HiddenGh0st, Winos và kkRAT khai thác SEO và các trang GitHub trong các tấn công

[Starlink]

Người dùng nói tiếng Trung là mục tiêu của chiến dịch đầu độc tối ưu hóa công cụ tìm kiếm (SEO) sử dụng các trang web phần mềm giả mạo để phát tán phần mềm độc hại.

"Những kẻ tấn công đã thao túng thứ hạng tìm kiếm bằng các plugin SEO và đăng ký các tên miền trông giống hệt các trang web phần mềm hợp pháp", nhà nghiên cứu Pei Han Liao của Fortinet FortiGuard Labs cho biết. "Bằng cách sử dụng ngôn ngữ thuyết phục và thay thế ký tự nhỏ, chúng đã lừa nạn nhân truy cập các trang web giả mạo và tải xuống phần mềm độc hại."

Hoạt động này, được công ty an ninh mạng phát hiện vào tháng 8 năm 2025, dẫn đến việc triển khai các họ phần mềm độc hại như HiddenGh0st và Winos (hay còn gọi là ValleyRAT), cả hai đều là biến thể của trojan truy cập từ xa có tên là Gh0st RAT.

Cần lưu ý rằng việc sử dụng Winos được cho là do một nhóm tội phạm mạng có tên Silver Fox, cũng được theo dõi với tên gọi SwimSnake, The Great Thief of Valley (hay Valley Thief), UTG-Q-1000 và Void Arachne thực hiện. Nhóm này được cho là đã hoạt động ít nhất từ năm 2022.

Trong chuỗi tấn công mới nhất được Fortinet ghi nhận, người dùng tìm kiếm các công cụ như DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp và WPS Office trên Google sẽ được chuyển hướng đến các trang web giả mạo để kích hoạt việc phân phối phần mềm độc hại bằng trình cài đặt trojan.

"Một tập lệnh có tên nice.js kiểm soát quá trình phân phối phần mềm độc hại trên các trang web này", Fortinet giải thích. "Tập lệnh này tuân theo một chuỗi nhiều bước: đầu tiên nó gọi một liên kết tải xuống trả về dữ liệu JSON, bao gồm một liên kết phụ. Liên kết phụ này sau đó trỏ đến một phản hồi JSON khác chứa liên kết chuyển hướng đến URL cuối cùng của trình cài đặt độc hại."

Trình cài đặt có chứa một DLL độc hại ("EnumW.dll") thực hiện một số kiểm tra chống phân tích để tránh bị phát hiện, bao gồm trích xuất một DLL khác ("vstdlib.dll") để làm quá tải các công cụ phân tích bằng cách tăng mức sử dụng bộ nhớ và làm chậm hiệu suất của chúng.

DLL thứ hai cũng được thiết kế để giải nén và khởi chạy payload chính, nhưng trước đó phải xác định sự hiện diện của phần mềm diệt virus 360 Total Security trên máy chủ bị xâm nhập. Nếu có, phần mềm độc hại sẽ sử dụng một kỹ thuật gọi là TypeLib COM hijacking để thiết lập tính bền bỉ và cuối cùng khởi chạy một tệp thực thi Windows ("insalivation.exe").

Trong trường hợp phần mềm diệt virus không được cài đặt trên máy chủ, khả năng tồn tại dai dẳng sẽ đạt được bằng cách tạo một shortcut Windows trỏ đến cùng một tệp thực thi. Mục tiêu cuối cùng của việc lây nhiễm là tải một DLL ("AIDE.dll") để khởi tạo ba chức năng cốt lõi -

    Chỉ huy và Kiểm soát (C2), để thiết lập liên lạc với máy chủ từ xa và trao đổi dữ liệu ở định dạng được mã hóa
    Heartbeat, để thu thập dữ liệu hệ thống và nạn nhân và liệt kê các tiến trình đang chạy so với danh sách các sản phẩm bảo mật được mã hóa cứng
    Giám sát để đánh giá môi trường của nạn nhân nhằm xác nhận tính liên tục, theo dõi hoạt động của người dùng và báo hiệu đến máy chủ C2

Mô-đun C2 cũng hỗ trợ các lệnh tải xuống các plugin bổ sung, ghi lại thao tác phím và dữ liệu clipboard, và thậm chí chiếm đoạt ví tiền điện tử liên quan đến Ethereum và Tether. Một số plugin được xác định có khả năng theo dõi màn hình của nạn nhân và trước đây đã được xác định là một phần của nền tảng Winos.

