Nhóm Nghiên cứu & Phân tích Toàn cầu của Kaspersky phát hiện phần mềm gián điệp mới của HackingTeam tái xuất sau nhiều năm im ắn

Nhóm Nghiên cứu & Phân tích Toàn cầu của Kaspersky phát hiện phần mềm gián điệp mới của HackingTeam tái xuất sau nhiều năm im ắng

Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky (GReAT) vừa phát hiện bằng chứng cho thấy Memento Labs, công ty kế nhiệm HackingTeam có liên quan tới làn sóng tấn công gián điệp mạng (cyber espionage) mới. Phát hiện này được đưa ra sau cuộc điều tra về Chiến dịch ForumTroll - một chiến dịch tấn công có chủ đích (APT - Advanced Persistent Threat) lợi dụng lỗ hổng zero-day trong trình duyệt Google Chrome. Kết quả nghiên cứu được Kaspersky công bố tại Hội nghị Thượng đỉnh phân tích bảo mật Security Analyst Summit 2025 tổ chức tại Thái Lan.

Vào tháng 3/2025, Kaspersky GReAT đã đăng thông tin vạch trần ForumTroll - một chiến dịch gián điệp mạng tinh vi khai thác lỗ hổng zero-day CVE-2025-2783 trong Chrome. Nhóm APT đứng sau chiến dịch này đã gửi email lừa đảo (phishing) được cá nhân hóa, giả mạo thư mời tham dự diễn đàn Primakov Readings, nhắm đến các cơ quan truyền thông, các tổ chức Chính phủ, giáo dục và tài chính tại Nga.

Trong quá trình điều tra Chiến dịch ForumTroll, các nhà nghiên cứu đã phát hiện phần mềm gián điệp LeetAgent. Phần mềm này nổi bật với các lệnh điều khiển được viết bằng “leetspeak” - một tính năng hiếm gặp trong phần mềm độc hại dạng APT. Phân tích sâu hơn cho thấy những điểm tương đồng giữa bộ công cụ của LeetAgent và một phần mềm gián điệp tinh vi hơn, từng được Kaspersky GReAT phát hiện trong các cuộc tấn công khác. 

Từ quá trình quan sát, phân tích một số trường hợp, các chuyên gia xác định được LeetAgent là công cụ khởi chạy phần mềm gián điệp tinh vi kia, hoặc cả hai cùng sử dụng chung một loader framework - bộ khung nạp mà tin tặc dùng để tải, kích hoạt hoặc triển khai các thành phần mã độc khác vào hệ thống của nạn nhân. Nhờ đó, các chuyên gia đã xác nhận mối liên hệ giữa hai loại mã độc cũng như sự liên quan giữa các cuộc tấn công.

Phần mềm gián điệp còn lại che giấu mã độc bằng cách sử dụng các kỹ thuật chống phân tích tiên tiến, bao gồm công nghệ làm rối mã (obfuscation) VMProtect. Mặc dù vậy, các chuyên gia từ Kaspersky vẫn trích xuất được tên của mã độc này từ mã nguồn là Dante. Các nhà nghiên cứu đã xác định rằng Dante là tên của một phần mềm gián điệp thương mại được phát triển và quảng bá bởi Memento Labs, công ty kế nhiệm và đổi tên thương hiệu từ HackingTeam. Thêm vào đó, các mẫu mới nhất của Remote Control System (RCS) - phần mềm gián điệp của HackingTeam mà Kaspersky thu thập được, cũng cho thấy sự tương đồng rõ rệt với Dante. 

Ông Boris Larin, Trưởng nhóm Nghiên cứu Bảo mật tại Kaspersky GReAT chia sẻ: “Sự tồn tại của các đơn vị cung cấp phần mềm gián điệp thương mại vẫn được biết đến rộng rãi trong ngành. Mặc dù vậy, không dễ để nắm bắt được sản phẩm của các nhà cung cấp này, nhất là trong các cuộc tấn công có chủ đích (targeted attacks) - nơi việc nhận diện trở nên cực kỳ khó khăn. Để tìm ra nguồn gốc của Dante, chúng tôi phải bóc tách từng lớp mã độc đã được làm rối mã (heavily obfuscated code), lần theo một vài dấu vết hiếm hoi trong suốt hàng năm trời phát triển của phần mềm độc hại đó, liên kết đối chiếu để tìm ra nguồn gốc. Có lẽ đó là lý do vì sao tin tặc đặt tên phần mềm gián điệp này là Dante, bởi bất cứ ai muốn tìm ra nguồn gốc của Dante, sẽ phải trải qua hành trình vật vã như thể rơi xuống địa ngục. (Dante là tên một nhà thơ Ý, nổi tiếng với tác phẩm Thần Khúc, trong đó phần đầu tác phẩm mô tả chi tiết hình ảnh "Địa ngục") 

Để tránh bị phát hiện, Dante được thiết kế với cơ chế tự phân tích môi trường xung quanh trước khi quyết định liệu Dante có thể thực hiện các tính năng của mình một cách an toàn hay không.

Các nhà nghiên cứu lần theo dấu vết và phát hiện LeetAgent đã xuất hiện từ năm 2022. Phần mềm gián điệp này được sử dụng trong nhiều cuộc tấn công khác nhau của APT ForumTroll, nhắm vào các tổ chức và cá nhân tại Nga và Belarus. Nhóm tin tặc này nổi tiếng với khả năng sử dụng tiếng Nga thành thạo và hiểu biết sâu về bối cảnh địa phương. Tuy nhiên, một số lỗi nhỏ trong ngôn ngữ cho thấy những kẻ tấn công không phải người bản địa. 

Cuộc tấn công sử dụng LeetAgent được phát hiện đầu tiên nhờ Kaspersky Next XDR Expert. Thông tin chi tiết đầy đủ của nghiên cứu này, cũng như các bản cập nhật trong tương lai về ForumTroll APT và Dante, sẽ được cung cấp cho khách hàng của dịch vụ báo cáo APT thông qua Threat Intelligence Portal của Kaspersky.

Độc giả có thể xem thêm các chỉ số nhận diện tấn công (IoCs) trong bài viết chi tiết trên Securelist.com.

*Về NTS

Công ty TNHH Bảo Mật Nam Trường Sơn (NTS Security) là nhà phân phối chính thức các giải pháp bảo mật Kaspersky tại Việt Nam từ năm 2007. Với hơn 17 năm kinh nghiệm, NTS Security tự hào là đối tác chiến lược hàng đầu, đồng hành cùng hàng ngàn doanh nghiệp và các đối tác trong hành trình nâng cao năng lực bảo mật và chuyển đổi số tại Việt Nam.

NTS không chỉ cung cấp sản phẩm chính hãng mà còn mang đến dịch vụ tư vấn và hỗ trợ kỹ thuật chuyên sâu, đảm bảo hiệu quả và độ tin cậy trong từng giải pháp triển khai.

Liên hệ với chúng tôi:

Công ty TNHH Bảo Mật Nam Trường Sơn (NTS Security)

Trụ sở chính: 55/10 Trần Đình Xu, Phường Cầu Kho, Quận 1, HCM.

VPLV HCM: 20 Tăng Bạt Hổ, Phường 11, Q. Bình Thạnh, HCM.

VPDD HN: Tầng 6, Tòa nhà Qunimex, số 29 Lê Đại Hành, Q. Hai Bà Trưng, Hà Nội

Website: https://kaspersky.nts.com.vn

Hotline: (028) 3841 8080

Email: info@kaspersky.vn  | Hỗ trợ kỹ thuât: hotro@kaspersky.vn