An ninh mạng

Nhóm tin tặc Mustang Panda lợi dụng Zoho WorkDrive để tấn công chính phủ Ấn Độ

Nhóm gián điệp mạng Mustang Panda đang thực hiện các chiến dịch tấn công mới nhắm vào chính phủ và ngành thủy điện Ấn Độ, sử dụng dịch vụ lưu trữ đám mây Zoho WorkDrive làm kênh điều khiển (C2) để...

Nguyen Hung
30 Tháng 6, 2026 3 Min Read
1 0

Nhóm tin tặc Mustang Panda, vốn được cho là có liên hệ với Trung Quốc, đang triển khai hai chiến dịch tấn công nhắm vào các mục tiêu chính phủ và hạ tầng thủy điện tại Ấn Độ. Đáng chú ý, nhóm này đã chuyển hướng sang sử dụng dịch vụ lưu trữ đám mây hợp pháp Zoho WorkDrive làm kênh điều khiển (Command Channel) để thực hiện các hành vi độc hại.

Đơn vị nghiên cứu mối đe dọa của Acronis đã phát hiện các dấu hiệu xâm nhập trong mạng lưới chính phủ Ấn Độ, bao gồm cả các thiết bị của nhân viên hành chính cấp cao. Việc lạm dụng Zoho WorkDrive giúp tin tặc ngụy trang lưu lượng độc hại dưới dạng các hoạt động đám mây thông thường, từ đó đánh cắp dữ liệu mà không gây nghi ngờ.

Các công cụ tấn công mới

Acronis đã xác định ba công cụ chính mà nhóm này sử dụng:

  • SHARDLOADER: Một trình tải (loader) thực hiện kỹ thuật sideloading thông qua các tệp thực thi (executable) đã được ký số hợp pháp, như Solid PDF Creator hoặc Citrix Receiver, để triển khai mã độc.
  • MINIRECON: Một biến thể cải tiến của backdoor Toneshell, hiện thực hiện beaconing qua kết nối WebSocket trên giao thức HTTPS.
  • ZOHOMURK: Công cụ mới nhất, chứa thông tin xác thực OAuth của Zoho để điều khiển tài khoản WorkDrive. Nó đóng vai trò như một “dead drop”, nơi tin tặc đọc lệnh từ thư mục inbox và tải dữ liệu đánh cắp lên thư mục outbox.

Các chiến dịch này thường được phát tán thông qua hình thức spear-phishing, sử dụng các tệp ZIP chứa DLL độc hại ẩn danh. Nội dung lừa đảo được thiết kế tinh vi, tập trung vào các chủ đề như đề xuất hợp tác thủy điện hoặc biên bản ghi nhớ giữa các tổ chức Ấn Độ và Đài Loan.

Dấu vết của Mustang Panda

Các nhà phân tích khẳng định với độ tin cậy cao rằng đây là hoạt động của Mustang Panda dựa trên sự trùng lặp về mã nguồn với Toneshell, hạ tầng máy chủ C2 tương đồng với các chiến dịch trước đó và các lỗi chính tả đặc trưng như “RunOnece” xuất hiện trong nhiều mẫu mã độc. Mặc dù có sự chuẩn bị kỹ lưỡng, nhưng các chuyên gia nhận định bảo mật vận hành (OPSEC) của nhóm này vẫn còn sơ hở do để lộ các token cứng (hardcoded) và định danh văn bản thuần.

Trước đó, vào tháng 4, Acronis cũng từng liên kết nhóm này với backdoor LOTUSLITE trong các cuộc tấn công vào ngành ngân hàng Ấn Độ. Điều này cho thấy sự quan tâm liên tục của các nhóm tin tặc Trung Quốc đối với hạ tầng năng lượng và các mối quan hệ quốc phòng của Ấn Độ.

Hiện tại, không có bản vá (patch) cụ thể nào cho phương thức tấn công này. Các tổ chức chính phủ và năng lượng được khuyến cáo cần giám sát chặt chẽ các tiến trình endpoint có hành vi gọi đến các API đám mây bất thường, đồng thời cảnh giác với các tệp tin đính kèm liên quan đến các thỏa thuận hợp tác quốc tế.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept