Dấu vết từ một tệp ZIP nhàm chán
Câu chuyện không bắt đầu bằng một cuộc tấn công ồn ào hay một hệ thống tê liệt giữa ban ngày. Nó bắt đầu bằng một tệp ZIP được một cơ quan Chính phủ Estonia tải lên kho lưu trữ mã độc VirusTotal, một thao tác thường quy của đội bảo mật khi kiểm tra tệp khả nghi. Tên tệp, dịch từ tiếng Estonia, là: “Thay đổi cơ cấu tổ chức của Cảnh sát và Cơ quan Kiểm soát biên giới”. Một cái tên rất bình thường. Bình thường đến mức hầu như vô hình. Nhưng với các nhà phân tích Unit 42, những người đang theo dõi một cụm email lừa đảo nhắm vào các chính phủ châu Âu đầu năm 2025, tệp ấy lại là sợi chỉ đầu tiên. Họ kéo sợi chỉ đó. Và phía sau nó là cả một mạng lưới.
Nhóm tấn công được Unit 42 đặt tên mã TGR-STA-1030, còn được một số hệ thống theo dõi bằng tên gọi khác là UNC6619. Chiến dịch của chúng được đặt tên: Chiến dịch Bóng tối (Shadow Campaigns). Trong vòng một năm, nhóm này đã xâm nhập ít nhất 70 tổ chức nhà nước và hạ tầng trọng yếu tại 37 quốc gia. Xấp xỉ cứ 5 quốc gia trên thế giới, có một quốc gia xuất hiện trong bản đồ các vụ xâm phạm nghiêm trọng mà Unit 42 ghi nhận. Nhưng các vụ xâm nhập chỉ là phần đã lộ ra. Giữa tháng 11 và 12/2025, Unit 42 quan sát thấy TGR-STA-1030 thực hiện trinh sát chủ động nhắm vào hạ tầng chính phủ của 155 quốc gia. Về mặt trinh sát, gần như toàn bộ thế giới đã nằm trong tầm ngắm của chúng.
Unit 42 đánh giá với độ tin cậy cao rằng TGR-STA-1030 là nhóm liên kết với nhà nước và hoạt động từ châu Á. Báo cáo không nêu thẳng tên quốc gia. Nhưng một số dấu hiệu khiến giới phân tích khó bỏ qua một hướng suy luận: cài đặt ngôn ngữ trong mã nguồn, múi giờ hoạt động tương quan với GMT+8, và nhất là sự trùng khớp giữa nhịp tấn công với một số sự kiện địa chính trị nhạy cảm ở châu Á. Tháng 7/2025, nhóm tập trung mạnh vào Đức, khởi tạo kết nối tới hơn 490 địa chỉ IP gắn với hạ tầng chính phủ nước này. Sau cuộc gặp riêng giữa Tổng thống Czech Petr Pavel và Đức Đạt Lai Lạt Ma tại Ấn Độ tháng 8/2025, Unit 42 ghi nhận hoạt động quét hạ tầng Chính phủ Czech trong những tuần tiếp theo, bao gồm quân đội, cảnh sát, nghị viện và các bộ nội vụ, tài chính, ngoại giao. Với các nhà phân tích phương Tây, những điểm trùng khớp ấy không dễ xem là ngẫu nhiên.
Một chi tiết nhỏ nhưng gây chú ý nằm ở biệt danh. Trong quá trình phân tích môi trường tấn công, Unit 42 phát hiện một trong những kẻ vận hành chiến dịch dùng bí danh “JackMa”, trùng với tên nhà đồng sáng lập Alibaba, tỷ phú Jack Ma. Chi tiết ấy chưa đủ để trở thành bằng chứng quy kết. Nhưng trong một báo cáo vốn tránh gọi thẳng tên quốc gia, nó vẫn là một mảnh ghép đáng chú ý.
Cách TGR-STA-1030 xâm nhập không cầu kỳ như người ta tưởng. Chúng gửi email lừa đảo với mồi nhử là các thông báo tái cơ cấu bộ máy hành chính; đồng thời khai thác những lỗ hổng đã biết trong Microsoft Exchange, SAP, Atlassian và một số phần mềm khác. Đây không phải loại vũ khí số chưa từng được biết tới. Các lỗ hổng ấy đã được cảnh báo. Đã có bản vá. Trên lý thuyết là vậy. Vấn đề nằm ở khoảng trễ rất con người: trong một hệ thống lớn, không phải máy chủ nào cũng được vá đúng lúc. Một điểm hở. Rồi điểm hở thứ hai. Và khi những điểm hở ấy nằm trong mạng chính phủ, một nhóm đủ kiên nhẫn có thể biến chúng thành lối vào.
