ToddyCat và Umbrij: Khi OAuth trở thành mục tiêu mới của các chiến dịch APT

Tổng Quan
Chiến dịch mới đây được ghi nhận của nhóm APT ToddyCat nhắm thẳng vào các doanh nghiệp sử dụng dịch vụ email Google Workspace (Gmail). Bằng việc sử dụng công cụ chuyên biệt mang tên Umbrij, kẻ tấn công không tìm cách bẻ khóa mật khẩu hay bypass MFA theo cách truyền thống. Thay vào đó, chúng chiếm quyền kiểm soát các phiên đăng nhập Chromium đang hoạt động trên máy trạm thông qua giao thức debug của trình duyệt, từ đó tự cấp quyền OAuth cho ứng dụng di trú của Google Workspace.
Rủi ro lớn nhất của hình thức này là sự tồn tại bền vững (persistence) ở mức độ API: sau khi có được token OAuth, kẻ tấn công có thể liên tục đọc email, tải tệp tin trên Drive và thu thập lịch trình của nạn nhân ngay cả khi họ thay đổi mật khẩu hoặc bật MFA. Các giải pháp giám sát Endpoint (EDR) và Antivirus truyền thống thường bỏ sót hành vi này do tiến trình yêu cầu token là các trình duyệt Chromium hợp pháp (Chrome, Microsoft Edge) chạy dưới quyền của chính người dùng.
Đôi Nét Về APT ToddyCat
APT ToddyCat Là Ai?
ToddyCat không phải một cái tên mới trong thế giới tình báo mối đe dọa. Kể từ khi được Kaspersky GReAT lần đầu công bố vào giữa năm 2022, nhóm này liên tục gây sức ép lên các cơ quan chính phủ và tổ chức quân sự tại châu Á và Đông Âu thông qua các chiến dịch gián điệp dài hạn, có quy mô công nghiệp. Điểm đặc biệt khiến ToddyCat trở thành một đối thủ đáng ngại không nằm ở độ tinh vi kỹ thuật đơn thuần, mà ở khả năng liên tục thay đổi chiến thuật để thích nghi với sự dịch chuyển công nghệ của các mục tiêu — từ máy chủ Exchange vật lý đến nay là hệ sinh thái SaaS của Google.
Định Danh Và Attribution
| Thuộc tính | Chi tiết |
|---|---|
| Tên nhóm | ToddyCat |
| MITRE ID | G1022 |
| Biệt danh khác | [NEEDS VERIFICATION: alias từ các vendor khác ngoài Kaspersky] |
| Hoạt động từ | Ít nhất tháng 12/2020 (phát hiện lần đầu trên máy chủ Exchange tại Đài Loan và Việt Nam) |
| Độ tinh vi | Cao — phát triển công cụ tùy biến, ít phụ thuộc vào malware thương mại |
| Nghi ngờ có liên kết | Phù hợp với lợi ích địa chính trị của nhà nước Trung Quốc (theo nhiều nguồn phân tích, [SINGLE SOURCE - cần cross-verify]) |
| Động cơ chính | Gián điệp mạng (Cyber-espionage), thu thập thông tin tình báo chiến lược |
Phạm Vi Mục Tiêu
ToddyCat ưu tiên các tổ chức có giá trị tình báo cao, đặc biệt trong các ngành:
Chính phủ và Ngoại giao — bộ, ban, ngành cấp bộ; đại sứ quán và phái đoàn ngoại giao
Quốc phòng và Quân sự — bộ tư lệnh, nhà thầu quốc phòng, cơ quan nghiên cứu vũ khí
Viễn thông — nhà mạng di động, nhà cung cấp hạ tầng cáp quang quốc tế
Tài chính và Năng lượng — ở mức độ thấp hơn, chủ yếu ở giai đoạn 2023 trở đi
Về địa lý, các quốc gia bị tấn công xác nhận hoặc có độ tin cậy cao bao gồm: Việt Nam, Đài Loan, Kazakhstan, Uzbekistan, Kyrgyzstan, Ấn Độ, Indonesia, Iran, cùng một số quốc gia Đông Âu. Việt Nam xuất hiện ngay từ giai đoạn sơ khởi của nhóm, cho thấy đây là một trong những trọng tâm địa lý ưu tiên của ToddyCat.
