Phân tích các chiến dịch mã độc và lừa đảo khai thác chủ đề về xung đột tại Trung Đông

• Gia tăng các hoạt động hacktivist trong bối cảnh xung đột leo thang tại Trung Đông

• Ba trung tâm dữ liệu Amazon tại Trung Đông trúng không kích drone

• PV GAS đảm bảo nguồn cung khí LNG, LPG thị trường trong nước giữa căng thẳng Trung Đông

TRƯỜNG HỢP 1: NGHI NGỜ TẤN CÔNG CÓ CHỦ ĐÍCH TẠI KHU VỰC HỘI ĐỒNG HỢP TÁC VÙNG VỊNH (GCC)

Vào ngày 01/3/2026, Zscaler đã phát hiện một tệp lưu trữ ZIP chứa các nội dung liên quan đến xung đột ở Trung Đông. Tệp này bao gồm một tệp Windows shortcut (LNK) mà khi được mở ra sẽ tải xuống một tệp Windows Compiled HTML Help (CHM) độc hại từ một máy chủ do kẻ tấn công kiểm soát.

Tệp CHM sau đó được sử dụng để triển khai shellcode loader, một shellcode được làm rối (obfuscated) và cuối cùng là một backdoor. Như một phần của chiêu trò tinh vi, cuộc tấn công đã nhúng một tệp PDF giả mạo chứa hình ảnh về các cuộc tấn công tên lửa. Văn bản tiếng Ả Rập trong tệp PDF dịch ra là “Các cuộc tấn công tên lửa của Iran nhằm vào căn cứ của Mỹ ở Bahrain”.

Hình 1. Tệp PDF giả mạo được sử dụng trong cuộc tấn công

Giai đoạn 1

ZIP chứa một tệp LNK có tên “photo_2026-03-01_01-20-48.pdf.lnk”. Dòng lệnh target của tệp LNK sử dụng cURL để tải xuống một tệp CHM độc hại từ địa chỉ hxxps://www.360printsol[.]com/2026/alfadhalah/thumbnail?img=index.png. Sau đó, tệp LNK sử dụng CHM hợp pháp của Windows (hh.exe) với tùy chọn -decompile để giải nén nội dung CHM. Các tệp được giải nén từ CHM bao gồm: 0.lnk: Windows shortcut giai đoạn 2; 3: Tệp PDF giả mạo được sử dụng như một mồi nhử; 4: Tệp lưu trữ TAR chứa các thành phần độc hại.

Giai đoạn 2

LNK giai đoạn 2 thực hiện các hành động sau: Sao chép tệp PDF giả mạo từ tệp tin 3 và ghi nó dưới dạng “photo_2026-03-01_01-20-48.pdf”; Xử lý tệp tin 4 như một kho lưu trữ TAR và giải nén nội dung của nó vào thư mục %AppData% và thực thi %AppData%\BaiduNetdisk\ShellFolder.exe với đối số: --path a.

Tiếp theo, ShellFolder.exe sử dụng kỹ thuật DLL sideloading từ bên ngoài để chèn một DLL độc hại có tên “ShellFolderDepend.dll”.

Phân tích ShellFolderDepend.dll (Shellcode loader)

ShellFolderDepend.dll là một DLL 32-bit thiết lập tính năng duy trì hoạt động, sau đó giải mã và thực thi mã shellcode được nhúng bên trong.

Để thiết lập khả năng này, DLL sẽ liệt kê các tiến trình đang chạy để xác định xem bdagent.exe (Bitdefender Agent) có hiện diện hay không. Dựa trên kết quả, DLL sẽ sử dụng một trong hai phương pháp duy trì:

- Nếu bdagent.exe đang chạy: DLL sử dụng reg.exe để thiết lập khóa Run trỏ đến tệp nhị phân máy chủ (ShellFolder.exe): C:\Windows\System32\reg.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /reg:64 /v BaiNetdisk /t REG_SZ /d "\"%s\" --path a" /f.

