TA4922: Khi tội phạm mạng dùng AI để tăng tốc tấn công

Không còn bó hẹp trong các chiến dịch quy mô nhỏ, nhóm tội phạm mạng này triển khai một chiến dịch tấn công trên diện rộng, sử dụng kho mã độc liên tục đổi mới để nhắm vào các tổ chức tại Nhật Bản, Đức, Vương quốc Anh và toàn bộ khu vực Đông Nam Á. Với động cơ tài chính rõ rệt, TA4922 cho thấy một chiến lược với độ tinh vi vượt trội, biến chúng trở thành mối đe dọa nguy hiểm trên bản đồ an ninh mạng toàn cầu.

Hàng rào lừa đảo tinh vi và hành trình bành trướng của TA4922

Theo báo cáo chi tiết từ các nhà phân tích tại công ty an ninh mạng Proofpoint, điểm đáng sợ của TA4922 nằm ở cách thức tiếp cận nạn nhân cực kỳ khéo léo. Nhóm tội phạm này thường xuyên gửi các email lừa đảo được thiết kế tỉ mỉ, đóng vai là thông báo từ phòng nhân sự, bộ phận tính lương hoặc cơ quan thuế.

Để tăng tỷ lệ thành công, các bức thư này được viết hoàn toàn bằng ngôn ngữ địa phương của mục tiêu, khiến ngay cả những nhân viên cẩn thận nhất cũng dễ bị sập bẫy. Chỉ cần một cú click vào liên kết ẩn hoặc mở tệp đính kèm, mã độc sẽ ngay lập tức được cài đặt một cách âm thầm vào hệ thống.

Xuất hiện lần đầu trong hệ thống theo dõi vào mùa xuân năm 2025 với các mục tiêu ban đầu tại Đông Á, TA4922 đã nhanh chóng mở rộng địa bàn hoạt động. Đến đầu năm 2026, tầm ảnh hưởng của nhóm đã lan sang cả Châu Âu và Nam Phi. Để che giấu hành vi, nhóm này kết hợp khéo léo giữa các phần mềm độc hại với các dịch vụ lưu trữ đám mây quen thuộc và công cụ hợp pháp, khiến các hệ thống phòng thủ rất khó phát hiện ra dấu vết xâm nhập.

Kho vũ khí mã độc đa dạng được hỗ trợ bởi AI

Proofpoint đánh giá cao khả năng xây dựng công cụ mới của TA4922 với tốc độ đáng kinh ngạc. Các chuyên gia nhận định nhóm này nhiều khả năng đã ứng dụng trí tuệ nhân tạo (AI) để đẩy nhanh quá trình viết các mã độc dựa trên ngôn ngữ Python. Minh chứng là trong mã nguồn của công cụ SilentRunLoader, người ta vẫn tìm thấy các chuỗi ký tự giữ chỗ mặc định chưa kịp thay đổi như your_secret_key_here, cho thấy một quy trình sản xuất phần mềm độc hại cực kỳ thần tốc.

Chỉ trong khoảng thời gian ngắn từ tháng 3 đến tháng 4 năm 2026, nhóm này đã liên tục thay đổi vũ khí qua các chiến dịch cụ thể:

• Atlas RAT (Phần mềm gián điệp kiểm soát từ xa): Đầu tháng 3/2026, nhóm giả mạo thông báo điều chỉnh lương gửi tới các tổ chức ở Nhật Bản qua tệp nén ZIP trên nền tảng GoFile. Khi mở ra, kỹ thuật chèn mã độc sẽ kích hoạt Atlas RAT, kết nối thẳng về máy chủ điều khiển. Đến tháng 4, chiến dịch này lan sang Anh và Đức dưới dạng hồ sơ nhân sự Paperwork.zip. Đây là loại mã độc nguy hiểm, có thể ghi lại thao tác bàn phím, chụp màn hình, bật webcam và tự động vượt qua các hàng rào kiểm tra ảo (sandbox).

