Love AI
New member
RomCom khởi nguồn như một trojan truy cập từ xa (RAT) bình thường nhưng đã tiến hóa thành một khuôn khổ mã độc modul, được cả nhóm tội phạm lẫn thực thể nhà nước sử dụng cho gián điệp và tống tiền. Câu chuyện của RomCom cho thấy ranh giới giữa tội phạm mạng và hoạt động tình báo đang ngày càng mập mờ.
RomCom xuất hiện lần đầu năm 2022 dưới dạng cửa hậu được phát tán qua bản giả của các ứng dụng phổ biến — mồi lừa classsic của kỹ thuật xã hội. Ban đầu nó chỉ chụp màn hình, thu thập thông tin hệ thống cơ bản và cho phép điều khiển từ xa, như nhiều RAT khác.
Các phân tích của AttackIQ chỉ ra sự chồng chéo giữa hạ tầng của RomCom và các chiến dịch ransomware, gợi ý về cùng một tác nhân (hoặc chia sẻ bộ công cụ) hoạt động trên cả mảng gián điệp lẫn vì động cơ tài chính. Sự chuyển hướng từ mục tiêu lợi nhuận sang mục tiêu chính trị là bước ngoặt tạo nên cuộc “tiến hóa” của RomCom.
Nhờ tính mô-đun, RomCom không còn là một chương trình độc lập đơn lẻ mà như một framework có thể tuỳ biến cho nhiều mục đích: gián điệp, tải ransomware, hoặc tấn công phá hoại — tuỳ vào ai sử dụng nó.
Hậu quả là một chiến dịch có thể đánh cắp dữ liệu nhạy cảm của một bộ ngành phục vụ mục tiêu tình báo, trong khi chiến dịch khác dùng cùng bộ công cụ để mã hoá hệ thống doanh nghiệp nhằm tống tiền. Mã độc “đa dụng” này phá vỡ cách phân loại truyền thống giữa tội phạm và nhà nước, buộc các bên phòng vệ phải chuẩn bị cho mối đe doạ vừa hoạt động như điệp viên hôm nay vừa tống tiền ngày mai.
Sự minh bạch và hợp tác liên ngành đã biến những quan sát rời rạc thành thông tin khả dụng cho hành động. Nếu thiếu các bộ dữ liệu chia sẻ đó, RomCom có thể vẫn được xem là các chiến dịch rời rạc thay vì một chiến dịch phối hợp có phạm vi rộng, kết hợp gián điệp và ransomware.
RomCom xuất hiện lần đầu năm 2022 dưới dạng cửa hậu được phát tán qua bản giả của các ứng dụng phổ biến — mồi lừa classsic của kỹ thuật xã hội. Ban đầu nó chỉ chụp màn hình, thu thập thông tin hệ thống cơ bản và cho phép điều khiển từ xa, như nhiều RAT khác.
Chiến dịch ban đầu và mục tiêu địa chính trị
Ngay khi nhận diện, các nhà nghiên cứu phát hiện RomCom thường xuất hiện trong các chiến dịch nhắm vào Ukraine và các nước đồng minh NATO, tấn công cơ quan chính phủ, tổ chức nhân đạo và đơn vị liên quan đến quốc phòng. Từ một RAT “hàng hoá”, nó nhanh chóng lộ diện là phần của một chiến dịch tình báo có hàm ý chính trị rõ ràng.Các phân tích của AttackIQ chỉ ra sự chồng chéo giữa hạ tầng của RomCom và các chiến dịch ransomware, gợi ý về cùng một tác nhân (hoặc chia sẻ bộ công cụ) hoạt động trên cả mảng gián điệp lẫn vì động cơ tài chính. Sự chuyển hướng từ mục tiêu lợi nhuận sang mục tiêu chính trị là bước ngoặt tạo nên cuộc “tiến hóa” của RomCom.
Tiến hóa kỹ thuật và tính module
Qua vài năm, RomCom được viết lại nhiều lần và đã trải qua ít nhất năm thế hệ khác nhau, mỗi thế hệ tăng thêm mức độ tinh vi, ẩn mình và tính mô-đun.- Phiên bản đầu (1.0–2.0): tập trung trinh sát và duy trì trên hệ thống, lợi dụng kĩ thuật chiếm dụng Windows COM để ẩn mình.
- Phiên bản giữa (3.0–4.0): chuyển sang kiến trúc mô-đun hoàn chỉnh, cho phép kết hợp các thành phần nhằm gián điệp, đánh cắp thông tin đăng nhập hoặc di chuyển ngang mạng.
- Phiên bản mới nhất (5.0): phát triển đa ngôn ngữ (C++, Go, Rust, Lua), thực thi trong bộ nhớ, dùng kênh mã hoá và payload lưu trong registry để né tránh phát hiện tĩnh và hỗ trợ đa nền tảng.
Nhờ tính mô-đun, RomCom không còn là một chương trình độc lập đơn lẻ mà như một framework có thể tuỳ biến cho nhiều mục đích: gián điệp, tải ransomware, hoặc tấn công phá hoại — tuỳ vào ai sử dụng nó.
Sự hội tụ giữa tội phạm mạng và nhà nước
Bằng chứng cho thấy các nhóm phát triển hoặc sử dụng RomCom (được các đội nghiên cứu đặt tên như Storm-0978, UAT-5647, Void Rabisu) có liên kết với các họ ransomware như Cuba, Industrial Spy và Underground. Sự trùng lặp về mã nguồn, tái sử dụng hạ tầng và chuỗi tấn công cho thấy một hoạt động lai, nơi cùng một công nghệ lõi phục vụ cả việc đánh cắp dữ liệu lẫn gián điệp mạng.Hậu quả là một chiến dịch có thể đánh cắp dữ liệu nhạy cảm của một bộ ngành phục vụ mục tiêu tình báo, trong khi chiến dịch khác dùng cùng bộ công cụ để mã hoá hệ thống doanh nghiệp nhằm tống tiền. Mã độc “đa dụng” này phá vỡ cách phân loại truyền thống giữa tội phạm và nhà nước, buộc các bên phòng vệ phải chuẩn bị cho mối đe doạ vừa hoạt động như điệp viên hôm nay vừa tống tiền ngày mai.
Vai trò của chia sẻ thông tin cộng đồng
Khả năng truy vết tiến hóa của RomCom không đến từ một công ty hay chính phủ đơn lẻ mà là kết quả nỗ lực chung của cộng đồng tình báo mối đe dọa toàn cầu. Các nhà nghiên cứu độc lập, cơ quan công và phòng thí nghiệm tư nhân đã chia sẻ mẫu mã, chỉ số hành vi và dữ liệu sự cố, từ đó ghép nối các mảnh rời rạc thành bức tranh hoạt động liên tục nhiều năm.Sự minh bạch và hợp tác liên ngành đã biến những quan sát rời rạc thành thông tin khả dụng cho hành động. Nếu thiếu các bộ dữ liệu chia sẻ đó, RomCom có thể vẫn được xem là các chiến dịch rời rạc thay vì một chiến dịch phối hợp có phạm vi rộng, kết hợp gián điệp và ransomware.
Kết luận
RomCom là ví dụ rõ ràng cho xu hướng “dual-use” trong mối đe dọa mạng hiện nay: mã độc có thể vừa là công cụ tình báo vừa là phương tiện kiếm lời. Đối phó với những mối nguy như vậy đòi hỏi không chỉ công nghệ phát hiện mà còn cần sự chia sẻ thông tin, phối hợp quốc tế và nhận thức rằng ranh giới giữa tội phạm mạng và hoạt động nhà nước ngày càng mờ.Bài viết liên quan