- Nếu bdagent.exe không chạy: DLL sẽ thiết lập trực tiếp cùng một khóa Run bằng cách sử dụng RegSetValueExA.

Tệp tin DLL gọi Windows Native API SystemFunction033 (RC4) để giải mã shellcode được lưu trữ trong Shelter.ex (nằm cùng với tệp tin DLL) bằng khóa 20260301@@@. Sau đó, tệp tin DLL sẽ thực hiện các bước sau:

1. Cấp phát bộ nhớ cho tệp thực thi bằng VirtualAlloc.

2. Sao chép mã shellcode đã giải mã vào bộ nhớ.

3. Chuyển quyền thực thi sang shellcode đã được giải mã.

TRƯỜNG HỢP 2: LỖ HỔNG LOTUSLITE ĐƯỢC MUSTANG PANDA SỬ DỤNG VỚI CHỦ ĐỀ VỚI IRAN

Vào ngày 4/3/2026, Zscaer đã xác định một tệp ZIP độc hại khác có tên liên quan đến chủ đề xung đột. Việc thực thi phần mềm độc hại trong tệp này đã kích hoạt quá trình tải xuống và thực thi phần mềm độc hại LOTUSLITE. Theo các nhà nghiên cứu, tệp ZIP chứa một tệp nhị phân phần mềm âm nhạc KuGou hợp pháp, đã được kẻ tấn công đổi tên thành “Iran Strikes US Military Facilities Across Gulf Region.exe” và thứ hai là tệp DLL độc hại libmemobook.dll.

Dựa trên tên thư mục được trích xuất - JCPOA, Zscaler đánh giá nội dung được cho là có liên quan đến Kế hoạch Hành động Toàn diện Chung (JCPOA), thỏa thuận được ký kết  năm 2015. Tên tệp “Iran Strikes US Military Facilities Across Gulf Region.exe” dường như được lựa chọn một cách có chủ ý để phù hợp với cuộc xung đột quân sự đang diễn ra ở Trung Đông.

Khi được thực thi, tệp hợp pháp sẽ tải thêm thư viện độc hại libmemobook.dll nằm trong cùng thư mục.

Giai đoạn 1: Phân tích libmemobook.dll (sử dụng LOTUSLITE downloader)

Thực tế, libmemobook.dll là một DLL C++ 32-bit được sử dụng để tải xuống các payload giai đoạn tiếp theo và thiết lập khả năng duy trì hoạt động trên thiết bị đầu cuối. Chức năng độc hại được triển khai trong hàm export có tên ProcessMain.

Lần chạy đầu tiên, downloader sẽ thực hiện các bước kiểm tra để xác định xem LOTUSLITE đã được cài đặt hay chưa, nó tìm kiếm hai tệp trong thư mục C:\ProgramData\CClipboardCm\, bao gồm WebFeatures[.]exe và kugou.dll. Downloader cũng xác minh rằng cả hai tệp đều có kích thước phù hợp với kích thước dự kiến. Nếu quá trình kiểm tra thành công, downloader sẽ khởi chạy WebFeatures rồi thoát. Nếu quá trình kiểm tra môi trường thất bại, phần mềm độc hại sẽ bắt đầu quy trình cài đặt như sau:

- Đảm bảo chương trình đang chạy từ thư mục đích: Phần mềm độc hại kiểm tra xem nó đã được thực thi từ C:\ProgramData\CClipboardCm\ hay chưa. Nếu không, nó sẽ tạo thư mục và sao chép các tệp chính nó vào C:\ProgramData\CClipboardCm\libmemobook.dll và tệp thực thi máy chủ hợp lệ thành C:\ProgramData\CClipboardCm\SafeChrome[.]exe.