Lịch Sử Hoạt Động
Giai đoạn 1 (12/2020 – 2/2021) — Thăm dò Có Chọn lọc
ToddyCat bắt đầu hoạt động bằng cách xâm nhập một số ít máy chủ Microsoft Exchange tại Đài Loan và Việt Nam thông qua một lỗ hổng chưa được xác định. Ở giai đoạn này, nhóm hoạt động rất cẩn thận và có chọn lọc, tránh để lại dấu vết rộng.
Giai đoạn 2 (2/2021 – 9/2021) — Khai thác ProxyLogon và Mở rộng Quy mô
Khi Microsoft công bố chuỗi lỗ hổng ProxyLogon vào tháng 3/2021, ToddyCat nhanh chóng leo thang hoạt động và khai thác các lỗ hổng này để xâm nhập hàng loạt tổ chức trên khắp châu Á và châu Âu. Đây là lần đầu tiên nhóm bộc lộ quy mô thực sự và khả năng tác chiến song song trên nhiều nạn nhân cùng lúc. Công cụ chính giai đoạn này là China Chopper webshell và Samurai Backdoor — một passive backdoor được thiết kế để nhận lệnh qua các giao thức HTTP/HTTPS hợp pháp.
Giai đoạn 3 (9/2021 – 2022) — Triển khai Ninja Trojan và Lateral Movement
Từ tháng 9/2021, nhóm bắt đầu triển khai Ninja Trojan — một công cụ post-exploitation phức tạp hơn, hỗ trợ đa kênh C2, chạy được trong bộ nhớ (in-memory), có khả năng proxy traffic qua nhiều lớp trung gian để che giấu cơ sở hạ tầng thực sự. Ninja Trojan thường được phân phối thông qua các file ZIP gửi qua Telegram, lạm dụng kênh nhắn tin hợp pháp để tránh bị chặn bởi firewall doanh nghiệp.
Giai đoạn 4 (2023 – 2025) — Đánh cắp Dữ liệu "Công nghiệp hóa" và Leo thang Kỹ thuật
Giai đoạn này đánh dấu sự chuyển dịch chiến lược lớn: thay vì dừng lại ở việc duy trì hiện diện trong mạng nội bộ, ToddyCat tập trung mạnh vào việc thu thập và exfiltrate khối lượng dữ liệu khổng lồ từ hệ thống email doanh nghiệp.
Giai đoạn 5 (2026 – Hiện tại) — Umbrij và Tấn công Cloud API
Sự xuất hiện của Umbrij là bước tiếp theo trong lộ trình leo thang kỹ thuật của ToddyCat. Thay vì tấn công vào email server vật lý hoặc đọc trực tiếp file email từ ổ đĩa, nhóm chuyển sang lạm dụng giao diện API chính thức của các dịch vụ đám mây — một kỹ thuật khó phát hiện hơn nhiều vì toàn bộ lưu lượng kết nối đều đi qua các endpoint HTTPS hợp pháp của Google.
Công Cụ Và Kĩ Thuật
| Công cụ | Chức năng | Kỹ thuật Đặc trưng |
|---|---|---|
| TCSectorCopy | Đọc dữ liệu OST/PST của Outlook ngay cả khi file đang bị lock | Sector-by-sector disk read, bypassing file locks |
| TomBerBil | Thu thập cookie và credentials từ trình duyệt trên nhiều máy trạm | Chạy từ Domain Controller, SMB lateral collection |
| XstReader | Đọc dữ liệu email dạng .xst trực tiếp từ ổ đĩa | File carving, raw disk access |
| TCESB | Khai thác CVE-2024-11859 trong ESET Command Line Scanner | BYOVD (Bring Your Own Vulnerable Driver) |
| SharpTokenFinder / ProcDump | Trích xuất OAuth token từ bộ nhớ của các tiến trình M365 | Process memory dump, token harvesting |
Phân Tích Kĩ Thuật
Chuỗi Xâm nhập và Kỹ thuật DLL Side-loading
ToddyCat thiết lập sự hiện diện trên máy trạm thông qua một chuỗi các tệp tin được phân phối bằng spear-phishing hoặc khai thác lỗ hổng trước đó. Kẻ tấn công tạo một Scheduled Task trên hệ điều hành Windows giả mạo giải pháp bảo mật với tên gọi KasperskyEndpointSecurityEDRAvp.
