Sử dụng các trang web giả mạo dưới dạng công cụ tạo video AI hợp pháp, Mandiant cảnh báo rằng nhóm tin tặc UNC6032 đến từ Việt Nam đã thực hiện các tấn công mạng đánh cắp thông tin, nhắm vào các nạn nhân trên khắp các khu vực địa lý và ngành công nghiệp khác nhau.
Chiến dịch lan rộng này đã diễn ra ít nhất từ giữa năm 2024, dụ dỗ những nạn nhân nhẹ dạ cả tin truy cập vào các trang web giả mạo, thông qua hàng nghìn quảng cáo trên các nền tảng mạng xã hội như Facebook, LinkedIn và có khả năng là trên các nền tảng khác nữa.
Hầu hết các quảng cáo chạy trên Facebook, được xuất bản bằng các trang do kẻ tấn công tạo ra hoặc các tài khoản Facebook bị xâm phạm. Meta bắt đầu xóa một số quảng cáo, tên miền và tài khoản độc hại vào năm 2024, trước khi Mandiant thông báo về những phát hiện của mình.
Mandiant cho biết họ đã xác định được hơn 30 trang web giả mạo các công cụ phổ biến như Luma AI, Canva Dream Lab và Kling AI, được quảng bá thông qua mạng lưới hơn 120 quảng cáo trên mạng xã hội gây hiểu lầm, tiếp cận hàng triệu người dùng, trong đó có hơn 2,3 triệu người dùng ở châu Âu.
Hứa hẹn khả năng tạo văn bản thành video hoặc hình ảnh thành video, các trang web giả mạo hiển thị cùng một lời nhắc cho bất kỳ người dùng truy cập nào, sau đó cung cấp một tệp lưu trữ ZIP để tải xuống sau khi quá trình tạo video giả mạo được cho là hoàn tất.
Theo Mandiant, chuỗi lây nhiễm mà công ty quan sát được phụ thuộc rất nhiều vào kỹ thuật DLL sideloading, injection tiến trình và dropper vào bộ nhớ, đồng thời sử dụng key registry AutoRun để duy trì tính bền bỉ. Tệp ZIP chứa tệp thực thi mở rộng cung cấp dropper Starkveil đến máy tính của nạn nhân. Starkveil sau đó thực thi mã độc khác là Coilhatch, triển khai các backdoor XWorm và Frostrift .NET, cùng với downloader .NET Grimpull.
Mandiant quan sát thấy cả XWorm và Frostrift đều thu thập thông tin hệ thống, bao gồm tên người dùng, thông tin hệ điều hành, mã định danh phần cứng và chi tiết phần mềm diệt vi-rút. XWorm cũng chức năng keylogger, trong khi Frostrift kiểm tra một số ứng dụng nhắn tin, trình duyệt và tiện ích mở rộng trình duyệt.