Điều khiến TGR-STA-1030 nguy hiểm hơn nằm ở giai đoạn sau khi đã lọt vào bên trong. Sau khi vào được mạng nội bộ, nhóm này triển khai ShadowGuard, tên do Unit 42 đặt cho một rootkit chạy ở tầng nhân Linux. Nó lợi dụng eBPF, một cơ chế cho phép các chương trình nhỏ hoạt động rất sâu bên trong hệ điều hành. Nói nôm na, ShadowGuard không đứng ở ngoài cửa để các thiết bị giám sát dễ dàng nhìn thấy. Nó chui vào phần được hệ thống tin cậy nhất, rồi từ đó che giấu sự hiện diện của mình.
Unit 42 cảnh báo rằng các cửa hậu eBPF cực kỳ khó phát hiện vì chúng hoạt động hoàn toàn trong vùng không gian hạt nhân được tin cậy cao nhất. ShadowGuard có thể che giấu tới 32 tiến trình cùng lúc, ẩn các tệp và thư mục mang tên “swsecret”, đồng thời khiến nhiều công cụ giám sát thông thường không nhìn thấy đúng những gì đang diễn ra bên trong hệ thống. Trong một số trường hợp, TGR-STA-1030 duy trì quyền truy cập vào nạn nhân trong nhiều tháng mà không bị phát hiện. Tại một quốc gia chưa được nêu tên, chúng đã tiếp cận được cả nghị viện và một quan chức dân cử cấp cao.
Chi tiết ấy đáng dừng lại một nhịp. Một nghị viện. Một quan chức dân cử cấp cao. Nghĩa là, nếu các hệ thống bị truy cập chứa dữ liệu làm việc của người đó, những thứ nhạy cảm nhất có thể đã bị đặt trước mắt kẻ tấn công: thư điện tử, lịch công tác, dự thảo chính sách, các trao đổi nội bộ chưa công bố. Không cần phá sập hệ thống. Chỉ cần âm thầm đọc. Và trong nhiều tháng, chính sự im lặng ấy mới là điều đáng sợ.
Khi gián điệp mạng bám theo địa chính trị
TGR-STA-1030 không đòi tiền chuộc. Không đốt hệ thống. Không gây mất điện. Không làm tê liệt dịch vụ công. Chúng làm một việc lặng lẽ hơn, nhưng nguy hiểm hơn trong dài hạn: đọc, quan sát, thu thập. Trong danh sách mục tiêu ưu tiên, Unit 42 nhận ra một mẫu hình nhất quán: Bộ Tài chính, Bộ Kinh tế, Bộ Ngoại giao, Bộ Thương mại, Bộ Quốc phòng, cơ quan kiểm soát biên giới, cảnh sát quốc gia. Đó đều là những nơi một cơ quan tình báo sẽ muốn nhìn vào nếu cần hiểu ý đồ của đối tác và đối thủ: chính sách thương mại đang soạn thảo, đàm phán kinh tế chưa công bố, hồ sơ biên giới, kế hoạch quốc phòng, dữ liệu về tài nguyên và hạ tầng chiến lược.
Palo Alto Networks nhận định chiến dịch này có khả năng nhắm tới việc thu thập thông tin về khoáng sản đất hiếm, thỏa thuận thương mại và quan hệ đối tác kinh tế. Trong một thế giới mà đất hiếm trở thành nguyên liệu của pin, chip, radar, tên lửa và cả chuỗi cung ứng công nghệ cao, dữ liệu về mỏ, giấy phép, thỏa thuận đầu tư hay định hướng chính sách không còn là thông tin kinh tế thuần túy. Nó là thông tin chiến lược. Theo Unit 42, Bộ Mỏ và Năng lượng Brazil nằm trong số mục tiêu bị xâm nhập, trong bối cảnh Washington tăng tìm kiếm nguồn cung đất hiếm thay thế và các khoản đầu tư của Mỹ vào lĩnh vực này tại Brazil được đẩy lên.
