Nghi vấn tin tặc Trung Quốc tấn công hơn 100 máy chủ ở Đài Loan, Nhật Bản, Hàn Quốc

Gần đây, các chuyên gia an ninh mạng đã phát hiện một chiến dịch tấn công mạng bắt đầu từ tháng 8/2025, cho thấy một nhóm tin tặc có liên hệ với Đảng Cộng sản Trung Quốc (ĐCSTQ) đã lợi dụng công cụ giám sát máy chủ mã nguồn mở Nezha (Na Tra) cho mục đích độc hại, xâm nhập và điều khiển ít nhất hơn 100 máy chủ phân bố ở Đài Loan, Nhật Bản, Hàn Quốc và Hồng Kông.

Các nhà nghiên cứu cảnh báo kẻ tấn công hành động rất nhanh, một số doanh nghiệp chỉ có vài giờ để phản ứng, tính từ thời điểm hệ thống bị nhiễm cho đến khi phát hiện ra vụ tấn công.

Chiến dịch tấn công bắt nguồn từ lỗ hổng trong một ứng dụng web, cho phép tin tặc cài đặt cổng hậu và sau đó triển khai Nezha

Công ty an ninh mạng Huntress cho biết khi điều tra một vụ xâm nhập website, họ phát hiện chiến dịch tấn công này. Tin tặc lợi dụng một ứng dụng website công khai có lỗ hổng làm cửa ngõ tấn công, trước tiên, chúng chiếm quyền kiểm soát hệ thống bằng cách cài đặt Web Shell (một dạng cổng hậu truy cập qua giao diện web).

Ông Jai Minton, chuyên gia phân tích an ninh tại Huntress, ví Nezha như ‘chiếc điều khiển TV’ để nhấn mạnh khả năng điều khiển từ xa của nó.

Ông giải thích Nezha cho phép bạn điều khiển một máy tính từ xa; chỉ cần kết nối mạng, bạn có thể điều khiển máy đó từ bất cứ nơi nào trên thế giới. Bảng điều khiển Nezha giống như chiếc điều khiển, còn chương trình Nezha agent cài trên máy tính thì giống như chiếc TV.

Theo báo cáo của The Hacker News, điểm khởi đầu của cuộc tấn công là giao diện phpMyAdmin bị phơi bày trên Internet và thiếu cơ chế xác thực. PhpMyAdmin là công cụ đồ họa mã nguồn mở để quản lý cơ sở dữ liệu MySQL và MariaDB. Theo phân tích của Huntress, các máy chủ bị tấn công đều không có cơ chế xác thực, cho phép bất kỳ ai truy cập trực tiếp từ Internet.

Sau khi chiếm được quyền truy cập, kẻ tấn công thực hiện tấn công “đầu độc nhật ký” (Log Poisoning). Họ cấu hình cơ sở dữ liệu lưu nhật ký truy vấn dưới dạng tệp có thể thực thi, rồi gửi truy vấn chứa mã Web Shell.

Vì tệp nhật ký có phần mở rộng .php, kẻ tấn công có thể thực thi Web Shell đó trực tiếp qua yêu cầu web. Toàn bộ quá trình được thực hiện trong thời gian ngắn, cho thấy tin tặc rất thành thạo và quen thuộc với kỹ thuật này.

Sau khi tạo được Web Shell, kẻ tấn công thay đổi địa chỉ IP và sử dụng công cụ quản lý web Shell AntSword để điều khiển máy chủ.

Nezha bị vũ khí hóa, dấu hiệu cho thấy liên quan tới tin tặc Trung Quốc

Nezha vốn là một công cụ giám sát máy chủ nhẹ, mã nguồn mở và quản lý tác vụ dùng cho quản trị hệ thống. Tuy nhiên, sự kiện này cho thấy tin tặc đã biến Nezha thành công cụ để duy trì xâm nhập và triển khai phần mềm độc hại.

Huntress phát hiện ngoài Nezha, kẻ tấn công còn kết hợp các công cụ độc hại khác và phần mềm quản lý cổng hậu web, chẳng hạn Gh0st RAT (mã độc truy cập từ xa “bóng ma”) và AntSword.

Các nhà nghiên cứu suy đoán tin tặc đến từ Trung Quốc Đại Lục. Một phần vì kẻ tấn công đổi ngôn ngữ giao diện quản trị sang tiếng Trung giản thể sau khi xâm nhập. Hơn nữa Gh0st RAT và AntSword từng được sử dụng trong các chiến dịch của tin tặc cấp nhà nước Trung Quốc trước đây.

Ông Minton nói rằng mẫu Gh0st RAT họ quan sát tương tự phiên bản từng được dùng trong các cuộc tấn công có liên quan tới nhóm tin tặc Trung Quốc nhắm vào cộng đồng người Tây Tạng.

Phân tích của Huntress chỉ ra khu vực chịu ảnh hưởng chính của đợt tấn công tập trung ở Đài Loan, Nhật Bản, Hàn Quốc, Hồng Kông, Singapore và Malaysia, trong đó Đài Loan có số nạn nhân nhiều nhất.

Báo cáo cho biết tốc độ xâm nhập của tin tặc rất nhanh, và thiếu các đặc điểm hướng tới trục lợi tài chính rõ rệt; các tổ chức bị ảnh hưởng có quy mô không nhỏ, bao gồm một tập đoàn truyền thông quốc tế và một trường đại học ở Đài Loan. Điều này cho thấy chiến dịch có thể mang động cơ chính trị, thay vì chỉ đơn thuần là tội phạm mạng kiếm tiền.

Tấn công vẫn đang lan rộng, chuyên gia an ninh cảnh báo

Huntress ước tính hiện có hơn 100 tổ chức bị ảnh hưởng và con số vẫn đang tăng. Một số cuộc tấn công đã được phát hiện kịp thời và Nezha agent bị gỡ bỏ, nhưng hiệu suất xâm nhập nhanh của kẻ tấn công vẫn khiến người ta lo ngại.

Công ty cảnh báo rằng mặc dù kẻ tấn công có vài sai sót trong quá trình thực hiện, nhưng họ có khả năng xâm nhập cực nhanh, duy trì quyền truy cập lâu dài, và sử dụng một công cụ hợp pháp nhưng ít được báo cáo — không loại trừ khả năng có liên quan tới một tổ chức hacker cấp nhà nước Trung Quốc có năng lực cao nhưng ít bị lộ diện trong quá khứ.