MuddyWater Tấn Công Gián Điệp 9 Quốc Gia Bằng Kỹ Thuật DLL Side-Loading

Nhóm tin tặc Iran được biết đến với tên gọi MuddyWater đã bị liên kết với một chiến dịch tấn công mới, ảnh hưởng đến ít nhất chín tổ chức trên chín quốc gia thuộc bốn châu lục trong quý đầu năm 2026. Hoạt động này nhắm vào các ngành sản xuất công nghiệp và điện tử, giáo dục, cơ quan nhà nước, dịch vụ tài chính và dịch vụ chuyên nghiệp, theo báo cáo từ Threat Hunter Team của Symantec và Carbon Black.

Trong số các nạn nhân có một nhà sản xuất điện tử lớn của Hàn Quốc, nơi các tin tặc đã hoạt động trong mạng lưới của họ suốt một tuần vào tháng 2 năm 2026. Các mục tiêu khác trong chiến dịch gián điệp rộng lớn này bao gồm một sân bay quốc tế ở Trung Đông, các nhà sản xuất công nghiệp ở Đông Nam Á và một nhà cung cấp dịch vụ tài chính ở Mỹ Latinh.

Các nhóm an ninh mạng của Broadcom cho biết: “Những kẻ tấn công đã dựa vào kỹ thuật DLL side-loading, sử dụng các tệp nhị phân được ký hợp lệ của Fortemedia (fmapp.exe) và SentinelOne (sentinelmemoryscanner.exe) để thực thi các DLL độc hại, ngụy trang thành phần mềm hợp pháp.”

Việc sử dụng “fmapp.exe” để sideload “fmapp.dll” đã được Group-IB ghi nhận trước đây trong một chiến dịch khác của MuddyWater có tên mã Operation Olalampo. Theo Huntress, DLL này chứa mã để kết nối đến một địa chỉ IP do kẻ tấn công kiểm soát (“157.20.182[.]49”).

Mặt khác, việc lạm dụng “sentinelmemoryscanner.exe” – một tệp nhị phân liên quan đến sản phẩm bảo mật – được đánh giá là một lựa chọn có chủ đích, vì nó có thể bypass các cơ chế phát hiện dựa trên signature. Tệp này được thiết kế để sideload một DLL giả mạo có tên “sentinelagentcore.dll.”

Cả hai DLL này đều nhúng một công cụ mã nguồn mở có tên ChromElevator để trích xuất mật khẩu, cookie và dữ liệu thẻ thanh toán từ các trình duyệt dựa trên Chromium, qua đó vượt qua các biện pháp bảo vệ App-Bound Encryption (ABE).

Một khía cạnh đáng chú ý của các cuộc tấn công là việc sử dụng các script Node.js để khởi chạy mã PowerShell, chịu trách nhiệm thực hiện các hoạt động thu thập thông tin và khám phá mạng. Trong ít nhất một trường hợp, kẻ tấn công đã lưu trữ dữ liệu đánh cắp trên sendit[.]sh, một dịch vụ truyền tệp công cộng.

Symantec và Carbon Black cho biết: “Một chuỗi implant dựa trên node.exe đã được sử dụng để thả các script PowerShell thực hiện trinh sát, chụp ảnh màn hình, đánh cắp SAM hive, leo thang đặc quyền và tạo SOCKS5 reverse-proxy tunnelling.”

Hai cặp DLL side-loading đã đề cập cũng được triển khai để cung cấp cho kẻ tấn công một kênh bí mật để chuyển tiếp lưu lượng và khởi chạy ChromElevator. Các cuộc tấn công cũng được đặc trưng bởi nỗ lực đánh cắp thông tin đăng nhập, cho phép chúng di chuyển ngang trong mạng.

Trong vụ xâm nhập nhắm vào nhà sản xuất điện tử Hàn Quốc, MuddyWater được cho là đã liên tục thực hiện trinh sát dựa trên PowerShell, cũng như thực thi lại hai tệp nhị phân để đảm bảo duy trì quyền truy cập vào máy chủ bị xâm nhập. Vector truy cập ban đầu được sử dụng để xâm nhập tổ chức này vẫn chưa được xác định.

