Mối đe dọa mạng nghiêm trọng: Operation IconCat và mã độc PYTRIC

Các nhà nghiên cứu bảo mật tại Seqrite Labs đã phát hiện một chiến dịch phức tạp được gọi là Operation IconCat, nhắm mục tiêu vào các tổ chức ở Israel. Chiến dịch này sử dụng các tài liệu chứa mã độc được thiết kế tinh vi để ngụy trang thành công cụ bảo mật hợp pháp. Đây là một mối đe dọa mạng nghiêm trọng đã bắt đầu từ Tháng 11 năm 2025, gây ảnh hưởng đến nhiều công ty trong các lĩnh vực công nghệ thông tin, dịch vụ nhân sự và phát triển phần mềm.

Trọng tâm của Operation IconCat dựa trên kỹ thuật thao túng tâm lý (social engineering). Các tác nhân đe dọa tạo ra các tài liệu giả mạo các nhà cung cấp phần mềm diệt virus đáng tin cậy như Check Point và SentinelOne. Khi nạn nhân mở các tệp tin ngụy trang này, họ vô tình tải xuống các loại mã độc nguy hiểm được ẩn giấu dưới tên thương hiệu quen thuộc.

Chiến dịch này minh họa cách kết hợp giữa kỹ thuật thao túng tâm lý và sự tinh vi về kỹ thuật có thể vượt qua các biện pháp phòng thủ bảo mật truyền thống. Kỹ thuật social engineering đóng vai trò then chốt trong việc lừa người dùng thực thi các payload độc hại.

Nội dung

Phân Tích Phát Hiện và Chuỗi Tấn Công Ban Đầu

Chi tiết Kỹ thuật về Mã Độc PYTRIC (Chuỗi Tấn công 1)

Khả năng và Hoạt động của PYTRIC

Chi tiết Kỹ thuật về Mã Độc RUSTRIC (Chuỗi Tấn công 2)

Khả năng và Hoạt động của RUSTRIC

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Khuyến nghị và Biện pháp Phòng ngừa

Phân Tích Phát Hiện và Chuỗi Tấn Công Ban Đầu

Các nhà phân tích của Seqrite đã xác định Operation IconCat thông qua việc phân tích các tệp tải lên đáng ngờ từ Israel vào ngày 16 và 17 tháng 11 năm 2025. Việc phân tích này đã dẫn đến việc phát hiện hai chuỗi tấn công riêng biệt, mỗi chuỗi triển khai một biến thể mã độc khác nhau nhưng sử dụng các chiến thuật tương tự. Seqrite Labs đã công bố chi tiết phân tích về các cụm mối đe dọa này.

Hai chuỗi tấn công chính trong Operation IconCat bao gồm:

Chuỗi thứ nhất tập trung vào việc phân phối dựa trên tài liệu PDF.
Chuỗi thứ hai sử dụng các tài liệu Word chứa mã lập trình ẩn (macro).

Chiến dịch này nhấn mạnh tầm quan trọng của việc giám sát các hoạt động tải lên và phân tích sâu các tệp tin đáng ngờ để kịp thời phát hiện xâm nhập.

Chi tiết Kỹ thuật về Mã Độc PYTRIC (Chuỗi Tấn công 1)

Làn sóng tấn công đầu tiên của Operation IconCat bắt đầu bằng một tệp PDF có tên help.pdf. Tệp này tự giới thiệu là hướng dẫn sử dụng máy quét bảo mật của Check Point.

Tài liệu PDF hướng dẫn người dùng tải xuống một công cụ có tên “Security Scanner” từ dịch vụ lưu trữ đám mây Dropbox, được bảo vệ bằng mật khẩu “cloudstar”. Bên trong tệp tin giả mạo này là các hướng dẫn chi tiết về cách chạy quét bảo mật, đi kèm với các ảnh chụp màn hình trông rất chân thực.

Tệp PDF này đóng vai trò là điểm khởi đầu để triển khai PYTRIC, một loại mã độc được viết bằng Python và đóng gói bằng công nghệ PyInstaller.

Khả năng và Hoạt động của PYTRIC

PYTRIC sở hữu những khả năng đáng lo ngại vượt ra ngoài hành vi mã độc thông thường. Phân tích cho thấy nó chứa các chức năng được thiết kế để:

Quét tệp trên toàn bộ hệ thống.
Kiểm tra quyền quản trị viên (administrator privileges).
Thực hiện các hành động phá hoại như xóa dữ liệu hệ thống.
Xóa các bản sao lưu.

Loại mã độc này giao tiếp thông qua một bot Telegram có tên “Backup2040”, cho phép các tác nhân tấn công kiểm soát các máy bị nhiễm từ xa. Sự kết hợp này cho thấy ý định của các tác nhân đe dọa không chỉ là đánh cắp thông tin mà còn là phá hủy hoàn toàn dữ liệu. Việc triển khai mã độc PYTRIC cho thấy mức độ nguy hiểm của Operation IconCat.