"Các trình cài đặt chứa cả ứng dụng hợp pháp và phần mềm độc hại, khiến người dùng khó phát hiện ra sự lây nhiễm", Fortinet cho biết. "Ngay cả những kết quả tìm kiếm được xếp hạng cao cũng bị lợi dụng theo cách này, nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng tên miền trước khi tải xuống phần mềm."

Người nói tiếng Trung Quốc bị nhắm mục tiêu bởi phần mềm độc hại Trifecta, bao gồm cả kkRAT mới.

Sự phát triển này diễn ra khi Zscaler ThreatLabz đánh dấu một chiến dịch riêng biệt, cũng nhắm vào người dùng nói tiếng Trung Quốc, với phần mềm độc hại chưa từng được ghi nhận trước đây có tên là kkRAT kể từ đầu tháng 5 năm 2025, cùng với Winos và FatalRAT.

Nhà nghiên cứu Muhammed Irfan VA của Zscaler cho biết kkRAT "có mã tương đồng với cả Gh0st RAT và Big Bad Wolf (大灰狼), một RAT thường được tội phạm mạng ở Trung Quốc lợi dụng".

"kkRAT sử dụng giao thức truyền thông mạng tương tự Ghost RAT, với lớp mã hóa bổ sung sau khi nén dữ liệu. Các tính năng của RAT bao gồm thao tác trên clipboard để thay thế địa chỉ tiền điện tử và triển khai các công cụ giám sát từ xa (ví dụ: Sunlogin, GotoHTTP)."

Tương tự như hoạt động đã đề cập ở trên, chiến dịch tấn công này sử dụng các trang cài đặt giả mạo mô phỏng phần mềm phổ biến như DingTalk để phát tán ba loại trojan. Các trang web lừa đảo được lưu trữ trên GitHub, cho phép kẻ xấu lợi dụng lòng tin liên quan đến một nền tảng hợp pháp để phát tán phần mềm độc hại. Tài khoản GitHub được sử dụng để triển khai các trang này hiện không còn khả dụng.

Sau khi được nạn nhân khởi chạy, trình cài đặt được lưu trữ trên các trang web sẽ chạy một loạt các kiểm tra để xác định môi trường hộp cát và máy ảo (VM), cũng như bỏ qua phần mềm bảo mật. Nó cũng yêu cầu quyền quản trị viên, nếu được cấp, cho phép nó liệt kê và tạm thời vô hiệu hóa tất cả các bộ điều hợp mạng đang hoạt động, gây ảnh hưởng nghiêm trọng đến hoạt động bình thường của các chương trình diệt vi-rút.

Một khía cạnh đáng chú ý khác của phần mềm độc hại này là việc sử dụng kỹ thuật "Bring Your Own Vulnerable Driver" (BYOVD) để vô hiệu hóa phần mềm diệt vi-rút được cài đặt trên máy chủ bằng cách sử dụng lại mã từ dự án nguồn mở RealBlindingEDR. Phần mềm độc hại này đặc biệt tìm kiếm năm chương trình sau:

360 Internet Security suite
360 Total Security
HeroBravo System Diagnostics suite
QQ

Sau khi các tiến trình liên quan đến phần mềm diệt vi-rút đã bị chấm dứt, phần mềm độc hại sẽ thực hiện các bước để tạo tác vụ theo lịch trình chạy với quyền HỆ THỐNG nhằm thực thi tập lệnh hàng loạt để đảm bảo chúng tự động bị tắt mỗi lần sau khi người dùng đăng nhập vào máy.