Các nhà nghiên cứu nhận định: “Tần suất hoạt động một lần nữa phù hợp với hoạt động dựa trên implant hơn là sự hiện diện liên tục của kẻ tấn công. Lịch sử chiến dịch của chúng cho thấy một sự chuyển dịch rõ ràng sang các hoạt động kín đáo và kỷ luật hơn. Không có kỹ thuật nào trong số này là mới lạ, nhưng khi kết hợp lại, chúng cung cấp thêm bằng chứng về một bước tiến đáng kể trong vệ sinh hoạt động so với Seedworm mà chúng ta biết cách đây hai hoặc ba năm.”

Sự việc này diễn ra khi Hội đồng Châu Âu áp đặt lệnh trừng phạt đối với công ty Emennet Pasargad của Iran vì đã tấn công một dịch vụ SMS của Thụy Điển, truy cập nội dung cơ sở dữ liệu thuê bao của Pháp và rao bán, cũng như phát tán thông tin sai lệch thông qua các bảng quảng cáo bị xâm nhập trong Thế vận hội Paris 2024.

Theo Bộ Ngoại giao Hoa Kỳ, công ty này có tên Shahid Shushtari và có liên kết với Bộ Tư lệnh Điện tử-Mạng của Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC-CEC). Nó được theo dõi dưới các biệt danh Cobalt Obelisk, Cotton Sandstorm, Haywire Kitten (trước đây là ChaoticOrchestra), Marnanbridge và UNC5866.

“Các thành viên của Shahid Shushtari đã gây ra thiệt hại tài chính đáng kể và gián đoạn cho các doanh nghiệp và cơ quan chính phủ Hoa Kỳ thông qua các hoạt động thông tin mạng và hỗ trợ mạng phối hợp,” Bộ Ngoại giao lưu ý vào tháng 12 năm 2025. “Các chiến dịch này đã nhắm mục tiêu vào nhiều lĩnh vực cơ sở hạ tầng quan trọng, bao gồm tin tức, vận chuyển, du lịch, năng lượng, tài chính và viễn thông ở Hoa Kỳ, Châu Âu và Trung Đông.”

Các tin tặc được Iran hậu thuẫn cũng bị liên kết với một chiến dịch exfiltration nhắm vào các tổ chức ở Hoa Kỳ, Israel, Ả Rập Saudi và Thổ Nhĩ Kỳ từ cuối tháng 3 đến đầu tháng 4 năm 2026, với ít nhất hai nạn nhân ở Hoa Kỳ cũng bị nhắm mục tiêu bởi các hoạt động phá hoại, chẳng hạn như xóa phân vùng và sao lưu dữ liệu.

Mặc dù những sự cố này được một nhân vật ủng hộ Iran tên là Ababil of Minab nhận trách nhiệm, một phân tích mới từ Gambit Security đã liên kết cơ sở hạ tầng của chiến dịch với Bộ Tình báo và An ninh Iran (MOIS).

Các mục tiêu khác bao gồm một tổ chức Israel trong lĩnh vực truyền thông, một tổ chức giáo dục đại học Israel, một công ty môi giới bảo hiểm Thổ Nhĩ Kỳ và một số trang web khác trong các lĩnh vực nhà hàng, văn hóa, dịch vụ kỹ thuật số và tin tức.

Không có hoạt động phá hoại nào được quan sát thấy đối với các nạn nhân này. Trong những trường hợp này, kẻ thù đã được phát hiện sử dụng một công cụ thu thập và exfiltration tệp C++ tùy chỉnh có tên mã nội bộ là FileFiend.

Các nhà nghiên cứu Eyal Sela và Nir Varon của Gambit Security cho biết trong một báo cáo được công bố hôm nay: “Tệp nhị phân có thể liệt kê các ổ đĩa cục bộ và chia sẻ SMB, duyệt hệ thống tệp và gửi tệp đến một máy chủ C2 [command-and-control] được mã hóa cứng.”

Ngoài ra, dữ liệu quan trọng được nén vào các kho lưu trữ RAR trên một máy chủ trong môi trường nạn nhân và tải lên trang web công cộng của tổ chức tại thư mục gốc của web, từ đó chúng được trích xuất bằng trình tăng tốc tải xuống dòng lệnh Axel và được chuyển qua proxychains.

Nguồn tham khảo: The Hacker News