Nhưng câu chuyện không dừng ở khoáng sản. Tại Honduras, Unit 42 ghi nhận hoạt động trinh sát nhắm vào hạ tầng chính phủ tăng đột biến ngày 31/10/2025, đúng 30 ngày trước cuộc bầu cử mà các ứng viên hàng đầu tranh luận về khả năng khôi phục quan hệ với Đài Loan (Trung Quốc). Tại Cộng hòa Dân chủ Congo, Unit 42 đặt vụ xâm nhập tháng 12/2025 bên cạnh chuỗi tranh cãi về hoạt động khai mỏ của các công ty châu Á trong khu vực, trong đó có những vụ ô nhiễm nguồn nước tại Zambia và quanh Lubumbashi. Tại châu Đại Dương, một địa chỉ thuộc Bộ Ngân khố Australia cũng nằm trong danh sách bị trinh sát qua cổng SSH. Đặt cạnh nhau, các vụ việc ấy không còn giống những điểm rơi ngẫu nhiên. Chúng giống một bản đồ lợi ích: nơi nào có tài nguyên, bầu cử, ngoại giao, thương mại hoặc quân sự, nơi đó có lý do để một chiến dịch gián điệp mạng tìm đường đến.
Trường hợp Venezuela là minh họa rõ nhất cho tốc độ phản ứng của nhóm này. Trong vòng 24 giờ sau khi Mỹ phát động chiến dịch Absolute Resolve bắt giữ vợ chồng Tổng thống Nicolás Maduro, TGR-STA-1030 đã trinh sát ít nhất 140 địa chỉ IP thuộc sở hữu chính phủ Venezuela. Và chỉ một ngày sau, Unit 42 đánh giá nhóm này nhiều khả năng đã xâm nhập được một cơ sở của Venezolana de Industria Tecnológica: doanh nghiệp công nghệ được thành lập như liên doanh giữa chính phủ Venezuela và một công ty công nghệ châu Á. Đó không còn là kiểu thu thập thông tin nền chậm rãi. Nó mang dáng dấp của một hoạt động bám sát nhịp địa chính trị, phản ứng gần như tức thời sau một biến cố lớn. Nói cách khác, đây là dấu hiệu của một hoạt động tình báo có tổ chức, không phải kiểu kiếm ăn cơ hội của một nhóm tội phạm mạng thông thường.
Cơ quan An ninh mạng và An ninh hạ tầng Mỹ (CISA) xác nhận với The Register rằng họ đang theo dõi TGR-STA-1030 và phối hợp với các đối tác chính phủ, công nghiệp, quốc tế để phát hiện, giảm thiểu việc khai thác các lỗ hổng nêu trong báo cáo. FBI không trả lời bình luận. Sự thận trọng ấy, trong một hồ sơ như thế này, cũng cho thấy mức độ nhạy cảm của vụ việc. Phải đến tháng 2/2026, khi Palo Alto Networks công bố báo cáo, thế giới mới biết chiến dịch này tồn tại với quy mô đầy đủ. Nhưng TGR-STA-1030 đã hoạt động từ ít nhất tháng 1/2024. Gần 2 năm trong vùng mờ: có dấu vết, có cảnh báo lẻ tẻ, có những mảnh vỡ rời rạc, nhưng bức tranh tổng thể chỉ hiện ra rất muộn. Và nó hiện ra từ một tệp ZIP có cái tên tẻ nhạt về tái cơ cấu cảnh sát biên giới Estonia.
Thử hình dung điều đó theo cách khác, không phải bằng tỷ lệ phần trăm, mà bằng những căn phòng cụ thể. Phòng họp của một bộ tài chính, nơi một thứ trưởng đang trình bày chiến lược đàm phán thương mại. Máy tính của một cơ quan biên giới đang xử lý hồ sơ di trú nhạy cảm. Hộp thư của một nghị sĩ đang hoàn thiện báo cáo về chính sách quốc phòng. Trong nhiều tháng, có thể đã có một người không được mời lặng lẽ đứng bên cạnh.
Người đó không có mặt trong phòng.
Nhưng họ có thể đọc được những gì lẽ ra chỉ thuộc về căn phòng ấy.
Và câu hỏi còn lại không phải là TGR-STA-1030 đã đi xa đến đâu. Câu hỏi đáng ngại hơn là: ngay lúc này, còn bao nhiêu chiến dịch tương tự vẫn âm thầm vận hành, chỉ vì chưa ai tìm thấy sợi chỉ đầu tiên?
