcode trước đây từng được gán cho nhóm GroundPeony. Tuy nhiên nỗ lực này được cho là không thành công. Theo Bitdefender, mẫu Deed RAT mới nhất sử dụng tên miền “sentinelonepro.com” làm máy chủ điều khiển và nhận lệnh.
Vụ việc đang thu hút nhiều tranh luận trong cộng đồng an ninh mạng khi Azerbaijan ngày càng đóng vai trò quan trọng trong an ninh năng lượng châu Âu sau khi thỏa thuận trung chuyển khí đốt Nga Ukraine hết hạn vào năm 2024 và các gián đoạn tại eo biển Hormuz trong năm 2026.
Nhiều ý kiến trên mạng xã hội cho rằng chiến dịch này cho thấy các nhóm gián điệp mạng hiện không còn chỉ tập trung vào cơ quan chính phủ hay quốc phòng mà đang chuyển hướng mạnh sang lĩnh vực năng lượng và hạ tầng trọng yếu.
Bitdefender nhận định đây không phải một vụ xâm nhập đơn lẻ mà là chiến dịch có chủ đích, kéo dài và thích nghi liên tục. Trong nhiều đợt hoạt động, cùng một đường truy cập đã bị khai thác lặp đi lặp lại, nhiều payload mới được triển khai và thêm các điểm bám mới được thiết lập, cho thấy mức độ kiên trì và tính tổ chức rất cao của nhóm tấn công.
Các chuyên gia bảo mật khuyến cáo doanh nghiệp cần:
• Vá triệt để các lỗ hổng trên Microsoft Exchange Server
• Thay đổi toàn bộ thông tin xác thực sau khi phát hiện xâm nhập
• Kiểm tra dấu hiệu web shell và DLL bất thường trong hệ thống
• Giám sát hoạt động di chuyển ngang trong mạng nội bộ
• Theo dõi các kết nối tới hạ tầng command and control đáng ngờ
• Triển khai giải pháp phát hiện hành vi thay vì chỉ dựa vào chữ ký mã
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
