Nhóm tin tặc Ink Dragon tấn công mạng bằng mã độc ShadowPad và FINALDRAFT

[T-X]

Nhóm tin tặc Jewelbug ngày càng tập trung vào các mục tiêu chính phủ ở châu Âu kể từ tháng 7 năm 2025, ngay cả khi chúng vẫn tiếp tục tấn công các thực thể nằm ở Đông Nam Á và Nam Mỹ.

Check Point Research đang theo dõi nhóm tin tặc này với tên gọi Ink Dragon. Nhóm này cũng được cộng đồng an ninh mạng nhắc đến với các tên gọi CL-STA-0049, Earth Alux và REF7707. Nhóm tin tặc liên kết với Trung Quốc này được đánh giá là đã hoạt động ít nhất từ tháng 3 năm 2023.

"Các chiến dịch của nhóm tin tặc này kết hợp kỹ thuật phần mềm vững chắc, quy trình vận hành bài bản và sự sẵn sàng tái sử dụng các công cụ gốc của nền tảng để hòa nhập vào hệ thống đo lường từ xa thông thường của doanh nghiệp," công ty an ninh mạng cho biết trong một bản phân tích kỹ thuật được công bố hôm thứ Ba. "Sự kết hợp này khiến các vụ xâm nhập của chúng vừa hiệu quả vừa bí mật."

Eli Smadja, quản lý nhóm Nghiên cứu và Phát triển Sản phẩm tại Check Point Software, cho biết với The Hacker News rằng hoạt động này vẫn đang tiếp diễn và chiến dịch đã "ảnh hưởng đến hàng chục nạn nhân, bao gồm các cơ quan chính phủ và các tổ chức viễn thông, trên khắp châu Âu, châu Á và châu Phi."

Thông tin chi tiết về nhóm tội phạm mạng này lần đầu tiên xuất hiện vào tháng 2 năm 2025 khi Elastic Security Labs và Palo Alto Networks Unit 42 mô tả việc nhóm này sử dụng một phần mềm cửa hậu có tên FINALDRAFT (hay còn gọi là Squidoor) có khả năng lây nhiễm cả hệ thống Windows và Linux. Trong những tháng gần đây, Ink Dragon cũng bị cáo buộc thực hiện một cuộc tấn công kéo dài năm tháng nhắm vào một nhà cung cấp dịch vụ CNTT của Nga.

Các chuỗi tấn công do kẻ thù thực hiện đã lợi dụng các dịch vụ dễ bị tổn thương trong các ứng dụng web được phơi bày trên internet để thả các web shell, sau đó được sử dụng để truyền tải các payload bổ sung như VARGEIT và Cobalt Strike beacon nhằm hỗ trợ điều khiển và kiểm soát (C2), phát hiện, di chuyển ngang, né tránh phòng thủ và đánh cắp dữ liệu.

Một phần mềm độc hại đáng chú ý khác trong kho vũ khí của nhóm tin tặc là NANOREMOTE, sử dụng API của Google Drive để tải lên và tải xuống các tệp giữa máy chủ C2 và thiết bị đầu cuối bị xâm nhập. Check Point cho biết họ không phát hiện phần mềm độc hại này trong các vụ xâm nhập và điều tra mà họ đã quan sát.

"Có khả năng kẻ tấn công sẽ lựa chọn sử dụng các công cụ từ một bộ công cụ rộng hơn, tùy thuộc vào môi trường của nạn nhân, nhu cầu hoạt động và mong muốn hòa nhập vào giao thông hợp pháp," Smadja nói.

Ink Dragon cũng dựa vào các giá trị khóa máy   Đăng nhập để xem liên kết dễ đoán hoặc bị quản lý sai để thực hiện các cuộc tấn công giải mã ViewState nhằm vào các máy chủ IIS và SharePoint dễ bị tổn thương, sau đó cài đặt một mô-đun ShadowPad IIS Listener tùy chỉnh để biến các máy chủ bị xâm nhập này thành một phần của cơ sở hạ tầng C2 của mình và cho phép chúng chuyển tiếp các lệnh và lưu lượng truy cập, từ đó cải thiện khả năng phục hồi.

Check Point cho biết: "Thiết kế này cho phép kẻ tấn công định tuyến lưu lượng truy cập không chỉ sâu hơn vào mạng lưới của một tổ chức duy nhất, mà còn xuyên suốt các mạng lưới nạn nhân khác nhau. Kết quả là, một vụ xâm nhập có thể âm thầm trở thành một mắt xích khác trong cơ sở hạ tầng đa tầng toàn cầu, hỗ trợ các chiến dịch đang diễn ra ở những nơi khác, kết hợp kiểm soát hoạt động với việc tái sử dụng chiến lược các tài sản đã bị xâm phạm trước đó."

Mô-đun lắng nghe cũng được trang bị để chạy các lệnh khác nhau trên máy chủ IIS, cung cấp cho kẻ tấn công quyền kiểm soát lớn hơn đối với hệ thống để tiến hành trinh sát và chuẩn bị các phần mềm độc hại.