Scheduled Task này sẽ thực thi một tiến trình hợp pháp có chữ ký số (digitally signed) nhưng dễ bị tổn thương bởi cơ chế DLL Side-loading. Đội ngũ phân tích ghi nhận 3 tệp thực thi hợp pháp bị lạm dụng trong chiến dịch này bao gồm:
BDSubWiz.exe(Thành phần Submission Wizard thuộc Bitdefender ConnectAgent)
VSTestVideoRecorder.exe(Công cụ ghi video thử nghiệm của Microsoft Visual Studio)GoogleDesktop.exe(Ứng dụng Google Desktop Search cũ đã ngừng phát triển)
Khi một trong các tệp này được chạy, nó sẽ tự động tải thư viện liên kết động (DLL) giả mạo được đặt cùng thư mục. DLL độc hại này chính là loader của Umbrij - một công cụ được viết trên nền tảng .NET và được mã hóa/obfuscate kỹ lưỡng bằng ConfuserEx để cản trở quá trình dịch ngược và phân tích tĩnh của các giải pháp diệt virus.
Phân tích Kỹ thuật Chi tiết
Khi được kích hoạt, Umbrij thực hiện một quy trình kiểm soát tinh vi trên máy nạn nhân nhằm cướp quyền truy cập trình duyệt:
Bước 1: Đánh cắp Token Tiến trình và Thu thập Profile Trình duyệt
- Duplicate Process Token: Để hoạt động mà không gây nghi ngờ và kế thừa đầy đủ quyền của nạn nhân, Umbrij tìm kiếm tiến trình
explorer.execủa người dùng hiện tại đang đăng nhập. Nó thực hiện nhân bản token bảo mật của tiến trình này. Ngoài ra, mã độc hỗ trợ tham số dòng lệnh-user <username>để chỉ định rõ danh tính mục tiêu cần mạo danh.
- Quét thông tin Profile: Mã độc truy cập tệp
Local Statetrong thư mục dữ liệu ứng dụng của Google Chrome hoặc Microsoft Edge để liệt kê toàn bộ các profile người dùng. Nó tìm kiếm các profile có trườnguser_namechứa định dạng địa chỉ email (dấu hiệu cho thấy người dùng đã đăng nhập tài khoản Google).
- Backup Dữ liệu Trình duyệt: Để tránh việc khóa tệp khi trình duyệt của người dùng đang mở, Umbrij tạo một thư mục tạm thời mang tên
BackupFilestại đường dẫn%LOCALAPPDATA%\Google\Chrome\hoặc%LOCALAPPDATA%\Microsoft\Edge\. Sau đó, nó sao chép toàn bộ các thư mục và tệp nhạy cảm liên quan đến session của profile mục tiêu bao gồm:IndexedDB,Local Storage,Network,Login Data,Login Data For Account,Preferences,Secure Preferences, vàWeb Data. Nếu có tệp nào bị khóa, mã độc sẽ kích hoạt tiến trình force-copy để cưỡng chế sao chép.
Bước 2: Khởi chạy Headless Chromium và Điều khiển bằng Puppeteer
Khởi chạy Trình duyệt Không Giao diện (Headless): Umbrij tìm đường dẫn cài đặt của Chrome hoặc Edge trong thư mục
Program Filesvà khởi chạy tiến trình này ở chế độ không giao diện (headless mode) bằng cách sử dụng dữ liệu từ thư mụcBackupFilesđã sao chép. Dòng lệnh chạy trình duyệt bao gồm các tham số chỉ định cổng gỡ lỗi từ xa (--remote-debugging-port=<port>).Bỏ qua Xác thực 2FA/MFA: Do chạy bằng bản sao profile chứa đầy đủ session cookie của người dùng đang hoạt động, phiên trình duyệt ẩn này tự động thừa hưởng trạng thái đăng nhập hợp lệ của tài khoản Google/Gmail mà không cần kích hoạt lại các bước xác thực như mật khẩu hay mã OTP gửi về điện thoại.
Điều khiển qua Chrome DevTools Protocol: Umbrij tích hợp sẵn thư viện Puppeteer (hoặc một thư viện tương đương kiểm soát Chrome DevTools Protocol) để kết nối trực tiếp vào cổng gỡ lỗi của phiên headless đang chạy. Từ đây, mã độc có toàn quyền gửi lệnh thực thi mã JavaScript và tương tác với trang web giống như một người dùng đang thao tác chuột và bàn phím.
