Ai ngờ được rằng những cuộc trò chuyện trên Slack hay Discord lại có thể là kênh chỉ huy của các nhóm hacker quốc gia? Công ty an ninh mạng ESET vừa phát hiện nhóm tin tặc có liên quan đến Trung Quốc đã sử dụng chính các nền tảng truyền thông phổ biến này để điều khiển các cuộc tấn công vào chính phủ Mông Cổ. Đây là một bước tiến mới trong chiến thuật che giấu của các threat actor (tác nhân đe dọa), khi họ lựa chọn trà trộn vào dòng traffic hợp pháp thay vì xây dựng hạ tầng riêng dễ bị phát hiện.

GopherWhisker - Kẻ thù thầm lặng suốt 14 tháng

Nhóm tin tặc được ESET đặt tên là GopherWhisker đã hoạt động từ ít nhất tháng 11/2023, nhưng chỉ bị phát hiện vào tháng 1/2025 - tức là họ đã âm thầm hoạt động suốt hơn 14 tháng. Điều đáng báo động là các chuyên gia chỉ phát hiện ra họ khi tìm thấy một backdoor (cửa hậu) chưa từng được biết đến trên mạng của một cơ quan chính phủ Mông Cổ. Backdoor là phần mềm độc hại cho phép hacker truy cập trái phép vào hệ thống mà không cần qua các biện pháp bảo mật thông thường.

Chúng tôi cho rằng việc nhóm này có thể hoạt động ngầm trong thời gian dài như vậy cho thấy trình độ kỹ thuật cao và sự chuẩn bị kỹ lưỡng. Thông thường, các cuộc tấn công APT (Advanced Persistent Threat - mối đe dọa dai dẳng nâng cao) của các nhóm có sự tài trợ từ quốc gia thường kéo dài nhiều tháng hoặc thậm chí nhiều năm để thu thập thông tin tình báo.

Khi Slack và Discord trở thành "trung tâm chỉ huy" tội phạm

Điểm đặc biệt trong chiến dịch này là GopherWhisker đã sử dụng Slack và Discord - hai nền tảng giao tiếp doanh nghiệp và game thủ phổ biến - làm kênh Command & Control (C&C). C&C server là máy chủ trung tâm mà hacker sử dụng để gửi lệnh điều khiển đến các máy tính bị nhiễm malware và nhận dữ liệu đánh cắp được. Thay vì thiết lập server riêng dễ bị phát hiện và chặn, họ đã lợi dụng hạ tầng sẵn có của các dịch vụ hợp pháp.

Chiến thuật "Living off the Land" này ngày càng phổ biến trong giới cybercrime. Khi traffic đến Slack hay Discord hoàn toàn bình thường trong môi trường doanh nghiệp, các hệ thống giám sát bảo mật rất khó phát hiện ra hoạt động đáng ngờ. Theo thống kê của chúng tôi từ các báo cáo quốc tế, hơn 60% các cuộc tấn công APT trong năm 2024 đã sử dụng các dịch vụ cloud và social media hợp pháp để che giấu hoạt động.

Tác động lan rộng từ một phát hiện tình cờ

Việc phát hiện GopherWhisker không chỉ là một vụ việc đơn lẻ mà phản ánh xu hướng nguy hiểm hơn trong bối cảnh căng thẳng địa chính trị khu vực. Mông Cổ, với vị trí địa lý quan trọng nằm giữa Trung Quốc và Nga, thường xuyên trở thành mục tiêu của các hoạt động gián điệp mạng. Các thông tin nhạy cảm từ chính phủ có thể bao gồm chính sách ngoại giao, tài nguyên khoáng sản, hoặc hợp tác quân sự.

Chúng tôi đánh giá rằng đây chỉ là phần nổi của tảng băng chìm. Nếu GopherWhisker có thể tồn tại hơn một năm mà không bị phát hiện, rất có thể còn nhiều nhóm tương tự đang hoạt động âm thầm tại các quốc gia khác trong khu vực, bao gồm cả Việt Nam. Các cơ quan chính phủ và doanh nghiệp lớn cần đặc biệt cảnh giác với loại hình tấn công tinh vi này.

Khuyến cáo bảo vệ khẩn cấp cho tổ chức Việt Nam

Trước mối đe dọa từ các nhóm APT sử dụng legitimate service để che giấu, các tổ chức tại Việt Nam cần thực hiện ngay các biện pháp sau: Đầu tiên, triển khai giám sát Network Traffic Analysis (NTA) để phát hiện pattern bất thường trong giao tiếp với các dịch vụ cloud, bao gồm cả Slack và Discord. Thứ hai, áp dụng Zero Trust Network Architecture - không tin tưởng mặc định bất kỳ traffic nào dù đến từ nguồn hợp pháp.

Đặc biệt quan trọng là thực hiện hunt threat proactively thay vì chỉ phòng thủ thụ động. Các đội SOC (Security Operations Center) cần được đào tạo để nhận biết các Indicator of Compromise (IoC) mới và techniques của các APT group. Cuối cùng, thiết lập backup offline và incident response plan chi tiết, bởi khi đã bị xâm nhập sâu như trường hợp Mông Cổ, việc khôi phục có thể mất nhiều tháng.