PHÂN TÍCH KỸ THUẬT
Sự phát triển của mối đe dọa
Nhóm Stan Ghouls dựa vào các email lừa đảo chứa các tệp đính kèm PDF độc hại làm điểm xâm nhập ban đầu. Trước đây, nhóm này thường sử dụng Trojan truy cập từ xa (RAT) STRAT - còn được gọi là Strigoi Master để thực hiện các cuộc tấn công. Tuy nhiên vào năm ngoái, các tin tặc đã thay đổi chiến lược, lựa chọn lạm dụng phần mềm hợp pháp NetSupport để duy trì quyền kiểm soát các máy tính bị nhiễm.
Với việc Stan Ghouls nhắm mục tiêu vào các tổ chức tài chính, Kaspersky nhận định rằng động cơ chính của chúng là vì lợi ích kinh tế. Tuy nhiên, việc các tác nhân đe dọa sử dụng rộng rãi các phần mềm điều khiển từ xa cũng có thể là dấu hiệu của hoạt động gián điệp mạng. Tương tự như bất kỳ nhóm tội phạm mạng có tổ chức nào khác, Stan Ghouls thường xuyên nâng cấp cơ sở hạ tầng của mình.
Vectơ lây nhiễm ban đầu
Như đã đề cập, phương thức phát tán chính của Stan Ghouls là tấn công spear phishing. Cụ thể, các tin tặc có xu hướng sử dụng các email chứa tệp đính kèm PDF độc hại. Điều thú vị là, những kẻ tấn công ưa thích sử dụng ngôn ngữ địa phương hơn là các ngôn ngữ quốc tế phổ biến như tiếng Nga hoặc tiếng Anh. Dưới đây là một ví dụ về email được phát hiện trong một chiến dịch trước đó nhắm mục tiêu vào người dùng ở Kyrgyzstan.
.png)
Hình 1. Ví dụ về email lừa đảo từ một chiến dịch Stan Ghouls trước đó
Email này được viết bằng tiếng Kyrgyz và tạm dịch như sau: “Bộ phận dịch vụ đã liên hệ với bạn. Tài liệu để xem xét được đính kèm. Trân trọng”. Thực tế, tệp đính kèm là một tệp tin PDF độc hại có tiêu đề “Постановление_Районный_суд_Кчрм_3566_28-01-25_OL4_scan.pdf” (được viết bằng tiếng Nga, giả mạo là một lệnh của tòa án quận).
Trong chiến dịch gần đây nhất chủ yếu nhắm vào các nạn nhân ở Uzbekistan, các tin tặc đã sử dụng email lừa đảo có chủ đích được viết bằng tiếng Uzbek.
.png)
Ví dụ về một email tấn công lừa đảo có chủ đích từ chiến dịch gần nhất
Tệp đính kèm này có tên E-SUD_705306256_ljro_varaqasi.pdf (MD5: 7556e2f5a8f7d7531f28508f718cb83d), là một tệp PDF giả mạo một trang web.
.png)
Hình 3. Tài liệu mồi được nhúng
Đáng lưu ý, những kẻ tấn công tuyên bố rằng “tài liệu vụ án” (thực chất là trình tải độc hại) chỉ có thể được mở bằng Java Runtime Environment. Tinh vi hơn, các tin tặc thậm chí còn cung cấp một đường dẫn để nạn nhân có thể tải xuống và cài đặt từ trang web chính thức.
Trình tải độc hại
Tài liệu giả mạo chứa văn bản giống hệt nhau bằng cả tiếng Nga và tiếng Uzbek, với hai liên kết nhúng đến trình tải độc hại:
- Liên kết tiếng Uzbek (“- Ish materiallari 09.12.2025 y”): hxxps://mysoliq-uz[.]com/api/v2/documents/financial/Q4-2025/audited/consolidated/with-notes/financials/reports/annual/2025/tashkent/statistical-statements/.
- Liên kết tiếng Nga (“- Материалы дела 09.12.2025 г.”): hxxps://my-xb[.]com/api/v2/documents/financial/Q4-2025/audited/consolidated/with-notes/financials/reports/annual/2025/tashkent/statistical-statements/.
Cả hai liên kết trên đều dẫn đến cùng một tệp JAR (MD5: 95db93454ec1d581311c832122d21b20). Điều đáng chú ý là những kẻ tấn công này liên tục cập nhật cơ sở hạ tầng của chúng, đăng ký các tên miền mới cho mỗi chiến dịch mới. Trong lịch sử tương đối ngắn của mối đe dọa này, Kaspersky đã lập bản đồ hơn 35 tên miền liên quan đến Stan Ghouls.
