APT Nga tăng cường phishing: Tài khoản OWA, Google và VPN đang bị săn lùng
Tổng quan
Trong giai đoạn từ tháng 2 đến tháng 9 năm 2025, nhóm nghiên cứu Insikt Group của Recorded Future đã phát hiện nhiều chiến dịch đánh cắp thông tin xác thực (credential harvesting) do BlueDelta thực hiện. BlueDelta là một nhóm APT do nhà nước Nga bảo trợ, có liên hệ trực tiếp với Tổng cục Tình báo Quân đội Nga (GRU). Hoạt động này cho thấy sự mở rộng đáng kể so với các chiến dịch đánh cắp thông tin trước đó của BlueDelta đã được Insikt Group công bố vào tháng 12 năm 2025.
Trong các chiến dịch năm 2025, BlueDelta không tấn công trên diện rộng mà tập trung vào một nhóm nạn nhân nhỏ nhưng có giá trị cao, bao gồm:
Cá nhân liên quan đến cơ quan nghiên cứu năng lượng và hạt nhân của Thổ Nhĩ Kỳ
Nhân sự thuộc một viện nghiên cứu (think tank) tại châu Âu
Các tổ chức tại Bắc Macedonia và Uzbekistan
Việc sử dụng ngôn ngữ tiếng Thổ Nhĩ Kỳ cùng các mồi nhử mang tính khu vực cho thấy BlueDelta đã chủ động tùy biến nội dung để tăng độ tin cậy với từng nhóm mục tiêu cụ thể. Những lựa chọn này phản ánh rõ mối quan tâm lâu dài của tình báo Nga đối với các lĩnh vực nghiên cứu năng lượng, hợp tác quốc phòng và mạng lưới truyền thông chính phủ.
Các trang đánh cắp thông tin của BlueDelta giả mạo nhiều dịch vụ hợp pháp, bao gồm:
Microsoft Outlook Web Access (OWA)
Google
Cổng VPN của Sophos
Những trang này được thiết kế sao chép gần như hoàn hảo giao diện đăng nhập thật và tự động chuyển hướng nạn nhân về các trang hợp pháp sau khi nhập thông tin, nhằm giảm sự nghi ngờ. BlueDelta khai thác mạnh các dịch vụ hạ tầng miễn phí và dễ thay thế như Webhook[.]site, InfinityFree, Byet Internet Services và ngrok để lưu trữ nội dung lừa đảo, thu thập dữ liệu và thực hiện chuyển hướng. Ngoài ra, nhiều chiến dịch còn sử dụng tài liệu PDF hợp pháp làm mồi nhử nhằm tăng độ chân thực và né tránh các hệ thống phát hiện tự động.
Việc lạm dụng liên tục các dịch vụ hạ tầng hợp pháp cho thấy BlueDelta vẫn kiên trì với mô hình chi phí thấp – hiệu quả cao trong thu thập thông tin xác thực, qua đó phục vụ trực tiếp cho các mục tiêu tình báo chiến lược của GRU.
Những phát hiện chính
BlueDelta đã mở rộng đáng kể các chiến dịch đánh cắp thông tin xác thực trong năm 2025, với các chủ đề giả mạo OWA, Google và Sophos VPN.
Nhóm này tận dụng các dịch vụ lưu trữ và đường hầm miễn phí như Webhook[.]site, InfinityFree, Byet Internet Services và ngrok để lưu trữ trang lừa đảo và trích xuất dữ liệu.
Nhiều chiến dịch tích hợp tài liệu PDF hợp pháp (ví dụ: tài liệu của Gulf Research Center và EcoClimate Foundation) nhằm tăng độ tin cậy và vượt qua các bộ lọc email.
BlueDelta sử dụng JavaScript tùy biến để thu thập thông tin đăng nhập, theo dõi hành vi nạn nhân và tự động chuyển hướng, giúp tăng hiệu suất vận hành và giảm thao tác thủ công.
Hành vi nhắm mục tiêu và chuyển hướng cho thấy nhóm tập trung vào các nhà nghiên cứu và tổ chức tại Thổ Nhĩ Kỳ và châu Âu, phù hợp với ưu tiên tình báo của Nga.
