Duy Linh
Writer
Một chiến dịch tấn công mạng mới được các chuyên gia an ninh mạng phát hiện cho thấy nhóm Nimbus Manticore, còn được định danh là UNC1549 và bị nghi có liên hệ với lực lượng Vệ binh Cách mạng Iran, đang thay đổi mạnh cách thức triển khai mã độc cũng như nâng cấp đáng kể độ tinh vi trong hoạt động.
Chiến dịch xuất hiện trong bối cảnh xung đột địa chính trị liên quan đến Epic Fury, bắt đầu từ ngày 28/2/2026. Điểm đáng chú ý là lần đầu tiên nhóm này sử dụng kỹ thuật đầu độc SEO nhằm phát tán mã độc dưới dạng phần mềm tưởng như hợp pháp.
Trước đây, Nimbus Manticore chủ yếu tập trung vào các mục tiêu thuộc lĩnh vực hàng không, quốc phòng và viễn thông thông qua email lừa đảo liên quan đến tuyển dụng hoặc công việc. Tuy nhiên, các hoạt động gần đây cho thấy phạm vi tấn công đã mở rộng sang Mỹ, châu Âu và Trung Đông, đồng thời sử dụng vỏ bọc là các công ty hàng không hoặc nhà cung cấp phần mềm để đánh lừa nạn nhân.
Trong các chiến dịch đầu năm 2026, tin tặc thường gửi email phishing chứa tệp ZIP được lưu trên những nền tảng hợp pháp như OnlyOffice. Các tệp này khai thác kỹ thuật chiếm quyền điều khiển AppDomain, buộc ứng dụng .NET đáng tin cậy phải tải DLL độc hại thông qua tệp .config nhằm âm thầm thực thi mã.
Khi người dùng mở những tập tin này, chuỗi lây nhiễm nhiều giai đoạn sẽ được kích hoạt và dẫn tới việc cài đặt phiên bản mới của mã độc MiniJunk.
Các kỹ thuật nổi bật được ghi nhận gồm:
Lộ trình chiến dịch năm 2026 trong bối cảnh chiến dịch quân sự đang diễn ra (Nguồn: Checkpoint).
Chiến dịch này cũng đánh dấu sự xuất hiện của MiniFast, một biến thể mã độc mới thay thế MiniJunk. Đây là DLL 64-bit cho phép tin tặc kiểm soát hoàn toàn hệ thống bị nhiễm, bao gồm đánh cắp tệp tin, thực thi lệnh từ xa và thao túng tiến trình.
MiniFast liên lạc với máy chủ điều khiển C2 thông qua các yêu cầu HTTP có cấu trúc cùng dữ liệu JSON, đồng thời giả mạo lưu lượng của trình duyệt Chrome để hòa lẫn với hoạt động mạng bình thường.
Theo báo cáo của Check Point chia sẻ với GBHackers, giai đoạn thứ ba của chiến dịch đã tận dụng kỹ thuật đầu độc SEO. Tin tặc dựng trang web giả mạo getsqldeveloper[.]com và ngụy trang thành cổng tải Oracle SQL Developer.
Để tăng khả năng xuất hiện trên công cụ tìm kiếm, nhóm này đăng ký thêm nhiều tên miền hỗ trợ và sử dụng kỹ thuật nhồi nhét từ khóa như “Tải xuống SQL Developer” hoặc “SQL Developer miễn phí”. Nhờ đó, trang web độc hại đạt vị trí cao trên Bing và DuckDuckGo.
Chiến dịch 2: Trong Chiến dịch Cơn Thịnh Nộ Vĩ Đại – Chuỗi Tấn Công (Nguồn: Checkpoint).
Người dùng tìm kiếm công cụ SQL sau đó bị dẫn tới trang giả mạo và tải về trình cài đặt chứa MiniFast. Đây được xem là bước chuyển từ các chiến dịch phishing truyền thống sang hình thức phát tán mã độc thông qua kết quả tìm kiếm.
Phân tích mã nguồn cho thấy phần mềm độc hại có nhiều dấu hiệu được phát triển với sự hỗ trợ của trí tuệ nhân tạo. Các chuyên gia ghi nhận:
Trang web getsqldeveloper[.]com (Nguồn: Checkpoint).