Ngoài việc khai thác các khóa máy được công khai để thực hiện giải mã dữ liệu   Đăng nhập để xem liên kết ViewState, kẻ tấn công còn bị phát hiện sử dụng các lỗ hổng ToolShell của SharePoint để cài đặt web shell trên các máy chủ bị xâm nhập. Các bước khác do Ink Dragon thực hiện được liệt kê bên dưới:

    Sử dụng khóa máy IIS để lấy thông tin đăng nhập quản trị cục bộ và tận dụng nó để di chuyển ngang qua đường hầm RDP.
    Tạo các tác vụ theo lịch trình và cài đặt dịch vụ để thiết lập tính ổn định.
    Trích xuất các bản ghi LSASS và các nhánh registry để leo thang đặc quyền.
    Sửa đổi các quy tắc tường lửa của máy chủ để cho phép lưu lượng truy cập đi ra và biến các máy chủ bị nhiễm thành mạng chuyển tiếp ShadowPad.

"Trong ít nhất một trường hợp, kẻ tấn công đã tìm thấy một phiên RDP không hoạt động thuộc về Quản trị viên miền đã xác thực thông qua Xác thực cấp độ mạng (CredSSP) bằng cách sử dụng phương thức dự phòng NTLMv2. Vì phiên này vẫn bị ngắt kết nối nhưng không bị đăng xuất, nên rất có thể LSASS đã lưu giữ mã thông báo đăng nhập và trình xác minh NTLM liên quan trong bộ nhớ", Check Point cho biết.

"Ink Dragon đã giành được quyền truy cập cấp HỆ THỐNG vào máy chủ, trích xuất mã thông báo (và có thể cả vật liệu khóa NTLM), và sử dụng lại chúng để thực hiện các thao tác SMB được xác thực. Thông qua các hành động này, chúng đã có thể ghi vào các thư mục chia sẻ quản trị và đánh cắp NTDS.dit và các nhánh đăng ký, đánh dấu thời điểm chúng đạt được quyền leo thang đặc quyền và kiểm soát trên toàn miền."

Các cuộc xâm nhập được phát hiện dựa vào nhiều thành phần khác nhau chứ không phải chỉ một cửa hậu duy nhất hay một hệ thống phần mềm độc nhất để thiết lập khả năng duy trì lâu dài. Những thành phần đó bao gồm:

    ShadowPad Loader, được sử dụng để giải mã và chạy mô-đun lõi ShadowPad trong bộ nhớ.
    CDBLoader sử dụng Microsoft Console Debugger ("cdb.exe") để chạy shellcode và tải các payload được mã hóa.
    LalsDumper, công cụ trích xuất bản ghi LSASS.
    032Loader, được sử dụng để giải mã và thực thi các payload.
    Bản thảo cuối cùng, phiên bản cập nhật của công cụ quản trị từ xa đã biết, lợi dụng Outlook và API Microsoft Graph cho C2.

"Nhóm tin tặc này đã giới thiệu một biến thể mới của phần mềm độc hại FINALDRAFT với khả năng tàng hình được nâng cao và tốc độ đánh cắp dữ liệu cao hơn, cùng với các kỹ thuật né tránh tiên tiến cho phép di chuyển ngang một cách lén lút và triển khai phần mềm độc hại nhiều giai đoạn trên các mạng bị xâm nhập", Check Point cho biết.

"FINALDRAFT triển khai một khung lệnh dạng mô-đun, trong đó các nhà điều hành gửi các tài liệu lệnh được mã hóa đến hộp thư của nạn nhân, và phần mềm độc hại sẽ tải xuống, giải mã và thực thi chúng."

Công ty an ninh mạng này cũng chỉ ra rằng họ đã phát hiện bằng chứng về một tác nhân đe dọa thứ hai được biết đến với tên REF3927 (hay còn gọi là RudePanda) trên "một số" môi trường nạn nhân tương tự đã bị Ink Dragon xâm nhập. Tuy nhiên, không có dấu hiệu nào cho thấy hai cụm này có liên kết hoạt động với nhau. Người ta tin rằng cả hai nhóm xâm nhập đều khai thác cùng một phương pháp truy cập ban đầu để giành được chỗ đứng.

Check Point kết luận: "Ink Dragon thể hiện một mô hình đe dọa trong đó ranh giới giữa 'máy chủ bị xâm nhập' và 'cơ sở hạ tầng điều khiển' không còn tồn tại. Mỗi điểm xâm nhập trở thành một nút trong một mạng lưới lớn hơn do kẻ điều hành kiểm soát – một mạng lưới sống động ngày càng mạnh mẽ hơn với mỗi nạn nhân bổ sung."

"Do đó, các nhà phòng thủ phải xem các vụ xâm nhập không chỉ là những vi phạm cục bộ mà còn là những mắt xích tiềm tàng trong một hệ sinh thái bên ngoài do kẻ tấn công quản lý, nơi việc tắt một nút đơn lẻ là không đủ trừ khi toàn bộ chuỗi chuyển tiếp được xác định và phá vỡ. Kiến trúc tập trung vào chuỗi chuyển tiếp của Ink Dragon là một trong những ứng dụng hoàn thiện nhất của ShadowPad được ghi nhận cho đến nay. Một bản kế hoạch chi tiết cho việc truy cập đa tổ chức lâu dài được xây dựng dựa trên chính các nạn nhân."