Từ đầu tháng 3/2025, Kaspersky phát hiện và đặt tên chiến dịch này là "SalmonSlalom" - “Cá hồi vượt chướng ngại", ám chỉ cách thức những kẻ tấn công vượt qua các hàng rào bảo mật giống như cá hồi bơi ngược dòng, vượt qua thác nước và đá ngầm.

Mục tiêu của chiến dịch là các tổ chức công nghiệp và cơ quan chính phủ ở khu vực APAC, bao gồm Việt Nam, Malaysia, Trung Quốc, Nhật Bản, Thái Lan, Hồng Kông và Đài Loan (Trung Quốc), Hàn Quốc, Singapore và Philippines.

Các ngành bị chiến dịch này nhắm vào là ngành sản xuất, xây dựng, công nghệ thông tin, viễn thông, y tế, năng lượng, hậu cần và vận tải quy mô lớn.

Chiến dịch này là lời cảnh báo cho các tổ chức công nghiệp về khả năng bị tấn công từ xa vào hệ thống công nghệ vận hành (OT), gây nguy cơ mất dữ liệu bí mật, gián đoạn hoạt động hoặc thao túng thiết bị.

Kaspersky cho biết, nhóm tấn công đã lợi dụng các dịch vụ điện toán đám mây hợp pháp để quản lý phần mềm độc hại và triển khai quy trình tấn công, gồm nhiều giai đoạn phức tạp để vượt kiểm duyệt của các hệ thống phát hiện xâm nhập. Qua đó, kẻ xấu có thể phát tán mã độc trên hệ thống mạng của nạn nhân, cài đặt công cụ điều khiển từ xa, chiếm quyền kiểm soát thiết bị, đánh cắp và xóa thông tin mật. Tin tặc sử dụng tệp nén chứa mã độc, ngụy trang thành tài liệu liên quan đến thuế, và phát tán thông qua chiến dịch lừa đảo trên email và các ứng dụng nhắn tin như WeChat và Telegram. Sau khi quy trình cài đặt mã độc nhiều lớp phức tạp trên hệ thống, tội phạm mạng sẽ tiến hành cài cắm backdoor mang tên FatalRAT.

Mặc dù chiến dịch này có một số điểm tương đồng với các cuộc tấn công trước đây sử dụng mã độc truy cập từ xa (RAT) mã nguồn mở như Gh0st RAT, SimayRAT, Zegost và FatalRAT. Các chuyên gia nhận thấy sự thay đổi đáng kể trong chiến thuật, kỹ thuật và phương thức hoạt động, tất cả đều được điều chỉnh để nhắm vào các tổ chức, cơ quan sử dụng tiếng Trung Quốc.

Cuộc tấn công được thực hiện thông qua mạng phân phối nội dung (CDN) myqcloud và dịch vụ lưu trữ Youdao Cloud Notes - hai nền tảng điện toán đám mây hợp pháp của Trung Quốc. Để tránh bị phát hiện và ngăn chặn, tin tặc đã sử dụng nhiều kỹ thuật như: liên tục thay đổi máy chủ điều khiển và tải trọng mã độc để giảm khả năng bị truy vết, lưu trữ mã độc trên các trang web hợp pháp nhằm "qua mặt" hệ thống bảo mật, khai thác lỗ hổng trong phần mềm hợp pháp để triển khai tấn công, lợi dụng chính các chức năng hợp pháp của phần mềm để kích hoạt mã độc, mã hóa tệp tin và lưu lượng mạng nhằm che giấu hoạt động bất thường.

Việt Nam nằm trong danh sách các quốc gia bị nhắm mục tiêu, cùng với các nước láng giềng trong khu vực APAC. Các tổ chức công nghiệp lớn, đặc biệt trong lĩnh vực sản xuất, năng lượng và hậu cần, có thể bị ảnh hưởng. Chiến dịch này là lời cảnh báo cho các tổ chức công nghiệp về khả năng bị tấn công từ xa vào hệ thống công nghệ vận hành (OT), gây nguy cơ mất dữ liệu bí mật, gián đoạn hoạt động hoặc thao túng thiết bị.

Ông Evgeny Goncharov, Trưởng nhóm ICS CERT, nhận định: "Tội phạm an ninh mạng sử dụng những kỹ thuật tương đối đơn giản nhưng vẫn đạt được mục tiêu xâm nhập vào hệ thống, ngay cả trong môi trường công nghệ vận hành (OT). Chiến dịch này là lời cảnh báo tới các tổ chức công nghiệp nặng tại khu vực APAC từ những tác nhân độc hại có khả năng xâm nhập từ xa vào hệ thống OT. Các tổ chức cần nâng cao nhận thức về các mối đe dọa này, từ đó củng cố biện pháp bảo vệ, đồng thời chủ động ứng phó nhằm bảo vệ tài sản và dữ liệu trước nguy cơ tấn công mạng.

Để bảo vệ hệ thống trước các mối đe dọa như SalmonSlalom, các tổ chức nên áp dụng các biện pháp bảo mật như kích hoạt xác thực hai yếu tố (2FA), cập nhật các bản vá bảo mật kịp thời và triển khai các giải pháp giám sát an ninh mạng tiên tiến như SIEM, EDR/XDR hoặc MDR. Việc chủ động theo dõi và cập nhật thông tin về các mối đe dọa mới cũng là yếu tố quan trọng để giảm thiểu rủi ro bị tấn công.