Những đặc điểm này cho thấy khả năng nhóm tấn công đã sử dụng mô hình ngôn ngữ lớn hoặc công cụ lập trình tự động nhằm tăng tốc độ phát triển và khả năng thích ứng trong quá trình vận hành.
MiniFast hoạt động như một backdoor hoàn chỉnh với nhiều khả năng như thực thi lệnh CMD từ xa, tải lên và tải xuống tệp tin, liệt kê thư mục và tiến trình, duy trì hoạt động thông qua tác vụ theo lịch trình và thay đổi linh hoạt khoảng thời gian liên lạc với máy chủ điều khiển.
Mã độc cũng sử dụng Base64 để mã hóa tác vụ và hỗ trợ cấu trúc lệnh đa dạng, cho phép kẻ điều hành kiểm soát sâu các hệ thống đã bị xâm nhập.
Các hoạt động mới nhất của Nimbus Manticore cho thấy mức độ trưởng thành đáng kể trong chiến thuật tấn công mạng. Việc kết hợp đầu độc SEO, phát triển mã độc có hỗ trợ AI cùng các kỹ thuật tàng hình cho thấy tốc độ tiến hóa nhanh của nhóm trong bối cảnh xung đột địa chính trị ngày càng căng thẳng.
Việc tiếp tục nhắm tới các lĩnh vực giá trị cao, đặc biệt là ngành hàng không Mỹ, cũng phù hợp với mục tiêu thu thập tình báo quy mô lớn của Iran. Điều này phản ánh xu hướng kết hợp ngày càng chặt chẽ giữa hoạt động mạng và các cuộc xung đột địa chính trị hiện đại.
Chiến dịch xuất hiện trong bối cảnh xung đột địa chính trị liên quan đến Epic Fury, bắt đầu từ ngày 28/2/2026. Điểm đáng chú ý là lần đầu tiên nhóm này sử dụng kỹ thuật đầu độc SEO nhằm phát tán mã độc dưới dạng phần mềm tưởng như hợp pháp.
Trước đây, Nimbus Manticore chủ yếu tập trung vào các mục tiêu thuộc lĩnh vực hàng không, quốc phòng và viễn thông thông qua email lừa đảo liên quan đến tuyển dụng hoặc công việc. Tuy nhiên, các hoạt động gần đây cho thấy phạm vi tấn công đã mở rộng sang Mỹ, châu Âu và Trung Đông, đồng thời sử dụng vỏ bọc là các công ty hàng không hoặc nhà cung cấp phần mềm để đánh lừa nạn nhân.
Trong các chiến dịch đầu năm 2026, tin tặc thường gửi email phishing chứa tệp ZIP được lưu trên những nền tảng hợp pháp như OnlyOffice. Các tệp này khai thác kỹ thuật chiếm quyền điều khiển AppDomain, buộc ứng dụng .NET đáng tin cậy phải tải DLL độc hại thông qua tệp .config nhằm âm thầm thực thi mã.
Khi người dùng mở những tập tin này, chuỗi lây nhiễm nhiều giai đoạn sẽ được kích hoạt và dẫn tới việc cài đặt phiên bản mới của mã độc MiniJunk.
Zoom giả mạo và sự xuất hiện của mã độc MiniFast
Trong chiến dịch Epic Fury, nhóm tấn công đã triển khai một chuỗi lây nhiễm phức tạp hơn bằng cách sử dụng trình cài đặt Zoom đã bị trojan hóa. Phần mềm giả mạo này mô phỏng quy trình cài đặt hợp pháp nhưng bí mật triển khai các thành phần độc hại vào hệ thống.Các kỹ thuật nổi bật được ghi nhận gồm:
- Lợi dụng các tệp nhị phân có chữ ký hợp lệ để né tránh công cụ bảo mật.
- Chiếm quyền điều khiển tác vụ theo lịch trình thông qua cơ chế cập nhật của Zoom nhằm duy trì quyền truy cập.
- Sử dụng trình tải nhiều giai đoạn kết hợp kỹ thuật làm rối mã như ROT13 và đảo ngược chuỗi.
- Kiểm tra môi trường thực thi nhằm tránh bị phân tích trong sandbox.
