An ninh mạng

Nhóm tin tặc APT nói tiếng Trung triển khai backdoor TinyRCT nhắm vào Đông Nam Á

Nhóm APT có tên CL-STA-1062 đang thực hiện chiến dịch gián điệp mạng nhắm vào các cơ quan chính phủ và hạ tầng trọng yếu tại Đông Nam Á bằng backdoor tùy chỉnh có tên...

Nguyen Hung
27 Tháng 6, 2026 2 Min Read
1 0

Các chuyên gia từ Unit 42 (Palo Alto Networks) vừa phát hiện một chiến dịch gián điệp mạng tinh vi do nhóm APT có tên CL-STA-1062 thực hiện. Nhóm này được cho là có liên quan đến các hoạt động tấn công trước đó nhắm vào hạ tầng web tại Đài Loan, hiện đang chuyển hướng tập trung vào các doanh nghiệp nhà nước, năng lượng và cơ quan chính phủ tại Đông Nam Á.

Chiến thuật và công cụ tấn công

CL-STA-1062 sử dụng một bộ công cụ kết hợp giữa các phần mềm mã nguồn mở phổ biến và mã độc tùy chỉnh. Các công cụ như SoftEther VPN, Mimikatz và VNT thường xuyên được tận dụng để duy trì quyền truy cập và di chuyển ngang (lateral movement) trong mạng nội bộ. Đặc biệt, nhóm này đã giới thiệu TinyRCT, một backdoor .NET mới, chưa từng được ghi nhận trước đây.

TinyRCT được thiết kế với các tính năng nguy hiểm như:

  • Thực thi lệnh tùy ý từ xa.
  • Liệt kê và đánh cắp dữ liệu tập tin.
  • Chụp ảnh màn hình thiết bị.
  • Tự xóa dấu vết sau khi hoàn tất nhiệm vụ.
  • Cơ chế chống phân tích (anti-sandbox) để tránh bị phát hiện trong môi trường ảo hóa.

Backdoor này giao tiếp với máy chủ C2 qua giao thức HTTP, sử dụng mã hóa AES-128 (chế độ CBC) để che giấu nội dung trao đổi dữ liệu.

Phương thức lây nhiễm

Theo báo cáo, TinyRCT thường được phát tán thông qua các tệp lưu trữ giả mạo (ví dụ: chrome_setup.zip). Khi người dùng giải nén và chạy tệp thực thi, một tệp DLL độc hại sẽ được kích hoạt thông qua kỹ thuật AppDomainManager injection. Sau đó, mã độc sẽ tải xuống tệp PerfWatson2.exe (chính là TinyRCT) từ máy chủ của kẻ tấn công.

Trong các cuộc tấn công được ghi nhận từ cuối năm 2025, nhóm này đã xâm nhập thành công vào ít nhất 10 tổ chức tại Đông Nam Á. Kẻ tấn công thường bắt đầu bằng việc quét các lỗ hổng trên hạ tầng, sau đó triển khai các ASPX web shell để thiết lập chỗ đứng ban đầu trên máy chủ MS SQL, từ đó thực hiện trinh sát mạng và đánh cắp mã nguồn của các ứng dụng web.

Các chuyên gia cảnh báo rằng việc nhóm CL-STA-1062 liên tục tùy chỉnh công cụ và nhắm vào các lĩnh vực hạ tầng trọng yếu cho thấy đây là một mối đe dọa dai dẳng và có sự chuẩn bị kỹ lưỡng, đòi hỏi các tổ chức trong khu vực cần tăng cường giám sát hệ thống và rà soát các dấu hiệu xâm nhập bất thường.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept