Các chuyên gia an ninh mạng từ Lookout vừa phát hiện bốn biến thể mới của phần mềm độc hại DCHSpy, một công cụ gián điệp tinh vi trên nền tảng Android được cho là do nhóm tin tặc MuddyWater phát triển. MuddyWater có liên hệ chặt chẽ với Bộ Tình báo và An ninh Iran (MOIS). Sự xuất hiện của những biến thể mới này trùng với thời điểm căng thẳng giữa Iran và Israel leo thang, cho thấy phần mềm độc hại này liên tục được điều chỉnh để đáp ứng tình hình địa chính trị đang thay đổi.

DCHSpy lần đầu tiên được phát hiện vào năm 2024 và hoạt động như một mô-đun cấy ghép để đánh cắp dữ liệu toàn diện từ thiết bị của nạn nhân. Phần mềm này có khả năng thu thập thông tin đăng nhập, danh bạ, tin nhắn SMS, tệp lưu trữ, vị trí địa lý, nhật ký cuộc gọi, ghi âm âm thanh và ảnh từ camera. Đáng chú ý, DCHSpy còn có khả năng thu thập dữ liệu từ ứng dụng WhatsApp, tăng mức độ xâm nhập vào quyền riêng tư của người dùng.

MuddyWater là một nhóm tin tặc nổi tiếng với các hoạt động nhắm vào các tổ chức viễn thông, quốc phòng, năng lượng và chính phủ ở Trung Đông, Châu Á, Châu Phi, Châu Âu và Bắc Mỹ. DCHSpy được cho là công cụ chủ lực của nhóm này trong các chiến dịch gián điệp nhằm vào các quốc gia và lực lượng đối địch với Iran.

Các phân tích của Lookout chỉ ra rằng cơ sở hạ tầng của DCHSpy chia sẻ địa chỉ IP chỉ huy và kiểm soát với phần mềm gián điệp Android SandStrike, cũng như trojan truy cập từ xa PowerShell do MuddyWater sử dụng. Nhóm này thường áp dụng các chiến thuật phát tán phần mềm độc hại qua URL độc hại, thường được chia sẻ qua ứng dụng Telegram.

Phiên bản mới nhất của DCHSpy không chỉ thu thập dữ liệu WhatsApp mà còn nâng cao khả năng nhận dạng và trích xuất tệp mục tiêu. Dữ liệu bị đánh cắp sẽ được nén, mã hóa bằng mật khẩu từ máy chủ điều khiển và tải lên thông qua giao thức SFTP, giúp kẻ tấn công duy trì sự bí mật.

Kiến trúc mô-đun của DCHSpy cho phép nó được tùy chỉnh dễ dàng để theo kịp tình hình thời sự và khai thác các sự kiện nóng hổi cho các chiến dịch tấn công lừa đảo.

Mồi nhử StarLink và các ứng dụng giả mạo trên Telegram

Sau các vụ tấn công làm gián đoạn internet tại Iran, các phiên bản DCHSpy mới đã sử dụng mồi nhử dưới dạng ứng dụng VPN có chủ đề StarLink. Một tệp độc hại được ngụy trang như một VPN hợp pháp, đánh lừa người dùng bằng lời mời gọi truy cập internet qua vệ tinh.

Chiến lược quen thuộc của MuddyWater là giả dạng các ứng dụng phổ biến như VPN hoặc phần mềm ngân hàng để phát tán mã độc. Chúng quảng bá thông qua Telegram, lợi dụng các dịch vụ như EarthVPN, ComodoVPN với nội dung chống chế độ bằng tiếng Anh và tiếng Ba Tư, nhắm vào nhà báo, nhà hoạt động và những người bất đồng chính kiến.

Những liên kết dẫn đến các trang web đơn giản chứa tệp APK độc hại, sử dụng thông tin giả như địa chỉ doanh nghiệp tại Canada hoặc Romania để tạo lòng tin. Đây là phương pháp từng được sử dụng trong chiến dịch HideVPN vào tháng 7/2024.

DCHSpy là một phần trong xu hướng rộng hơn mà Lookout đang theo dõi, với ít nhất 17 nhóm phần mềm độc hại di động liên quan đến hơn 10 chiến dịch APT của Iran trong hơn một thập kỷ. Những chiến dịch này thường kết hợp các công cụ mã nguồn mở như Metasploit, AndroRat, AhMyth trong chiến dịch theo dõi từ xa.

Khi căng thẳng ở Trung Đông tiếp diễn sau lệnh ngừng bắn, Lookout tiếp tục theo dõi sự tiến hóa của DCHSpy và cam kết cung cấp thông tin tình báo cập nhật cho cộng đồng an ninh mạng.