- Thiết lập tính năng lưu trữ dữ liệu: Downloader tạo một khóa Run của Windows có tên HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AcboardCm và gán nó cho đường dẫn: C:\ProgramData\CClipboardCm\SafeChrome[.]exe.

Sau đó, nó sẽ kiểm tra các thành phần giai đoạn tiếp theo trong thư mục C:\ProgramData\WebFeatures\, bao gồm: WebFeatures[.]exe và kugou.dll.

Nếu cả hai tệp đều hiện diện và kích thước được xác thực, downloader sẽ thực thi WebFeatures thông qua CreateProcessW. Sau đó, WebFeatures sẽ tải tệp DLL độc hại kugou.dll từ cùng thư mục, tiếp tục chuỗi lây nhiễm.

Nếu các payload giai đoạn tiếp theo không xuất hiện, phần mềm độc hại sẽ giải mã shellcode được nhúng, cấp phát bộ nhớ thực thi bằng VirtualAlloc, sao chép shellcode đã giải mã vào vùng được cấp phát và thực thi nó một cách gián tiếp bằng cách: thiết lập hàm callback EnumFontsW thành địa chỉ shellcode và gọi hàm EnumFontsW để kích hoạt quá trình thực thi.

Phân tích mã shellcode

Mã shellcode 32-bit chủ yếu tải xuống và nhúng các payload giai đoạn tiếp theo bằng cách sử dụng các URL được cấu hình sẵn. Điều đáng chú ý là tên miền e-kflower[.]com đã bị xâm nhập và được kẻ tấn công sử dụng để triển khai các phần mềm độc hại.

Shellcode này mã hóa cứng User-Agent được sử dụng cho tất cả các yêu cầu mạng thành Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36.

Đặc biệt, User-Agent này được áp dụng nhất quán trên toàn bộ lưu lượng HTTP để mạo danh hoạt động của trình duyệt Chrome hợp pháp. Sau khi tải xuống các payload giai đoạn tiếp theo, downloader sao chép chúng vào thư mục C:\ProgramData\WebFeatures\. Sau đó, nó thiết lập khả năng duy trì hoạt động bằng cách tạo khóa Run: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ASEdge và thiết lập nó để khởi chạy C:\ProgramData\WebFeatures\WebFeatures.exe -Edge.

Giai đoạn 2: Phân tích kugou.dll

WebFeatures là một tiện ích nhập dữ liệu hợp pháp từ bộ phần mềm âm nhạc KuGou. Khi được thực thi từ thư mục bị xâm nhập, nó sẽ tải thêm tệp kugou.dll độc hại. Các nhà nghiên cứu đã phát hiện sự trùng lặp đáng kể về code giữa kugou.dll và phần mềm độc hại LOTUSLITE - từng được ghi nhận vào tháng 01/2026, bao gồm cả việc sử dụng cùng một địa chỉ IP C2: 172[.]81[.]60[.]97.

Các tác nhân đe dọa liên kết với LOTUSLITE dường như nhanh chóng sử dụng các chủ đề gắn liền với các sự kiện địa chính trị đang diễn ra làm phương thức tấn công. Vào tháng 01/2026, chúng tận dụng các câu chuyện liên quan đến căng thẳng giữa Mỹ và Venezuela. Trong chiến dịch này, các nhà nghiên cứu quan sát thấy những kẻ tấn công sử dụng chủ đề xung đột tại Trung Đông.

TRƯỜNG HỢP 3: CÁC BLOG TIN GIẢ DẪN ĐẾN SỰ LÂY NHIỄM PHẦN MỀM ĐỘC HẠI STEALC

Zscaler cũng đã xác định một trang blog tin tức giả mạo chứa JavaScript độc hại dẫn đến việc tải xuống mã độc StealC. Các đoạn code được sử dụng trong chiến dịch này có thể phát hiện loại thiết bị của người truy cập, như điện thoại thông minh, máy tính để bàn hoặc thiết bị màn hình nhỏ). Hình 2 là ví dụ về trang web tin tức giả mạo được hiển thị bên dưới.