Bối cảnh
BlueDelta là một nhóm APT do nhà nước Nga bảo trợ, có liên hệ với GRU, còn được biết đến với các tên gọi như APT28, Fancy Bear hoặc Forest Blizzard. Nhóm này đã tiến hành các chiến dịch gián điệp và đánh cắp thông tin xác thực trong hơn một thập kỷ và được nhiều chính phủ phương Tây quy kết với mức độ tin cậy cao là thuộc GRU.
Từ giữa những năm 2000, BlueDelta đã thực hiện phishing và đánh cắp thông tin nhắm vào:
Cơ quan chính phủ
Nhà thầu quốc phòng
Doanh nghiệp hậu cần
Viện nghiên cứu và tổ chức hoạch định chính sách
Mục tiêu chính là thu thập thông tin xác thực và dữ liệu tình báo phục vụ lợi ích quân sự và chiến lược của Nga. Các hoạt động trước đây chủ yếu giả mạo Microsoft Outlook, UKR.NET và nhiều dịch vụ webmail khác, được lưu trữ trên hạ tầng miễn phí hoặc router bị xâm nhập.
Phân tích kỹ thuật
Tổng quan chiến dịch 2025
Trong khoảng thời gian từ tháng 2 đến tháng 9 năm 2025, Insikt Group đã phân tích hàng loạt chiến dịch đánh cắp thông tin xác thực được quy cho BlueDelta. Các chiến dịch này cho thấy sự tinh chỉnh liên tục trong kỹ thuật spearphishing, bao gồm:
Mồi nhử mới
Chuỗi chuyển hướng nhiều lớp
Cơ chế thu thập thông tin nâng cao
BlueDelta tiếp tục dựa vào hạ tầng miễn phí, dễ loại bỏ nhằm giảm chi phí và che giấu nguồn gốc.
Đánh cắp thông tin OWA (Microsoft Outlook Web Access)
Ngày 6/2/2025, BlueDelta triển khai một trang lừa đảo giả mạo giao diện đăng nhập OWA. Chuỗi tấn công bắt đầu bằng dịch vụ rút gọn link ShortURL hxxps://shorturl[.]at/Be4Xe, sau đó chuyển hướng qua hxxps://webhook[.]site/e8ae3bbd-ab02-46b7-b84c-f5f4baa5d7c7, là một host sử dụng dịch vụ API miễn phí tại Webhook[.]site.
Điểm đáng chú ý là:
Giai đoạn đầu hiển thị PDF hợp pháp của Gulf Research Center trong 2 giây
Sau đó tự động chuyển hướng sang trang đăng nhập OWA giả
JavaScript được dùng để thu thập email nạn nhân, gửi tín hiệu “page opened”, lưu URL hiện tại và thay đổi đường dẫn hiển thị thành
/owa/nhằm tăng độ tin cậy
Khi nạn nhân nhập thông tin đăng nhập, dữ liệu sẽ được gửi về webhook của kẻ tấn công và người dùng bị chuyển hướng ngược lại tài liệu PDF hợp pháp, khiến quá trình lừa đảo khó bị phát hiện.
Đánh cắp thông tin Sophos VPN
Ngày 4/6/2025, BlueDelta triển khai trang giả mạo Sophos VPN password reset, được lưu trữ trên hạ tầng InfinityFree. Mỗi nạn nhân được gán một ID hex 32 byte trong URL để theo dõi.
Sau khi nhập thông tin, dữ liệu được gửi về máy chủ của kẻ tấn công và nạn nhân bị chuyển hướng đến cổng Sophos VPN hợp pháp của một think tank tại EU, cho thấy rõ mục tiêu tấn công cụ thể.