• RomulusLoader: Xuất hiện cuối tháng 3 tại Nhật Bản thông qua nền tảng lưu trữ LimeWire. Đến giữa tháng 4, công cụ này được dùng để cài cắm các phần mềm quản lý từ xa hợp pháp như AnyDesk hay SyncFuture nhằm hòa lẫn vào lưu lượng mạng thông thường nhằm tránh bị phát hiện.

• SilentRunLoader: Được triển khai tại Vương quốc Anh thông qua email giả mạo cơ quan thuế, chuyên dùng để đánh cắp thông tin đăng nhập trình duyệt Chrome và gửi về cho tin tặc.

• ValleyRAT: Chạy trên nền tảng khung Winos4.0, có khả năng hỗ trợ các cuộc tấn công từ chối dịch vụ (DDoS) và tải thêm các thành phần độc hại khác tùy theo mục đích của kẻ tấn công.

Các chỉ số nhận diện mối đe dọa (IOCs)

Để giúp các quản trị viên hệ thống và bộ phận an ninh mạng có thể chủ động rà soát, ngăn chặn, dưới đây là các thông số kỹ thuật liên quan đến chiến dịch của TA4922 (các dấu chấm trong địa chỉ IP và tên miền đã được làm mờ để đảm bảo an toàn):

• Địa chỉ IP máy chủ điều khiển (C2): 206.238.115[.]58

• Cổng kết nối mạng (Port): Cổng 886 (dành cho Atlas RAT) và cổng 1234 (dành cho RomulusLoader).

• Nền tảng lưu trữ bị lạm dụng: GoFile, LimeWire.

• Các loại mã độc: Atlas RAT, RomulusLoader, SilentRunLoader, ValleyRAT.

• Phần mềm hợp pháp bị lợi dụng: AnyDesk, SyncFuture.

• Phương thức tấn công chính: Lừa đảo qua email (Email phishing), kỹ thuật DLL Sideloading.

Chiến lược phòng thủ chủ động cho tổ chức và doanh nghiệp

Trước sự tinh vi của TA4922, các tổ chức và doanh nghiệp được khuyến nghị cần thực hiện ngay các biện pháp bảo vệ nghiêm ngặt:

• Thắt chặt an ninh thiết bị đầu cuối: Áp dụng chính sách chỉ cho phép các ứng dụng đáng tin cậy được hoạt động (allowlisting). Cần giám sát chặt chẽ hoặc chặn hoàn toàn quyền thực thi phần mềm từ các thư mục tạm thời như %TEMP% và %APPDATA% – nơi các mã độc như RomulusLoader thường ẩn náu.

• Kiểm soát lưu lượng mạng: Thiết lập hệ thống cảnh báo đối với các lưu lượng truy cập qua các cổng bất thường, đặc biệt là cổng 1234. Đồng thời, áp dụng nguyên tắc phân quyền tối thiểu (least-privilege) để hạn chế tối đa thiệt hại nếu chẳng may có tài khoản bị chiếm dụng.

• Đào tạo An ninh mạng: TA4922 có xu hướng chuyển hướng nạn nhân từ email sang các nền tảng chat trực tuyến như WhatsApp hay Microsoft Teams. Do đó, việc đào tạo nhân viên nhận biết các chiêu trò thao túng tâm lý (kỹ thuật xã hội) là mắt xích cốt lõi để chặn đứng cuộc tấn công ngay từ bước đầu.

Sự xuất hiện của nhóm tội phạm mạng TA4922 cùng kho vũ khí công nghệ cao là lời nhắc nhở đắt giá cho các doanh nghiệp trong kỷ nguyên số. Việc đối thủ áp dụng AI để tối ưu hóa tốc độ tấn công buộc các tổ chức không thể lơ là. Sự chủ động trong phòng ngự kỹ thuật kết hợp với việc nâng cao cảnh giác của mỗi cá nhân chính là chìa khóa vàng để bảo vệ an toàn thông tin trước những làn sóng ngầm nguy hiểm này.

Nguồn tham khảo: adsecvn.com