Nhóm hacker MuddyWater từ Iran đang thực hiện chiến dịch gián điệp quy mô lớn nhắm vào nhiều quốc gia, sử dụng kỹ thuật DLL side-loading để qua mặt các giải pháp bảo mật.
Nhóm hacker MuddyWater triển khai chiến dịch gián điệp toàn cầu qua kỹ thuật DLL Side-Loading
Trong quý đầu năm 2026, nhóm hacker MuddyWater (Iran) đã bị phát hiện thực hiện một chiến dịch gián điệp mạng tinh vi, nhắm vào ít nhất 9 tổ chức tại nhiều quốc gia trên thế giới. Các lĩnh vực bị ảnh hưởng bao gồm sản xuất công nghiệp, điện tử, giáo dục, dịch vụ tài chính và khối cơ quan công quyền.
Theo báo cáo từ các chuyên gia bảo mật, MuddyWater đã cải thiện đáng kể phương thức hoạt động, tập trung vào kỹ thuật DLL side-loading. Cụ thể, nhóm này lợi dụng các tệp tin thực thi (binary) có chữ ký hợp lệ từ các phần mềm uy tín như Fortemedia (fmapp.exe) và SentinelOne (sentinelmemoryscanner.exe) để thực thi các tệp DLL độc hại. Việc sử dụng binary của phần mềm bảo mật được đánh giá là một lựa chọn có chủ đích nhằm bypass các cơ chế phát hiện dựa trên chữ ký (signature-based detection).
Một công cụ đáng chú ý được triển khai trong chiến dịch này là ChromElevator. Công cụ này cho phép kẻ tấn công đánh cắp mật khẩu, cookie và dữ liệu thẻ thanh toán từ các trình duyệt dựa trên nhân Chromium, đồng thời vượt qua các lớp bảo vệ App-Bound Encryption (ABE). Ngoài ra, nhóm hacker còn sử dụng các tập lệnh Node.js để kích hoạt mã PowerShell, thực hiện các hành vi thăm dò, chụp màn hình, đánh cắp dữ liệu SAM và thiết lập đường truyền SOCKS5 reverse-proxy.
Các nhà nghiên cứu nhấn mạnh rằng, dù các kỹ thuật này không hoàn toàn mới, nhưng sự kết hợp nhuần nhuyễn giữa chúng cho thấy sự chuyên nghiệp hóa trong vận hành của MuddyWater so với những năm trước. Thay vì duy trì sự hiện diện liên tục, nhóm này tập trung vào các hoạt động kín đáo, có kỷ luật hơn.
Bên cạnh MuddyWater, các báo cáo an ninh gần đây cũng ghi nhận sự gia tăng các chiến dịch tấn công từ các nhóm liên quan đến Bộ Tình báo và An ninh Iran (MOIS), bao gồm việc sử dụng công cụ thu thập dữ liệu tùy chỉnh có tên FileFiend. Các chuyên gia khuyến cáo các tổ chức cần duy trì khả năng giám sát liên tục để phát hiện sớm các dấu hiệu xâm nhập, thay vì chỉ tập trung vào các cảnh báo từ các nhóm hacktivist vốn thường mang tính gây nhiễu.
Nguồn tham khảo: The Hacker News