Hình 2. Trang web tin tức giả mạo về Iran được sử dụng để phát tán StealC

Đoạn code JavaScript độc hại sẽ chuyển hướng nạn nhân đến một trang lưu trữ tệp tin, nơi cung cấp mã độc StealC trong một tệp ZIP được bảo vệ bằng mật khẩu.  

Hình 3. Trang lưu trữ tệp tin chứa tệp ZIP được bảo vệ bằng mật khẩu có chứa StealC

Quy trình tấn công đầy đủ để triển khai StealC được thể hiện bên dưới.

Hình 4. Quy trình phát tán StealC

TRƯỜNG HỢP 4: CỔNG THÔNG TIN AN SINH XÃ HỘI GIẢ MẠO

Trong trường hợp này, một tên miền mới đăng ký cfgomma[.]com đã lưu trữ một bản sao giả mạo của cổng thông tin Cơ quan An sinh xã hội Mỹ (SSA).

Hình 5. Cổng thông tin SSA giả mạo

Kiểm tra mã nguồn trang cho thấy có các bình luận bằng tiếng Ba Tư.

Hình 6. Chú thích bằng tiếng Ba Tư trong mã nguồn trang

Khi nạn nhân nhấp vào tùy chọn “Download your statement”, trang web sẽ kích hoạt quá trình tải xuống PDQConnect, một công cụ giám sát và quản lý từ xa (RMM) hợp pháp. Nếu nạn nhân cài đặt và chạy phần mềm này, kẻ tấn công có thể giành được quyền truy cập từ xa vào hệ thống và thực hiện các hoạt động tiếp theo như đánh cắp dữ liệu.

TRƯỜNG HỢP 5: TRANG WEB THANH TOÁN PHÍ CẦU ĐƯỜNG KVISH 6 GIẢ MẠO

Trong trường hợp tiếp theo, tên miền 017[.]65c[.]mytemp[.]website lưu trữ một trang web giả mạo cổng thanh toán phí cầu đường Kvish 6 của Israel.

Hình 7. Trang web thanh toán phí cầu đường Kvish 6 giả mạo

Trang web giả mạo thu thập thông tin nạn nhân như địa chỉ IP và loại thiết bị, sau đó đánh lừa nạn nhân cung cấp các chi tiết liên quan đến giấy phép trước khi yêu cầu họ nhập thông tin thanh toán để trả một khoản tiền phạt giả mạo.

Tương tự như trường hợp trước, mã nguồn trang web lừa đảo này chứa các bình luận bằng tiếng Ba Tư.

Hình 8. Chú thích bằng tiếng Ba Tư trong mã nguồn trang

Dữ liệu đã gửi được chuyển tiếp đến một bot Telegram.

Hình 9. Ví dụ về dữ liệu do nạn nhân gửi được chuyển tiếp đến bot Telegram

TRƯỜNG HỢP 6: VỤ LỪA ĐẢO QUYÊN GÓP DỰA TRÊN CHỦ ĐỀ XUNG ĐỘT

Zscaler đã phát hiện một số trang web giả mạo các chiến dịch cứu trợ nhân đạo hoặc “hỗ trợ”. Thay vì chuyển tiền đến các tổ chức từ thiện có thể xác minh được, các luồng thanh toán lại hướng nạn nhân đến các địa chỉ Google Pay (GPay) hoặc địa chỉ ví tiền điện tử đáng ngờ.

Hình 10. Trang web quyên góp giả mạo, chuyển hướng các khoản thanh toán đến các địa chỉ ví tiền điện tử đáng ngờ

TRƯỜNG HỢP 7: VỤ LỪA ĐẢO CỬA HÀNG TRỰC TUYẾN

Các nhà nghiên cứu quan sát thấy các cửa hàng trực tuyến có chủ đề về xung đột tại Trung Đông, thông qua quảng cáo quần áo, phụ kiện hoặc hàng hóa phiên bản giới hạn thể hiện sự “ủng hộ”.