Trong một diễn biến mới, cựu Tổng thống Mỹ Donald Trump tuyên bố rằng sẽ phá hủy bất kỳ cơ sở hạt nhân mới nào của Iran nếu chúng được xây dựng. Tuyên bố này được đưa ra trong bối cảnh căng thẳng giữa Mỹ và Iran đang leo diễn.

Ngày 19/7, ông Trump viết trên mạng xã hội Truth Social rằng cả 3 cơ sở hạt nhân ở Iran đều đã bị phá hủy hoàn toàn trong các cuộc không kích của Mỹ. Ông cho rằng sẽ mất nhiều năm để khôi phục chúng về trạng thái hoạt động. Cựu Tổng thống Mỹ cũng cảnh báo rằng nếu Iran muốn xây dựng lại các cơ sở hạt nhân, sẽ có lợi hơn nhiều cho họ nếu bắt đầu lại mọi thứ từ đầu ở 3 địa điểm khác nhau trước khi các cơ sở này bị phá hủy.

Cùng ngày, người phát ngôn chính thức của Ủy ban An ninh Quốc gia và Chính sách Đối ngoại thuộc Quốc hội Iran, Ebrahim Rezaei, tuyên bố rằng nếu áp lực trừng phạt tiếp tục, Tehran có thể rút khỏi Hiệp ước Không phổ biến vũ khí hạt nhân và bắt đầu làm giàu uranium vượt mức 60%.

Tương lai của thỏa thuận hạt nhân Iran đang là một câu hỏi lớn. Mỹ và Iran từng tham gia nhiều vòng đàm phán nhằm đạt được một thỏa thuận về chương trình hạt nhân của Tehran, nhưng các cuộc thương lượng đã bị đình trệ. Trong khi đó, ông Trump vẫn để ngỏ khả năng ném bom các cơ sở hạt nhân Iran một lần nữa nếu ông cho rằng đó là hành động cần thiết.

Tại một cuộc họp báo tại Nhà Trắng ngày 27/6, ông Trump cho biết ông không tin rằng Iran có thể “quay trở lại vũ khí hạt nhân trong thời gian tới”, sau các cuộc không kích của Mỹ vào các cơ sở hạt nhân của Iran. Tuy nhiên, ông cũng cho biết ông “không thực sự” lo ngại về các cơ sở hạt nhân bí mật ở Iran.

Phát biểu tại hội nghị thượng đỉnh NATO gần đây, ông Trump tuyên bố rằng Mỹ sẽ tấn công Iran nếu họ xây dựng lại chương trình làm giàu hạt nhân của mình. “Chắc chắn rồi”, ông Trump nói.

Hồi tháng 6, Đặc phái viên Trung Đông của Tổng thống Trump, ông Steve Witkoff, nhấn mạnh Mỹ tiếp tục coi việc làm giàu uranium và phát triển vũ khí hạt nhân của Iran là những “lằn ranh đỏ”. Ông đồng thời bày tỏ hy vọng về một thỏa thuận hòa bình toàn diện với Tehran.

Các cuộc không kích của Mỹ vào các cơ sở hạt nhân của Iran đã gây ra những thiệt hại đáng kể. Ông Trump xác nhận rằng 3 cơ sở hạt nhân của Iran đã bị phá hủy hoàn toàn. Tuy nhiên, Cơ quan Tình báo Quốc phòng Mỹ đánh giá rằng đòn tập kích chỉ làm chậm lại chương trình hạt nhân của Iran trong vài tháng.

Động thái của ông Trump diễn ra trong bối cảnh các bên đang nỗ lực tìm kiếm giải pháp cho chương trình hạt nhân của Iran. Tuy nhiên, tuyên bố của ông cũng làm tăng thêm mối lo ngại về khả năng xung đột quân sự giữa Mỹ và Iran.

Iran và Mỹ đã có một mối quan hệ căng thẳng trong nhiều năm, đặc biệt là về vấn đề hạt nhân. Iran đã nhiều lần phủ nhận việc phát triển vũ khí hạt nhân, nhưng các chương trình hạt nhân của nước này vẫn là một điểm nóng trong quan hệ quốc tế.

Thế giới đang chờ đợi các bước đi tiếp theo của Mỹ và Iran trong vấn đề hạt nhân. Một thỏa thuận hạt nhân toàn diện có thể giúp giảm căng thẳng và tạo điều kiện cho hợp tác giữa hai nước. Tuy nhiên, bất kỳ động thái quân sự nào cũng có thể làm trầm trọng thêm tình hình và gây ra hậu quả nghiêm trọng.