Lộ trình chiến dịch năm 2026 trong bối cảnh chiến dịch quân sự đang diễn ra (Nguồn: Checkpoint).
Chiến dịch này cũng đánh dấu sự xuất hiện của MiniFast, một biến thể mã độc mới thay thế MiniJunk. Đây là DLL 64-bit cho phép tin tặc kiểm soát hoàn toàn hệ thống bị nhiễm, bao gồm đánh cắp tệp tin, thực thi lệnh từ xa và thao túng tiến trình.
MiniFast liên lạc với máy chủ điều khiển C2 thông qua các yêu cầu HTTP có cấu trúc cùng dữ liệu JSON, đồng thời giả mạo lưu lượng của trình duyệt Chrome để hòa lẫn với hoạt động mạng bình thường.
Theo báo cáo của Check Point chia sẻ với GBHackers, giai đoạn thứ ba của chiến dịch đã tận dụng kỹ thuật đầu độc SEO. Tin tặc dựng trang web giả mạo getsqldeveloper[.]com và ngụy trang thành cổng tải Oracle SQL Developer.
Để tăng khả năng xuất hiện trên công cụ tìm kiếm, nhóm này đăng ký thêm nhiều tên miền hỗ trợ và sử dụng kỹ thuật nhồi nhét từ khóa như “Tải xuống SQL Developer” hoặc “SQL Developer miễn phí”. Nhờ đó, trang web độc hại đạt vị trí cao trên Bing và DuckDuckGo.
Chiến dịch 2: Trong Chiến dịch Cơn Thịnh Nộ Vĩ Đại – Chuỗi Tấn Công (Nguồn: Checkpoint).
Người dùng tìm kiếm công cụ SQL sau đó bị dẫn tới trang giả mạo và tải về trình cài đặt chứa MiniFast. Đây được xem là bước chuyển từ các chiến dịch phishing truyền thống sang hình thức phát tán mã độc thông qua kết quả tìm kiếm.
Phân tích mã nguồn cho thấy phần mềm độc hại có nhiều dấu hiệu được phát triển với sự hỗ trợ của trí tuệ nhân tạo. Các chuyên gia ghi nhận:
- Tên hàm dài dòng và lặp lại.
- Cơ chế xử lý lỗi quá mức cho các API đơn giản.
- Thiết kế dạng mô-đun dù chức năng không quá phức tạp.
- Nhiều thông báo debug và nhật ký được nhúng trong mã nguồn.
Trang web getsqldeveloper[.]com (Nguồn: Checkpoint).
Những đặc điểm này cho thấy khả năng nhóm tấn công đã sử dụng mô hình ngôn ngữ lớn hoặc công cụ lập trình tự động nhằm tăng tốc độ phát triển và khả năng thích ứng trong quá trình vận hành.
MiniFast hoạt động như một backdoor hoàn chỉnh với nhiều khả năng như thực thi lệnh CMD từ xa, tải lên và tải xuống tệp tin, liệt kê thư mục và tiến trình, duy trì hoạt động thông qua tác vụ theo lịch trình và thay đổi linh hoạt khoảng thời gian liên lạc với máy chủ điều khiển.
Mã độc cũng sử dụng Base64 để mã hóa tác vụ và hỗ trợ cấu trúc lệnh đa dạng, cho phép kẻ điều hành kiểm soát sâu các hệ thống đã bị xâm nhập.
Các hoạt động mới nhất của Nimbus Manticore cho thấy mức độ trưởng thành đáng kể trong chiến thuật tấn công mạng. Việc kết hợp đầu độc SEO, phát triển mã độc có hỗ trợ AI cùng các kỹ thuật tàng hình cho thấy tốc độ tiến hóa nhanh của nhóm trong bối cảnh xung đột địa chính trị ngày càng căng thẳng.
Việc tiếp tục nhắm tới các lĩnh vực giá trị cao, đặc biệt là ngành hàng không Mỹ, cũng phù hợp với mục tiêu thu thập tình báo quy mô lớn của Iran. Điều này phản ánh xu hướng kết hợp ngày càng chặt chẽ giữa hoạt động mạng và các cuộc xung đột địa chính trị hiện đại.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
