🔒 UnsolicitedBooker nhắm mục tiêu vào các công ty viễn thông Trung Á bằng backdoor LuciDoor và MarsSnake

Nhóm hoạt động đe dọa được gọi là UnsolicitedBooker đã được quan sát thấy nhắm mục tiêu vào các công ty viễn thông ở Kyrgyzstan và Tajikistan, đánh dấu sự thay đổi so với các cuộc tấn công trước đây nhằm vào các thực thể Ả Rập Saudi.

📋 Nội dung chi tiết

Theo một báo cáo được công bố bởi Positive Technologies vào tuần trước, các cuộc tấn công liên quan đến việc triển khai hai cửa hậu riêng biệt có tên mã là LuciDoor và MarsSnake.

Các nhà nghiên cứu Alexander Badaev và Maxim Shamanov cho biết: “Nhóm đã sử dụng một số nhạc cụ độc đáo và quý hiếm có nguồn gốc từ Trung Quốc”.

UnsolicitedBooker lần đầu tiên được ESET ghi lại vào tháng 5 năm 2025, quy kết tác nhân đe dọa liên kết với Trung Quốc đã thực hiện một cuộc tấn công mạng nhắm vào một tổ chức quốc tế giấu tên ở Ả Rập Saudi bằng cửa sau có tên MarsSnake. Nhóm này được đánh giá là hoạt động ít nhất từ ​​tháng 3 năm 2023 và có lịch sử nhắm mục tiêu vào các tổ chức ở Châu Á, Châu Phi và Trung Đông.

Phân tích sâu hơn về tác nhân đe dọa đã phát hiện ra sự chồng chéo về mặt chiến thuật với hai cụm khác, bao gồm Cướp biển không gian và một chiến dịch chưa được xác định nhắm mục tiêu vào Ả Rập Saudi bằng một cửa hậu khác được gọi là Zardoor.

🔍 Thông tin bổ sung

Nhóm tấn công mới nhất được nhà cung cấp dịch vụ an ninh mạng của Nga ghi lại đã được phát hiện nhằm vào các tổ chức ở Kyrgyzstan vào cuối tháng 9 năm 2025 bằng các email lừa đảo chứa tài liệu Microsoft Office. Khi mở ra, tài liệu này sẽ hướng dẫn người nhận "Bật nội dung" để chạy macro độc hại.

Trong khi tài liệu hiển thị gói cước của nhà cung cấp dịch vụ viễn thông cho nạn nhân, macro này đã lén lút thả trình tải phần mềm độc hại C++ có tên LuciLoad để cung cấp LuciDoor. Một cuộc tấn công khác được quan sát vào cuối tháng 11 năm 2025 đã áp dụng phương thức hoạt động tương tự, chỉ khác là lần này nó sử dụng một trình tải khác có tên mã là MarsSnakeLoader để triển khai MarsSnake.

Gần đây nhất là vào tháng 1 năm 2026, UnsolicitedBooker được cho là đã lợi dụng các email lừa đảo làm phương tiện để nhắm mục tiêu vào các công ty ở Tajikistan. Mặc dù chuỗi tấn công tổng thể vẫn giữ nguyên, nhưng các tin nhắn được nhúng liên kết đến các tài liệu mồi nhử thay vì đính kèm chúng trực tiếp.

Được viết bằng C++, LuciDoor thiết lập liên lạc với máy chủ ra lệnh và kiểm soát (C2), thu thập thông tin hệ thống cơ bản và lọc dữ liệu đến máy chủ ở định dạng được mã hóa. Sau đó, nó phân tích các phản hồi do máy chủ gửi để chạy các lệnh bằng cmd.exe, ghi tệp vào hệ thống và tải tệp lên.

🔍 Thông tin bổ sung

Tương tự, MarsSnake cho phép kẻ tấn công thu thập siêu dữ liệu hệ thống, thực thi các lệnh tùy ý và đọc hoặc ghi bất kỳ tệp nào trên đĩa.

Positive Technologies cho biết họ cũng tìm thấy dấu hiệu cho thấy MarsSnake được sử dụng trong các cuộc tấn công nhắm vào Trung Quốc. Điểm bắt đầu là một lối tắt Windows giả dạng tài liệu Microsoft Word (*.doc.lnk) kích hoạt việc thực thi một tập lệnh bó để khởi chạy Tập lệnh Visual Basic, sau đó tập lệnh này sẽ khởi chạy MarsSnake mà không cần thành phần trình tải.

Tệp mồi nhử được cho là dựa trên tệp LNK được liên kết với một công cụ kiểm tra thâm nhập có sẵn công khai có tên là FTPlnk_phishing, do thời gian tạo tệp LNK và chỉ báo ID máy giống hệt nhau. Điều đáng chú ý là một tệp LNK tương tự đã được sử dụng trong các cuộc tấn công của nhóm Mustang Panda nhắm vào Thái Lan vào năm 2022.

“Trong các cuộc tấn công của mình, nhóm đã sử dụng các công cụ quý hiếm có nguồn gốc từ Trung Quốc”, Positive Technologies cho biết. "Điều thú vị là ngay từ đầu, nhóm đã sử dụng một cửa hậu mà chúng tôi đặt tên là LuciDoor, nhưng sau đó chuyển sang cửa sau MarsSnake. Tuy nhiên, vào năm 2026, nhóm đã quay đầu và tiếp tục sử dụng LuciDoor."

🔍 Thông tin bổ sung

“Hơn nữa, trong ít nhất một trường hợp, chúng tôi đã quan sát thấy những kẻ tấn công sử dụng bộ định tuyến bị tấn công làm máy chủ C2 và cơ sở hạ tầng của chúng bắt chước cơ sở hạ tầng của Nga trong một số cuộc tấn công.”

PseudoSticky và Cloud Atlas nhắm mục tiêu đến Nga

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.