Lạm Dụng Google Workspace API Và Exfiltration
Sau khi đã kiểm soát được phiên trình duyệt, Umbrij tiến hành các bước lạm dụng API của Google để thiết lập quyền truy cập vĩnh viễn:
Lạm dụng Client ID của Ứng dụng Di trú Tin cậy: Kẻ tấn công không đăng ký một ứng dụng bên thứ ba mới (điều dễ bị Google Security phát hiện và cảnh báo). Thay vào đó, chúng lạm dụng các Client ID hợp pháp của chính Google dành cho các công cụ chuyển đổi dữ liệu, cụ thể là:
Google Workspace Migration for Microsoft Outlook (GWMME)
Google Workspace Sync for Microsoft Outlook (GWSMO)
Gửi Yêu cầu Xác thực OAuth: Thông qua Puppeteer, mã độc điều khiển trình duyệt điều hướng tới URL xác thực OAuth của Google:
https://accounts.google.com/o/oauth2/v2/auth/identifier...Trong tham số của URL này, mã độc truyền vào Client ID của công cụ di trú Outlook nêu trên, đi kèm các yêu cầu cấp quyền (scopes) cực kỳ rộng:Toàn quyền đọc, gửi và quản lý email (
https://mail.google.com/)Quyền truy cập tệp tin trên Google Drive
Quyền đọc và ghi danh bạ (Contacts), lịch trình (Calendar) và tác vụ (Tasks).
Giả lập Hành vi Chấp thuận (Consent Approval): Khi trang chấp thuận quyền OAuth hiển thị, Umbrij inject các đoạn mã JavaScript để tự động click chọn tài khoản Google của nạn nhân, sau đó click nút "Allow" (Cho phép) để xác nhận cấp quyền cho ứng dụng di trú.
Trích xuất Authorization Code: Sau khi nhấn đồng ý, Google sẽ chuyển hướng (redirect) phiên trình duyệt về một địa chỉ local loopback cùng với mã xác thực Authorization Code đính kèm trên URL. Umbrij bắt lấy yêu cầu chuyển hướng này, trích xuất chuỗi Authorization Code và ghi trực tiếp vào tệp nhật ký (log) của mã độc trên máy nạn nhân.
Thu hồi Token: Tệp log chứa Authorization Code sau đó được nhóm ToddyCat thu thập (exfiltrate) ra bên ngoài thông qua các kênh C2 khác. Tại máy chủ của kẻ tấn công, chuỗi mã này được gửi đến máy chủ của Google để đổi lấy OAuth Access Token và Refresh Token. Từ thời điểm này trở đi, kẻ tấn công có thể kết nối trực tiếp tới Google Workspace API từ bất kỳ đâu để tải toàn bộ hòm thư và dữ liệu của nạn nhân mà không cần tương tác thêm với máy trạm.
Tóm Tắt Rủi Ro Chiến Dịch
Chiến dịch Umbrij của ToddyCat không phải một cuộc tấn công tầm thường. Mức độ rủi ro của nó cần được đánh giá qua nhiều chiều: không chỉ dừng lại ở khả năng kỹ thuật của mã độc, mà còn ở những khoảng mù trong phòng thủ mà kỹ thuật này khai thác và hậu quả kinh doanh kéo dài ngay cả sau khi phát hiện ra xâm phạm.
| Chiều Rủi ro | Mức độ | Lý do |
|---|---|---|
| Khả năng Phát hiện (Detectability) | Thấp | Sử dụng tiến trình trình duyệt hợp pháp (chrome.exe/msedge.exe); lưu lượng C2 là HTTPS tới domain của Google |
| Tác động Dữ liệu (Data Impact) | Nghiêm trọng | Toàn quyền đọc Gmail, Drive, Calendar, Contacts — toàn bộ dữ liệu kinh doanh của người dùng bị lộ |
| Độ Bền của Xâm phạm (Persistence) | Rất cao | Refresh Token tồn tại độc lập với mật khẩu và MFA; thay đổi mật khẩu không thu hồi được quyền truy cập |
| Phạm vi Ảnh hưởng (Blast Radius) | Cao | Mỗi máy trạm bị xâm phạm có thể bị khai thác cho nhiều tài khoản Gmail khác nhau trong cùng profile trình duyệt |
| Ngưỡng Kỹ thuật Tấn công (Attacker Skill) | Cao | Đòi hỏi khả năng phát triển công cụ .NET tùy biến, hiểu sâu về Chrome DevTools Protocol và luồng OAuth |
| Khả năng Scale (Scalability) | Cao | Automation hoàn toàn — một lần triển khai Umbrij có thể xử lý nhiều profile và tài khoản song song |
IOC & Artifacts
Host-based Indicators
Scheduled Task đáng ngờ:
Tên Task:
KasperskyEndpointSecurityEDRAvpĐường dẫn thực thi: Chỉ đến các thư mục chứa tệp binary hợp pháp bị lạm dụng (
BDSubWiz.exe,VSTestVideoRecorder.exe,GoogleDesktop.exe) nằm cùng với tệp tin DLL độc hại không có chữ ký số.
