Tại sao một nhóm hacker lại quyết định chia sẻ 'kho vũ khí' malware của mình thay vì giấu kín như truyền thống? Câu trả lời đang khiến cộng đồng an ninh mạng toàn cầu lo ngại khi nhóm APT (Advanced Persistent Threat - tấn công dai dẳng nâng cao) có liên hệ với Trung Quốc mang tên UAT-8302 áp dụng chiến thuật hoàn toàn mới này. Cisco Talos vừa phát hiện nhóm này đang tấn công các cơ quan chính phủ tại Nam Mỹ từ cuối 2024 và mở rộng sang Đông Nam Âu trong năm 2025, sử dụng những dòng malware tùy chỉnh được chia sẻ giữa nhiều chiến dịch khác nhau.

Chiến thuật 'chia sẻ vũ khí' - bước tiến hóa mới của APT Trung Quốc

UAT-8302 đã phá vỡ quy tắc ngầm trong thế giới hacker khi công khai chia sẻ các dòng malware tùy chỉnh giữa các chiến dịch tấn công khác nhau. Điều này hoàn toàn trái ngược với thói quen truyền thống của các nhóm APT, vốn thường giữ bí mật và sử dụng độc quyền những công cụ tấn công của riêng mình. Chúng tôi cho rằng đây là dấu hiệu cho thấy sự thay đổi trong chiến lược hoạt động của các nhóm tấn công có sự bảo trợ của nhà nước Trung Quốc.

Việc chia sẻ malware này không chỉ đơn thuần là hợp tác giữa các nhóm hacker. Nó còn thể hiện sự phân công chuyên môn hóa cao, trong đó một số nhóm chuyên phát triển công cụ tấn công, trong khi những nhóm khác tập trung vào việc thực hiện các chiến dịch cụ thể. Mô hình này giúp tối ưu hóa hiệu quả tấn công và giảm thời gian phát triển công cụ mới, đồng thời làm tăng đáng kể khả năng che giấu nguồn gốc thực sự của các cuộc tấn công.

Phân tích kỹ thuật: Khi malware trở thành 'hàng có sẵn'

Các chuyên gia của Cisco Talos đã phát hiện UAT-8302 triển khai nhiều dòng malware tùy chỉnh trong giai đoạn post-exploitation (sau khi xâm nhập thành công). Điểm đặc biệt là những malware này không được phát triển riêng cho UAT-8302 mà đã xuất hiện trong các chiến dịch của những nhóm APT khác có liên quan đến Trung Quốc. Backdoor (cửa hậu), keylogger (ghi phím), và các công cụ lateral movement (di chuyển ngang) được sử dụng như những 'module plug-and-play' có thể tái sử dụng.

Chúng tôi đánh giá cao mức độ tinh vi trong cách UAT-8302 tùy chỉnh và triển khai những công cụ 'có sẵn' này. Thay vì sử dụng nguyên bản, nhóm đã thực hiện những thay đổi nhỏ nhưng quan trọng để phù hợp với mục tiêu cụ thể của từng chiến dịch. Điều này không chỉ giúp tránh phát hiện mà còn tối ưu hóa hiệu quả tấn công đối với từng khu vực địa lý và loại mục tiêu khác nhau. Kỹ thuật này còn được gọi là 'malware-as-a-service' trong nội bộ các nhóm APT có cùng nguồn gốc.

Tác động toàn cầu và mối đe dọa với khu vực

Mô hình chia sẻ malware của UAT-8302 đang tạo ra một làn sóng lo ngại trong cộng đồng an ninh mạng quốc tế. Khi các công cụ tấn công trở nên 'tiêu chuẩn hóa' và có thể tái sử dụng, khả năng phát hiện và phân tích nguồn gốc tấn công trở nên khó khăn hơn đáng kể. Các cơ quan chính phủ tại Nam Mỹ và Đông Nam Âu - những khu vực có vị trí chiến lược quan trọng - đang phải đối mặt với nguy cơ bị đánh cắp thông tin nhạy cảm và bí mật nhà nước.

Đối với Việt Nam, mối đe dọa này đặc biệt nghiêm trọng khi nước ta nằm trong khu vực Đông Nam Á và có nhiều mối quan hệ ngoại giao phức tạp. Theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), số vụ tấn công APT nhắm vào các cơ quan nhà nước Việt Nam đã tăng 40% trong năm 2024. Chúng tôi dự đoán xu hướng chia sẻ malware như UAT-8302 sẽ sớm lan rộng, khiến các cuộc tấn công trở nên khó dự đoán và ngăn chặn hơn.

Hướng dẫn phòng chống cụ thể cho tổ chức Việt Nam

Các cơ quan, tổ chức Việt Nam cần thực hiện ngay các biện pháp phòng chống cụ thể sau: Đầu tiên, triển khai hệ thống giám sát mạng 24/7 với khả năng phát hiện behavioral analysis (phân tích hành vi) thay vì chỉ dựa vào signature detection (phát hiện dựa trên chữ ký) truyền thống. Thứ hai, thiết lập cơ chế threat intelligence sharing (chia sẻ thông tin tình báo mối đe dọa) với các đối tác quốc tế để cập nhật IOC (Indicators of Compromise - chỉ số xâm nhập) mới nhất về các dòng malware được chia sẻ.

Đặc biệt quan trọng là việc phân đoạn mạng (network segmentation) và triển khai zero-trust architecture (kiến trúc không tin tưởng). Các tổ chức cần thực hiện audit bảo mật định kỳ mỗi quý, tập trung vào việc rà soát các tài khoản có quyền cao và kiểm tra log truy cập bất thường. Cuối cùng, đầu tư vào đào tạo nhận thức an ninh mạng cho nhân viên, đặc biệt là khả năng nhận biết các kỹ thuật social engineering (kỹ thuật xã hội) thường được sử dụng trong giai đoạn initial access (truy cập ban đầu) của các cuộc tấn công APT.