Phân tích sâu hơn về mã độc PYTRIC cho thấy một chiến lược tấn công có chủ đích, tập trung vào việc gây thiệt hại tối đa cho hệ thống mục tiêu. Điều này đòi hỏi các biện pháp phòng thủ mạnh mẽ để ngăn chặn và ứng phó.

Chi tiết Kỹ thuật về Mã Độc RUSTRIC (Chuỗi Tấn công 2)

Chiến dịch thứ hai trong Operation IconCat tuân theo một mô hình tương tự nhưng sử dụng một implant được viết bằng Rust có tên RUSTRIC. Các tác nhân đe dọa đã sử dụng email spear-phishing mạo danh L.M. Group, một công ty nhân sự hợp pháp của Israel, sử dụng tên miền giả mạo l-m.co.il.

Tệp đính kèm email chứa một tài liệu Word bị hỏng (corrupted) với các macro ẩn. Các macro này có chức năng trích xuất và thực thi payload cuối cùng là RUSTRIC.

Khả năng và Hoạt động của RUSTRIC

RUSTRIC thể hiện khả năng trinh sát nâng cao. Nó kiểm tra sự hiện diện của 28 sản phẩm chống virus khác nhau, bao gồm Quick Heal, CrowdStrike và Kaspersky.

Một khi được thực thi qua Windows Management Instrumentation (WMI), RUSTRIC sẽ chạy các lệnh hệ thống để xác định máy tính bị nhiễm và thiết lập kết nối đến các máy chủ do kẻ tấn công kiểm soát (C2 servers). Điều này cho phép kẻ tấn công duy trì chiếm quyền điều khiển và thực hiện các hành động tiếp theo trên hệ thống.

Khả năng vượt qua các giải pháp chống virus phổ biến và sử dụng WMI cho thấy mức độ tinh vi của mã độc này, đặt ra một thách thức lớn cho các hệ thống bảo mật truyền thống trong cuộc tấn công mạng này.

Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)

Các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện và ngăn chặn các cuộc tấn công liên quan đến Operation IconCat:

Tên tệp tin độc hại:
- help.pdf
- “Security Scanner” (Tên khả thi của tệp thực thi độc hại)
Tên miền/URL liên quan:
- Tên miền giả mạo: l-m.co.il
- Dịch vụ phân phối payload: Dropbox (URL cụ thể không được cung cấp)
Mật khẩu sử dụng:
- “cloudstar” (Dùng để bảo vệ tệp tin độc hại trên Dropbox)
Thông tin C2 (Command and Control):
- Bot Telegram: Backup2040 (Dùng cho PYTRIC)
- Máy chủ điều khiển (C2 servers) cho RUSTRIC (URL/IP cụ thể không được cung cấp)
Kỹ thuật tấn công:
- Social Engineering (mạo danh công cụ bảo mật, công ty nhân sự)
- Sử dụng macro trong tài liệu Word
- Thực thi qua WMI

Khuyến nghị và Biện pháp Phòng ngừa

Các đội ngũ bảo mật cần xem xét Operation IconCat là một mối đe dọa có mức độ ưu tiên cao, yêu cầu điều tra và khắc phục ngay lập tức. Các biện pháp phòng ngừa và ứng phó cần bao gồm:

Đào tạo nhận thức về bảo mật: Huấn luyện người dùng về các kỹ thuật lừa đảo qua email (phishing) và social engineering, đặc biệt là các tệp đính kèm và liên kết đáng ngờ.
Xác minh nguồn gốc: Luôn xác minh tính xác thực của các yêu cầu tải xuống phần mềm, đặc biệt là các công cụ bảo mật, bằng cách truy cập trực tiếp trang web chính thức của nhà cung cấp.
Cập nhật hệ thống và phần mềm: Đảm bảo rằng tất cả hệ thống và phần mềm, bao gồm cả phần mềm chống virus, luôn được cập nhật phiên bản mới nhất và có bản vá bảo mật đầy đủ.
Giám sát và phân tích logs: Triển khai giám sát mạng và hệ thống liên tục để phát hiện các hoạt động bất thường, đặc biệt là các kết nối đến các máy chủ C2 không xác định hoặc việc thực thi các lệnh WMI đáng ngờ.
Giới hạn quyền truy cập: Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) để hạn chế quyền của người dùng và ứng dụng, giảm thiểu tác động nếu xảy ra xâm nhập.
Kiểm soát macro: Cấu hình chính sách bảo mật để vô hiệu hóa macro theo mặc định trong các ứng dụng Office và cảnh báo người dùng khi macro được bật.
Giải pháp Endpoint Detection and Response (EDR): Triển khai các giải pháp EDR để tăng cường khả năng phát hiện và phản ứng trước các mối đe dọa tiên tiến như PYTRIC và RUSTRIC.

Việc chủ động trong các biện pháp phòng thủ là rất quan trọng để bảo vệ tổ chức khỏi các chiến dịch tấn công mạng tinh vi như Operation IconCat.