Đường dẫn thư mục sao lưu profile:
%LOCALAPPDATA%\Google\Chrome\BackupFiles\%LOCALAPPDATA%\Microsoft\Edge\BackupFiles\
Đầu ra file log của Umbrij:
- Kiểm tra các file log dạng văn bản được sinh ra trong các thư mục ứng dụng tạm thời của user chứa lịch trình hoạt động và chuỗi mã OAuth thu thập được.
Network Indicators
Hành vi tiến trình:
Tiến trình
chrome.exehoặcmsedge.exechạy ngầm (headless) có chứa tham số dòng lệnh gỡ lỗi:--remote-debugging-port=Tiến trình trình duyệt được khởi chạy từ quyền hạn nhân bản của
explorer.exenhưng không có giao diện người dùng hiển thị trên desktop.
Malicious files
1AB58838E5790EFB22F2D35AB98C0B7D
A7D7D6C4C3F227F7117261C63B9E23A9
3D3A621F852C42D97FD7260681E42508
3432DD9AC0DF80EF86EB80BD080F839B
22AAEB4946BA6D2F2E27FEB7DBB295DE
F61FBFB7AA1CD5DC8F70B055B51563E2
F169D6D172DFB775895A5E2B1540C854
9F5F2F0FB0A7F5AA9F16B9A7B6DAD89F
28CB7B261F4EB97E8A4B3B0D32F8DEF1
BAE82A15D1DBFB024617B9B56A8E5F66
MITRE ATT&CK Mapping
| Tactic | Technique ID | Technique Name | Mô tả trong Chiến dịch |
|---|---|---|---|
| Persistence / Privilege Escalation | T1053.005 | Scheduled Task/Job: Scheduled Task | Sử dụng Scheduled Task KasperskyEndpointSecurityEDRAvp để duy trì sự hiện diện và tự động chạy mã độc. |
| Defense Evasion | T1574.002 | Hijack Execution Flow: DLL Side-Loading | Sử dụng các tệp tin hợp pháp của Bitdefender, Visual Studio, Google Desktop để sideload DLL độc hại của Umbrij. |
| Defense Evasion | T1134 | Access Token Manipulation | Nhân bản token bảo mật từ tiến trình explorer.exe để mạo danh người dùng hợp pháp. |
| Credential Access | T1539 | Steal Web Session Cookie | Sao chép các tệp tin lưu trữ cookie và session của Chrome/Edge vào thư mục BackupFiles. |
| Credential Access / Defense Evasion | T1556.007 | Modify Authentication Process: Hybrid Identity | Lạm dụng luồng xác thực OAuth 2.0 để đăng ký ứng dụng bên thứ ba (Shadow Token) giả mạo. |
| Collection | T1114.002 | Email Collection: Office 365/Google Workspace Mailbox | Thu thập email trực tiếp từ API của Google Workspace thông qua access token đã chiếm đoạt. |
Nhận Định Chuyên Gia
Kỹ thuật Shadow Token via Remote Debug (STRD) do nhóm ToddyCat áp dụng trong chiến dịch này phản ánh một xu hướng nguy hiểm trong thế giới an ninh mạng: Sự bất lực của cơ chế MFA truyền thống trước các cuộc tấn công cấp độ API.