Theo các nhà nghiên cứu, phần mềm độc hại thực hiện ba nhiệm vụ chính:
1. Hiển thị thông báo lỗi giả mạo để đánh lừa người dùng rằng ứng dụng không thể chạy. Thông báo trong ảnh chụp màn hình trong Hình 4 tạm dịch là: “Ứng dụng này không thể chạy trên hệ điều hành của bạn. Vui lòng sử dụng thiết bị khác.”
.png)
Hình 4. Thông báo lỗi giả mạo
2. Kiểm tra xem số lần cài đặt phần mềm trước đó có ít hơn ba hay không. Nếu đạt đến giới hạn này, trình tải sẽ dừng lại và hiển thị lỗi sau: “Urinishlar chegarasidan oshildi. Boshqa kompyuterni tekshiring.” Điều này có nghĩa là: “Đã đạt đến giới hạn số lần thử. Hãy thử trên máy tính khác.”
.png)
Hình 5. Hàm limitCheck để xác minh số lần thử tải xuống phần mềm
3. Tải xuống phần mềm quản lý từ xa từ một tên miền độc hại và lưu nó vào máy tính của nạn nhân. Các trình tải Stan Ghouls thường chứa một danh sách nhiều tên miền và sẽ lặp lại chúng cho đến khi tìm thấy một tên miền đang hoạt động.
.png)
Hình 6. Hàm performanceResourceUpdate có nhiệm vụ tải xuống phần mềm quản lý từ xa
Trình tải sẽ lấy các tệp sau và tạo nên các thành phần của NetSupport RAT: PCICHEK.DLL, client32.exe, advpack.dll, msvcr100.dll, remcmdstub.exe, ir50_qcx.dll, client32.ini, AudioCapture.dll, kbdlk41a.dll, KBDSF.DLL, tcctl32.dll, HTCTL32.DLL, kbdibm02.DLL, kbd101c.DLL, kbd106n.dll, ir50_32.dll, nskbfltr.inf, NSM.lic, pcicapi.dll, PCICL32.dll, qwave.dll. Danh sách này được mã hóa cứng trong phần body của mã độc.
Để đảm bảo quá trình tải xuống thành công, nó kiểm tra sự hiện diện của tệp thực thi client32.exe. Nếu tìm thấy tệp, trình tải sẽ tạo một tập lệnh khởi chạy NetSupport (run.bat), sao chép nó vào thư mục chứa các tệp khác và thực thi nó.
.png)
Hình 7. Hàm createBatAndRun dùng để tạo và thực thi tệp run.bat, sau đó khởi chạy NetSupport RAT
Bên cạnh đó, trình tải cũng đảm bảo tính liên tục của NetSupport bằng cách thêm nó vào quá trình khởi động bằng ba phương pháp sau:
1. Tạo một tập lệnh autorun có tên SoliqUZ_Run.bat và đặt nó vào thư mục Startup (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup):
.png)
Hình 8. Hàm generateAutorunScript dùng để tạo tệp tin batch và đặt nó vào thư mục Startup
2. Thêm tệp run.bat vào khóa autorun của registry (HKCU\Software\Microsoft\Windows\CurrentVersion\Run\malicious_key_name).
.png)
Hình 9. Hàm registryStartupAdd dùng để thêm tập lệnh khởi chạy RAT vào khóa tự động chạy trong registry
3. Tạo một tác vụ theo lịch trình để kích hoạt tệp run.bat bằng lệnh sau: schtasks Create /TN "[malicious_task_name]" /TR "[path_to_run.bat]" /SC ONLOGON /RL LIMITED /F /RU "[%USERNAME%]"
.png)
Hình 10. Hàm installStartupTask để tạo một tác vụ theo lịch trình nhằm khởi chạy NetSupport RAT (thông qua run.bat)
Sau khi phần mềm NetSupport RAT được tải xuống, cài đặt và thực thi, tin tặc sẽ giành được quyền kiểm soát hoàn toàn máy tính của nạn nhân. Mặc dù chúng ta không có đủ dữ liệu để khẳng định chắc chắn 100% những gì tin tặc làm sau khi xâm nhập, nhưng việc tập trung mạnh vào các tổ chức liên quan đến tài chính cho thấy nhóm này chủ yếu nhắm đến tiền của nạn nhân. Tuy nhiên cũng không thể loại trừ khả năng gián điệp mạng.
Các tiện ích độc hại nhằm mục tiêu vào cơ sở hạ tầng IoT
Các cuộc tấn công Stan Ghouls trước đây thường nhắm vào các tổ chức ở Kyrgyzstan, như được các nhà nghiên cứu của Group-IB ghi nhận, sử dụng tệp cấu hình NetSupport RAT client32.ini với mã băm MD5 cb9c28a4c6657ae5ea810020cb214ff0. Mặc dù các báo cáo đề cập đến chiến dịch ở Kyrgyzstan bắt đầu vào tháng 6/2025, nhưng các giải pháp của Kaspersky đã lần đầu tiên phát hiện tệp cấu hình chính xác này vào ngày 16/5/2025. Vào thời điểm đó, nó chứa thông tin máy chủ điều khiển và kiểm soát NetSupport RAT, bao gồm hgame33[.]com.
