Hacker nhà nước phân phối malware từ blockchain “bulletproof”

Tác giả tanthanh 06/02/2026 11 phút đọc

Các nhóm hack—ít nhất một trong số đó hoạt động thay mặt cho chính phủ Triều Tiên— đã tìm ra một cách mới và rẻ tiền để phân phối phần mềm độc hại từ máy chủ “bulletproof”: lưu trữ chúng trên các chuỗi khối tiền điện tử công cộng.

Trong một Bài viết thứ năm, các thành viên của Nhóm tình báo mối đe dọa Google cho biết kỹ thuật này cung cấp cho tin tặc máy chủ “bulletproof” của riêng họ, một thuật ngữ mô tả các nền tảng đám mây phần lớn không bị cơ quan thực thi pháp luật hạ gục và áp lực từ các nhà nghiên cứu bảo mật. Theo truyền thống hơn, những chủ nhà này được đặt tại các quốc gia không có hiệp ước đồng ý thực thi luật hình sự từ Hoa Kỳ và các quốc gia khác. Các dịch vụ này thường tính những khoản tiền khổng lồ và phục vụ cho tội phạm phát tán phần mềm độc hại hoặc rao bán tài liệu và đồ vật lạm dụng tình dục trẻ em được bán ở các chợ trời dựa trên tội phạm.

Thế hệ tiếp theo, lưu trữ DIY không thể bị giả mạo

Kể từ tháng 2, các nhà nghiên cứu của Google đã quan sát thấy hai nhóm chuyển sang một kỹ thuật mới hơn để lây nhiễm các mục tiêu bằng những kẻ đánh cắp thông tin xác thực và các dạng phần mềm độc hại khác. Phương pháp này, được gọi là EtherHiding, nhúng phần mềm độc hại vào các hợp đồng thông minh, về cơ bản là các ứng dụng nằm trên blockchain cho Ethereum và các loại tiền điện tử khác. Sau đó, hai hoặc nhiều bên sẽ ký kết một thỏa thuận được nêu trong hợp đồng. Khi một số điều kiện nhất định được đáp ứng, các ứng dụng sẽ thực thi các điều khoản hợp đồng theo cách mà ít nhất về mặt lý thuyết là không thể thay đổi và độc lập với bất kỳ cơ quan trung ương nào.

“Về bản chất, EtherHiding thể hiện sự thay đổi hướng tới dịch vụ lưu trữ chống đạn thế hệ tiếp theo, trong đó các tính năng vốn có của công nghệ blockchain được tái sử dụng cho các mục đích độc hại, các nhà nghiên cứu của Google Blas Kojusner, Robert Wallace và Joseph Dobson viết. “Kỹ thuật này nhấn mạnh sự phát triển liên tục của các mối đe dọa mạng khi kẻ tấn công thích ứng và tận dụng các công nghệ mới để tạo lợi thế cho chúng.”

Có một loạt các lợi thế cho EtherHiding so với các phương tiện truyền thống hơn để cung cấp phần mềm độc hại, bên cạnh việc lưu trữ chống đạn bao gồm tận dụng các máy chủ bị xâm nhập.

- Việc phân cấp ngăn chặn việc gỡ bỏ các hợp đồng thông minh độc hại vì các cơ chế trong blockchain ngăn chặn việc loại bỏ tất cả các hợp đồng đó.
- Tương tự, tính bất biến của hợp đồng ngăn chặn việc bất kỳ ai loại bỏ hoặc giả mạo phần mềm độc hại.
- Các giao dịch trên Ethereum và một số blockchain khác được ẩn danh một cách hiệu quả, bảo vệ danh tính của hacker’.
- Việc truy xuất phần mềm độc hại từ các hợp đồng không để lại dấu vết truy cập trong nhật ký sự kiện, mang lại khả năng tàng hình
- Những kẻ tấn công có thể cập nhật tải trọng độc hại bất cứ lúc nào

Việc tạo hoặc sửa đổi các hợp đồng thông minh thường có chi phí dưới 2 đô la cho mỗi giao dịch, một khoản tiết kiệm rất lớn về tiền và lao động so với các phương pháp truyền thống hơn để cung cấp phần mềm độc hại.

Xếp lớp trên EtherHiding Google quan sát là một chiến dịch kỹ thuật xã hội sử dụng tuyển dụng cho các công việc giả mạo để thu hút mục tiêu, nhiều người trong số họ là nhà phát triển ứng dụng tiền điện tử hoặc các dịch vụ trực tuyến khác. Trong quá trình sàng lọc, thí sinh phải thực hiện bài kiểm tra thể hiện kỹ năng viết mã hoặc đánh giá mã của mình. Các tập tin cần thiết để hoàn thành các bài kiểm tra được nhúng với mã độc.

Một trong những nhóm mà Google quan sát thấy, một nhóm được Triều Tiên hậu thuẫn được theo dõi là UNC5342, sử dụng phần mềm độc hại giai đoạn trước được theo dõi là JadeSnow để truy xuất phần mềm độc hại giai đoạn sau từ cả chuỗi khối BNB và Ethereum. Các nhà nghiên cứu của Google đã quan sát thấy:

Thật bất thường khi thấy một tác nhân đe dọa sử dụng nhiều chuỗi khối cho hoạt động EtherHiding; điều này có thể cho thấy sự phân chia hoạt động giữa các nhóm điều hành mạng của Triều Tiên. Cuối cùng, các chiến dịch thường xuyên tận dụng tính chất linh hoạt của EtherHiding để cập nhật chuỗi lây nhiễm và thay đổi vị trí phân phối tải trọng. Trong một giao dịch, trình tải xuống JADESNOW có thể chuyển từ tìm nạp tải trọng trên Ethereum sang tìm nạp nó trên Chuỗi thông minh BNB. Việc chuyển đổi này không chỉ làm phức tạp việc phân tích mà còn tận dụng phí giao dịch thấp hơn được cung cấp bởi các mạng thay th.

Các nhà nghiên cứu cho biết họ cũng quan sát thấy một nhóm khác, UNC5142 có động cơ tài chính, cũng sử dụng EtherHiding.

Năng lực hack của Triều Tiên từng được coi là tầm cỡ thấp. Trong thập kỷ qua, đất nước này đã thực hiện một loạt các chiến dịch tấn công nổi bật thể hiện kỹ năng, sự tập trung và nguồn lực ngày càng tăng. Hai tuần trước, công ty phân tích blockchain Elliptic nói rằng quốc gia này đã đánh cắp tiền điện tử trị giá hơn 2 tỷ USD cho đến năm 2025.