Kẻ tấn công hiểu rằng các doanh nghiệp hiện nay hầu hết đã triển khai MFA trên email. Do đó, thay vì cố gắng vượt qua lớp bảo vệ này từ bên ngoài, chúng chuyển hướng tấn công vào bên trong hệ thống—nơi phiên đăng nhập đã được người dùng xác thực thành công. Bằng cách sử dụng giao thức debug có sẵn trên các trình duyệt Chromium (một tính năng thiết kế cho lập trình viên), kẻ tấn công biến chính trình duyệt hợp pháp trên máy nạn nhân thành công cụ thực hiện yêu cầu cấp quyền.
Việc lạm dụng Client ID của các công cụ di trú chính chủ của Google (GWMME/GWSMO) là một nước đi rất khôn ngoan. Các công cụ này vốn có quyền hạn mặc định rất lớn để đồng bộ hóa dữ liệu. Do đó, việc chúng yêu cầu toàn quyền đọc Gmail hay Drive sẽ không khiến hệ thống giám sát của Google gắn cờ cảnh báo như đối với các ứng dụng lạ từ các nhà phát triển chưa được xác minh.
Đối với các tổ chức tại Việt Nam, đặc biệt là các doanh nghiệp đang dịch chuyển mạnh mẽ hạ tầng công nghệ thông tin lên Google Workspace, đây là một lời cảnh tỉnh lớn. An toàn thông tin không còn dừng lại ở việc áp dụng chính sách mật khẩu mạnh hay bắt buộc bật OTP. Nếu máy trạm của nhân viên bị thỏa hiệp ở mức độ cho phép thực thi mã độc cục bộ (sideloading), toàn bộ dữ liệu đám mây của doanh nghiệp đó cũng sẽ bị phơi nhiễm thông qua các kết nối API hợp pháp mà hệ thống phòng thủ vòng ngoài không thể ngăn chặn.
Khuyến Nghị
Khẩn cấp (0-24h)
Rà soát quyền ứng dụng liên kết (OAuth Grants): Yêu cầu toàn bộ người dùng hoặc quản trị viên Google Workspace quét và thu hồi quyền của các ứng dụng sau nếu không có nhu cầu sử dụng thực tế:
Google Workspace Migration for Microsoft Outlook
Google Workspace Sync for Microsoft Outlook
Đường dẫn kiểm tra nhanh dành cho người dùng cá nhân: myaccount.google.com/connections
Kiểm tra Scheduled Task bất thường: Sử dụng PowerShell hoặc công cụ giám sát hệ thống quét và phát hiện các Scheduled Task có tên chứa cụm từ
KasperskyEndpointSecuritynhưng trỏ tới các thư mục không phải của Kaspersky (ví dụ: thư mục Temp, Local AppData của user).
Ngắn hạn (1-7 ngày)
Xây dựng luật phát hiện trên EDR/SIEM:
Cảnh báo khi có tiến trình trình duyệt (
chrome.exe,msedge.exe) khởi chạy với tham số--remote-debugging-portkết hợp với tham số--headlesshoặc trỏ dữ liệu người dùng (--user-data-dir) vào các đường dẫn tạm thời nhưBackupFiles.Giám sát hành vi sao chép hàng loạt tệp tin cấu hình nhạy cảm của trình duyệt từ thư mục
User Datasang các thư mục con khác.
Cấu hình chính sách API trên Google Workspace Console: Chỉ cho phép các ứng dụng OAuth được cấu hình sẵn trong danh sách tin cậy (Trustlist) của tổ chức được phép kết nối với API của hệ thống. Chặn quyền tự ý liên kết ứng dụng bên thứ ba của nhân viên mà không qua phê duyệt của quản trị viên (Admin Approval).
Dài hạn
Áp dụng mô hình Zero Trust trên Endpoint:
Ngăn chặn việc thực thi các tệp tin không rõ nguồn gốc từ các thư mục tạm thời (
AppData\Local\Temp,Downloads).Kiểm soát chặt chẽ cơ chế đăng ký và thực thi của Scheduled Task thông qua chính sách nhóm (GPO) hoặc giải pháp Endpoint Protection.
Đào tạo nâng cao nhận thức bảo mật: Tăng cường các chiến dịch diễn tập phishing phòng ngừa nhân viên click mở các tệp tin đính kèm chứa mã độc loader thực hiện hành vi DLL side-loading.
Tham Khảo
ToddyCat-Linked Umbrij Malware Abuses OAuth to Access Gmail via Google API
How the ToddyCat APT group gains access to Gmail accounts | Securelist