Tại thời điểm điều tra vào tháng 01/2026, dữ Kaspersky phát hiện rằng tên miền hgame33[.]com, cũng đang lưu trữ một số tệp độc hại như hxxp://www.hgame33[.]com/00101010101001/morte.spc, hxxp://hgame33[.]com/00101010101001/debug,…
Tất cả các tệp tin này đều thuộc về phần mềm độc hại IoT khét tiếng có tên Mirai. Vì chúng nằm trên một máy chủ liên kết với chiến dịch của nhóm Stan Ghouls nhắm mục tiêu vào Kyrgyzstan, chúng ta có thể đưa ra giả thuyết rằng, nhóm này đã mở rộng bộ công cụ của mình để bao gồm các mối đe dọa dựa trên IoT.
Tuy nhiên, cũng có khả năng chúng chỉ đơn giản chia sẻ cơ sở hạ tầng của mình với các tác nhân đe dọa khác, những kẻ thực sự sử dụng Mirai. Giả thuyết này được củng cố bởi thực tế là thông tin đăng ký tên miền được cập nhật lần cuối vào ngày 4/7/2025, lúc 11:46:11 (giờ GMT) khá lâu sau các hoạt động của Stan Ghouls vào tháng 5 và tháng 6.
NẠN NHÂN
Các nhà nghiên cứu xác định được khoảng 50 nạn nhân của chiến dịch này ở Uzbekistan, cùng với 10 nạn nhân ở Nga và một số ít ở Kazakhstan, Thổ Nhĩ Kỳ, Serbia và Belarus (Kaspersky nghi ngờ các trường hợp lây nhiễm ở ba quốc gia cuối cùng là do ngẫu nhiên).
Gần như tất cả các email lừa đảo và tệp tin giả mạo trong chiến dịch này đều được viết bằng tiếng Uzbek, điều đó phù hợp với lịch sử hoạt động của nhóm trong việc lợi dụng ngôn ngữ bản địa của các quốc gia mục tiêu. Hầu hết các nạn nhân đều liên quan đến sản xuất công nghiệp, tài chính và công nghệ thông tin. Hơn nữa, Kaspersky đã ghi nhận các nỗ lực lây nhiễm trên các thiết bị thuộc các tổ chức chính phủ, công ty logistics, cơ sở y tế và các tổ chức giáo dục.
Điều đáng chú ý là hơn 60 nạn nhân là một con số khá cao đối với một chiến dịch tinh vi. Điều này cho thấy những kẻ tấn công có đủ nguồn lực để duy trì quyền điều khiển từ xa thủ công đối với hàng chục thiết bị bị nhiễm cùng một lúc.
KẾT LUẬN
Trong bài viết này, chúng ta đã phân tích chiến dịch tấn công gần đây của Stan Ghouls. Nhóm tin tặc nhắm mục tiêu vào các tổ chức trong lĩnh vực sản xuất công nghiệp, công nghệ thông tin và tài chính, chủ yếu ở Uzbekistan. Tuy nhiên, hiệu ứng domino cũng đã lan đến Nga, Kazakhstan và một vài nạn nhân khác, cũng có thể là do ngẫu nhiên.
Với hơn 60 mục tiêu bị tấn công, đây là một con số đáng kể và đáng báo động. Điều này cho thấy nguồn lực dồi dào mà các đối tượng này sẵn sàng đầu tư vào hoạt động của chúng. Điều thú vị là bất chấp điều đó, các tin tặc vẫn sử dụng bộ công cụ quen thuộc bao gồm tiện ích quản lý từ xa NetSupport hợp pháp và trình tải tùy chỉnh dựa trên Java đặc trưng của chúng. Điều duy nhất dường như liên tục được cập nhật và phát triển là cơ sở hạ tầng. Đối với chiến dịch cụ thể này, các tin tặc đã sử dụng hai tên miền mới để chứa trình tải độc hại và một tên miền mới dành riêng để lưu trữ các tệp NetSupport RAT.
Một phát hiện thú vị là sự hiện diện của các tệp tin Mirai trên một tên miền liên kết với các chiến dịch trước đây của nhóm. Điều này có thể cho thấy Stan Ghouls đang mở rộng sang phần mềm độc hại IoT, mặc dù vẫn còn quá sớm để khẳng định chắc chắn điều này.