Những trang web này thường có các đặc điểm phù hợp với hành vi lừa đảo cơ hội (ví dụ thông tin doanh nghiệp tối thiểu, tên miền mới tạo và thông tin liên hệ/trả hàng hạn chế), cho thấy các rủi ro từ lừa đảo không giao hàng đến khả năng đánh cắp thông tin thẻ thanh toán.

Hình 11. Trang web mua sắm có khả năng lừa đảo

TRƯỜNG HỢP 8: CÁC CHƯƠNG TRÌNH KHUYẾN MÃI MEME-COIN VÀ CHIÊU TRÒ BƠM THỔI GIÁ

Một trường khác được phát hiện là các trang web quảng bá token liên quan đến xung đột, sử dụng thông điệp giàu cảm xúc và nội dung theo kiểu “tin tức nóng hổi” để tạo ra sự cường điệu giả tạo. Các chiến dịch này nhằm mục đích tạo ra áp lực mua nhanh chóng và sau đó bán tháo khi thanh khoản tăng lên, khiến những người mua muộn bị thua lỗ.

KẾT LUẬN

Tổng thể các trường hợp được phát hiện cho thấy các sự kiện địa chính trị, đặc biệt là xung đột tại Trung Đông, đang bị các tác nhân đe dọa lợi dụng như một “chất xúc tác” cho nhiều hình thức tấn công mạng khác nhau. Thay vì chỉ tập trung vào các chiến dịch gián điệp mạng có chủ đích, môi trường thông tin hỗn loạn và mức độ quan tâm cao của dư luận đã tạo điều kiện cho cả các nhóm APT, tội phạm mạng và các đối tượng lừa đảo cơ hội đồng thời triển khai nhiều chiến dịch độc hại.

Các phát hiện của Zscaler cho thấy quy mô chuẩn bị hạ tầng tấn công đáng chú ý, với hơn 8.000 tên miền mới được đăng ký có liên quan đến các từ khóa về xung đột. Phần lớn các tên miền này chưa được sử dụng ngay lập tức, nhưng chúng có thể đóng vai trò là cơ sở hạ tầng cho các chiến dịch lừa đảo, phát tán phần mềm độc hại hoặc các hoạt động gian lận trong thời gian tới. Điều này phản ánh chiến thuật phổ biến của tội phạm mạng là chuẩn bị sẵn hệ sinh thái tên miền và nội dung giả mạo trước khi kích hoạt chiến dịch khi mức độ chú ý của dư luận đạt đỉnh.

Một đặc điểm nổi bật của các chiến dịch này là việc tận dụng nội dung liên quan trực tiếp đến sự kiện thời sự nhằm tăng độ tin cậy và kích thích phản ứng nhanh của nạn nhân. Các tệp mồi nhử, trang web giả mạo hoặc thông điệp lừa đảo thường gắn với các chủ đề nóng như tấn công quân sự, khủng hoảng nhân đạo hoặc các tuyên bố chính trị. Điều này khiến người dùng dễ mất cảnh giác và tương tác với nội dung độc hại, đặc biệt khi thông tin được trình bày dưới dạng tin tức, tài liệu hoặc lời kêu gọi hỗ trợ.

Từ góc độ an ninh mạng, những phát hiện này cho thấy các sự kiện địa chính trị lớn không chỉ ảnh hưởng đến môi trường an ninh truyền thống mà còn tạo ra các cơ hội đáng kể cho tội phạm mạng và các chiến dịch tấn công thông tin. Sự kết hợp giữa các chiến thuật kỹ thuật phức tạp và các hình thức lừa đảo đơn giản nhưng hiệu quả cho thấy bức tranh đe dọa ngày càng đa dạng và khó dự đoán.