Hơn nữa, nó còn sửa đổi các mục nhập Windows Registry của 360 Total Security với mục đích có thể là vô hiệu hóa kiểm tra mạng. Sau khi thực hiện tất cả các hành động này, phần mềm độc hại sẽ tiếp tục kích hoạt lại bộ điều hợp mạng để khôi phục kết nối mạng của hệ thống.

Nhiệm vụ chính của trình cài đặt là khởi chạy shellcode, sau đó shellcode này sẽ khởi chạy một tệp shellcode được mã hóa khác có tên "2025.bin" từ một URL được mã hóa cứng. Shellcode mới được lấy này đóng vai trò là trình tải xuống cho một hiện vật ("output.log"), sau đó sẽ truy cập đến hai URL khác nhau để tải xuống hai tệp ZIP -

      Đăng nhập để xem liên kết, chứa một tệp thực thi hợp pháp và một DLL độc hại được khởi chạy bằng cách sử dụng tải phụ DLL
      Đăng nhập để xem liên kết, chứa một tệp có tên   Đăng nhập để xem liên kết, chứa tải trọng cuối cùng được mã hóa

"Sau đó, phần mềm độc hại sẽ tạo một shortcut cho tệp thực thi hợp lệ được trích xuất từ   Đăng nhập để xem liên kết, thêm shortcut này vào thư mục khởi động để duy trì hoạt động, và thực thi tệp thực thi hợp lệ để tải DLL độc hại," Zscaler cho biết. "DLL độc hại sẽ giải mã và thực thi payload cuối cùng từ tệp   Đăng nhập để xem liên kết. Payload cuối cùng của chiến dịch sẽ thay đổi tùy theo tệp ZIP thứ hai được tải xuống."

Một trong ba payload là kkRAT. Sau khi thiết lập kết nối socket với máy chủ C2, phần mềm độc hại sẽ lập hồ sơ máy nạn nhân và lấy nhiều plugin khác nhau để thực hiện nhiều tác vụ thu thập dữ liệu -

    Chụp màn hình và mô phỏng các thao tác của người dùng như thao tác bàn phím và chuột
    Truy xuất và sửa đổi dữ liệu clipboard
    Kích hoạt các tính năng máy tính từ xa, chẳng hạn như khởi chạy trình duyệt web và chấm dứt các tiến trình đang hoạt động
    Tạo điều kiện thực hiện lệnh từ xa thông qua giao diện shell
    Kích hoạt quản lý Windows trên màn hình
    Cung cấp các tính năng quản lý quy trình, chẳng hạn như liệt kê các quy trình đang hoạt động và chấm dứt chúng khi cần thiết
    Tạo danh sách các kết nối mạng đang hoạt động
    Cung cấp các tính năng quản lý ứng dụng, chẳng hạn như liệt kê phần mềm đã cài đặt và gỡ cài đặt các phần mềm cụ thể
    Liệt kê và truy xuất danh sách các giá trị được lưu trữ trong khóa Registry autorun
    Hoạt động như một proxy để định tuyến dữ liệu giữa máy khách và máy chủ bằng giao thức SOCKS5

Ngoài các plugin này, kkRAT còn hỗ trợ danh sách dài các lệnh để gọi các plugin; hoạt động như một công cụ cắt bằng cách thay thế các địa chỉ ví tiền điện tử được sao chép vào bảng tạm; thiết lập tính bền bỉ; triển khai GotoHTTP và Sunlogin; và xóa dữ liệu liên quan đến 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer, Skye, Telegram.

Zscaler cho biết: "Các lệnh và plugin của kkRAT cho phép các tính năng như chiếm quyền điều khiển bảng tạm để thay thế địa chỉ ví tiền điện tử, cài đặt các công cụ RMM như Sunlogin và GotoHTTP, cũng như chuyển tiếp lưu lượng mạng có thể được sử dụng để vượt qua tường lửa và VPN".