OWA – Mật khẩu hết hạn
Tháng 9/2025, BlueDelta tiếp tục dùng InfinityFree để triển khai hai trang giả mạo OWA thông báo mật khẩu hết hạn. Hành vi, JavaScript và cơ chế chuyển hướng gần như giống hệt chiến dịch Sophos VPN, chỉ thay đổi điểm thu thập dữ liệu. Trong chiến dịch này, BlueDelta sử dụng các doamin hxxps://account-settings-shsvchx[.]wuaze[.]com/uzdfbdhyzxjc và hxxps://account-settings-shsvchx[.]wuaze[.]com/sidsixcnvxcucx để host các website giả mạo.
Google Password Reset
Ngày 15/4/2025, Insikt Group phát hiện trang giả mạo Google password reset bằng tiếng Bồ Đào Nha, được lưu trữ trên:
Byet Internet Services
InfinityFree
Dữ liệu bị đánh cắp được chuyển qua ngrok, một dịch vụ proxy hợp pháp. Mặc dù trước đây BlueDelta chưa từng dùng chủ đề Google, nhưng các đặc điểm hạ tầng và kỹ thuật cho thấy khả năng cao chiến dịch này cũng thuộc BlueDelta.
Biện pháp giảm thiểu
Phía FPT Threat Intelligence đưa ra các khuyến nghị sau:
Chặn hạ tầng liên quan đến BlueDelta bằng Risk Lists của Recorded Future
Thiết lập cảnh báo với các domain/IP mới liên quan đến Webhook[.]site, InfinityFree, Byet, ngrok và ShortURL
Theo dõi rò rỉ hoặc tái sử dụng thông tin đăng nhập bằng Identity Intelligence
Áp dụng MFA chống phishing (hardware token, app-based)
Chặn hoặc hạn chế dịch vụ hosting/đường hầm miễn phí không cần thiết
Giám sát log email và web để phát hiện link PDF, reset mật khẩu, đăng nhập bất thường
Theo dõi truy cập từ proxy hoặc cổng không tiêu chuẩn (đặc biệt liên quan đến ngrok)
Đào tạo nhận thức phishing định kỳ
Có quy trình ứng phó sự cố khi lộ thông tin xác thực
Rà soát các dịch vụ bên thứ ba và hạ tầng bên ngoài định kỳ
Nhận định xu hướng
Dựa trên các bằng chứng hiện có, BlueDelta nhiều khả năng sẽ tiếp tục các chiến dịch đánh cắp thông tin trong năm 2026, tập trung vào các tổ chức chính phủ, viện nghiên cứu và lĩnh vực chính sách tại những khu vực có giá trị chiến lược với Nga.
Việc liên tục thay đổi chủ đề, ngôn ngữ và lạm dụng tài liệu hợp pháp cho thấy BlueDelta ưu tiên tính kín đáo và khai thác lòng tin người dùng, thay vì tấn công ồ ạt.
IOC
- Domains:
account-security-googie[.]my-board[.]org
account-security-googie[.]rf[.]gd
account-settings-shsvchx[.]wuaze[.]com
config-settings[.]kesug[.]com
enmrgkf41bifd[.]x[.]pipedream[.]net
- IP Addresses:
172[.]111[.]206[.]103
185[.]27[.]134[.]125
- URLs:
hxxps://account-settings-shsvchx[.]wuaze[.]com/uzdfbdhyzxjc
hxxps://account-settings-shsvchx[.]wuaze[.]com/uzdfbdhyzxjc/ald.php
hxxps://account-settings-shsvchx[.]wuaze[.]com/sidsixcnvxcucxv
hxxps://account-settings-shsvchx[.]wuaze[.]com/sidsixcnvxcucxv/ald.php
hxxps://config-settings[.]kesug[.]com/sogfdshxncvsad
hxxps://config-settings[.]kesug[.]com/sogfdshxncvsad/npp[.]php
hxxps://d3ef-2804-37f8-400-2cbf-4996-e46a-4802-5c08[.]ngrok-free[.]app
hxxps://shorturl[.]at/Be4Xe hxxps://webhook[.]site/3791f8c0-1308-4c5b-9c82-0dc416aeb9c4
hxxps://webhook[.]site/e8ae3bbd-ab02-46b7-b84c-f5f4baa5d7c7
hxxps://webhook[.]site/ff237e88-cbaf-4b0b-b787-6e2f1f2c926f
