Theo hãng bảo mật Trellix (Mỹ), chiến dịch này bắt đầu từ tháng 3/2025 và vẫn đang tiếp diễn, với ít nhất 19 cuộc tấn công phishing nhắm vào các mục tiêu có giá trị cao. Các nhà nghiên cứu cho biết mặc dù cơ sở hạ tầng và kỹ thuật phù hợp với hoạt động của nhóm tin tặc Triều Tiên Kimsuky (APT43), nhưng cũng có một số dấu hiệu cho thấy do các tin tặc Trung Quốc thực hiện vai trò hỗ trợ hoặc tham gia một phần trong chiến dịch này.

Chiến dịch nhiều giai đoạn

Các cuộc tấn công diễn ra theo ba giai đoạn, mỗi giai đoạn có những email dụ dỗ riêng biệt từ đầu tháng 3 đến tháng 7/2025. Cuộc điều tra ban đầu bắt đầu vào tháng 3, với email đầu tiên được phát hiện nhắm vào một đại sứ quán. Vào tháng 5, kẻ tấn công chuyển sang nhắm mục tiêu ngoại giao với những chiêu trò tinh vi hơn.

Các nhà nghiên cứu Trellix cho biết: “Vào ngày 13/5/2025, một email gửi đến một đại sứ quán giả mạo đến từ một quan chức cấp cao của phái đoàn EU về cuộc họp cố vấn chính trị tại Phái đoàn EU vào ngày 14/5”. Từ tháng 6 đến tháng 7/2025, các tin tặc chuyển hướng sang các chủ đề liên quan đến liên minh quân sự Mỹ - Hàn.

Dòng thời gian của các cuộc tấn công

Mục tiêu thường nhắm các đại sứ quán châu Âu tại Seoul với chủ đề bao gồm thư mời họp, thư chính thức và thư mời sự kiện giả mạo, thường được gửi từ các nhà ngoại giao mạo danh.

Các mồi nhử này rất phù hợp với ngữ cảnh và sử dụng đa ngôn ngữ, được viết bằng tiếng Hàn, tiếng Anh, tiếng Ba Tư, tiếng Ả Rập, tiếng Pháp và tiếng Nga. Hơn nữa, để chiến dịch thuyết phục hơn, hầu hết các email đều được căn chỉnh thời gian cho phù hợp với các sự kiện có thật.

Tin nhắn lừa đảo được sử dụng trong các cuộc tấn công

Trong mọi giai đoạn, phương thức phân phối vẫn giữ nguyên, kẻ tấn công triển khai các tệp lưu trữ được bảo vệ bằng mật khẩu (.ZIP) từ Dropbox, Google Drive hoặc các dịch vụ lưu trữ Daum, điều này sẽ làm giảm nguy cơ cảnh báo từ các hệ thống bảo vệ email.

Các kho lưu trữ chứa một tệp .LNK ngụy trang dưới dạng PDF. Khi khởi chạy, nó sẽ kích hoạt mã PowerShell được mã hóa để truy xuất payload XenoRAT từ GitHub hoặc Dropbox, đảm bảo duy trì tính bền vững bằng các tác vụ được lên lịch.

Được biết, XenoRAT là một loại trojan mạnh mẽ có thể ghi lại các thao tác bàn phím, chụp ảnh màn hình, truy cập webcam và micrô trên máy tính bị nhiễm, thực hiện truyền tệp tin và tạo điều kiện cho các hoạt động shell từ xa. Trellix lưu ý rằng XenoRAT được tải trực tiếp vào bộ nhớ và được che giấu bằng Confuser Core 1.6.0, do đó nó vẫn duy trì sự hiện diện bí mật trên các hệ thống bị xâm phạm.

Tổng quan về chuỗi lây nhiễm

Liên quan đến tin tặc Triều Tiên và có sự tham gia của Trung Quốc

Trellix nhấn mạnh rằng các cuộc tấn công này có những điểm tương đồng với tin tặc Kimsuky (hay APT43) và sử dụng các kỹ thuật điển hình liên quan đến nhóm tin tặc Triều Tiên này. Những giả thuyết ủng hộ kết luận trên bao gồm việc sử dụng dịch vụ email của Hàn Quốc, lạm dụng GitHub để ra lệnh và kiểm soát, cũng như sử dụng GUID và mutex duy nhất giống với các dòng phần mềm độc hại Kimsuky khác.

Ngoài ra, các nhà nghiên cứu đã ghi lại các IP và tên miền trước đây được liên kết với các chiến dịch Kimsuky. Tuy nhiên, phân tích múi giờ cho thấy phần lớn hoạt động của kẻ tấn công trùng khớp với tác nhân có trụ sở tại Trung Quốc. Trellix kết luận rằng chiến dịch này được cho là do Kimsuky thực hiện, đưa ra giả thuyết về một số hình thức hỗ trợ hoặc sự tham gia của các tin tặc Trung Quốc.

Kimsuky đã hoạt động ít nhất từ năm 2012, nhắm mục tiêu vào các chính phủ, viện nghiên cứu, học giả và tổ chức truyền thông trên khắp châu Á, châu Âu, Nhật Bản, Nga và Mỹ. Năm 2023, Chính phủ Mỹ và các đồng minh đã áp đặt lệnh trừng phạt đối với nhóm tin tặc này, cáo buộc họ thu thập thông tin tình báo.