Storm-2561 phát tán VPN giả mạo qua kỹ thuật đầu độc SEO để đánh cắp tài khoản

Cảnh báo từ Microsoft về chiến dịch tấn công mới

Microsoft vừa công bố thông tin chi tiết về một chiến dịch đánh cắp thông tin xác thực đang diễn ra, sử dụng các ứng dụng mạng riêng ảo (VPN) giả mạo được phân phối thông qua kỹ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO poisoning).

Theo báo cáo từ nhóm Microsoft Threat Intelligence và Microsoft Defender Experts: "Chiến dịch này chuyển hướng người dùng đang tìm kiếm phần mềm doanh nghiệp hợp pháp đến các tệp ZIP độc hại trên các trang web do kẻ tấn công kiểm soát. Mục tiêu là triển khai các trojan được ký số, mạo danh ứng dụng VPN đáng tin cậy để thu thập thông tin đăng nhập VPN của nạn nhân."

Nhà sản xuất Windows cho biết đã quan sát hoạt động này từ giữa tháng 1 năm 2026 và quy trách nhiệm cho Storm-2561, một cụm hoạt động đe dọa được biết đến với việc phát tán phần mềm độc hại thông qua đầu độc SEO và mạo danh các nhà cung cấp phần mềm nổi tiếng kể từ tháng 5 năm 2025.

Thủ đoạn tinh vi lợi dụng lòng tin của người dùng

Các chiến dịch của nhóm tin tặc này lần đầu được ghi nhận bởi công ty an ninh mạng Cyjax. Báo cáo đã chỉ ra việc sử dụng kỹ thuật đầu độc SEO để chuyển hướng người dùng tìm kiếm các phần mềm của những công ty như SonicWall, Hanwha Vision, và Pulse Secure (nay là Ivanti Secure Access) trên công cụ tìm kiếm Bing đến các trang web giả mạo, lừa họ tải về các trình cài đặt MSI có chứa mã độc Bumblebee loader.

Một biến thể tiếp theo của cuộc tấn công này đã được Zscaler tiết lộ vào tháng 10 năm 2025. Chiến dịch này lợi dụng người dùng tìm kiếm phần mềm hợp pháp trên Bing để phát tán một ứng dụng Ivanti Pulse Secure VPN đã bị trojan hóa thông qua các trang web giả mạo (ví dụ: "ivanti-vpn[.]org"), với mục đích cuối cùng là đánh cắp thông tin đăng nhập VPN từ máy tính của nạn nhân.

Microsoft nhận định rằng hoạt động này cho thấy cách các tác nhân đe dọa khai thác lòng tin của người dùng vào thứ hạng tìm kiếm và thương hiệu phần mềm như một chiến thuật tấn công phi kỹ thuật (social engineering) để đánh cắp dữ liệu. Vấn đề càng trở nên phức tạp hơn khi chúng lạm dụng các nền tảng uy tín như GitHub để lưu trữ các tệp cài đặt.

Cụ thể, kho chứa trên GitHub lưu trữ một tệp ZIP chứa trình cài đặt MSI mạo danh phần mềm VPN hợp pháp. Tuy nhiên, trong quá trình cài đặt, nó sẽ âm thầm nạp các tệp DLL độc hại (sideloading). Mục tiêu cuối cùng vẫn là thu thập và trích xuất thông tin đăng nhập VPN bằng một biến thể của phần mềm đánh cắp thông tin có tên là Hyrax.

Cách thức hoạt động và biện pháp phòng ngừa

Để đánh lừa người dùng, một hộp thoại đăng nhập VPN giả mạo nhưng có giao diện rất thuyết phục sẽ được hiển thị. Sau khi nạn nhân nhập thông tin, một thông báo lỗi sẽ xuất hiện và hướng dẫn họ tải về ứng dụng VPN hợp pháp. Trong một số trường hợp, người dùng sẽ được chuyển hướng thẳng đến trang web VPN chính thức.

Phần mềm độc hại này sử dụng khóa registry RunOnce của Windows để thiết lập cơ chế tồn tại dai dẳng, giúp nó tự động thực thi mỗi khi hệ thống khởi động lại.

"Chiến dịch này thể hiện các đặc điểm phù hợp với hoạt động tội phạm mạng có động cơ tài chính của Storm-2561," Microsoft cho biết. "Các thành phần độc hại được ký số bởi 'Taiyuan Lihua Near Information Technology Co., Ltd.'"

Ngay sau khi phát hiện, gã khổng lồ công nghệ đã gỡ bỏ các kho chứa GitHub do kẻ tấn công kiểm soát và thu hồi chứng chỉ số hợp lệ được sử dụng để vô hiệu hóa chiến dịch.

Để đối phó với các mối đe dọa tương tự, các tổ chức và người dùng được khuyến nghị:

• Triển khai xác thực đa yếu tố (MFA) trên tất cả các tài khoản.
• Hết sức thận trọng khi tải phần mềm từ các trang web, đặc biệt là từ kết quả tìm kiếm.
• Luôn đảm bảo rằng trang web và tệp tải về là xác thực và đến từ nguồn chính thức.