Một tác nhân đe dọa có liên hệ với Trung Quốc có tên mã là UTA0388 đã được xác định là thủ phạm của một loạt các chiến dịch lừa đảo nhắm vào Bắc Mỹ, Châu Á và Châu Âu, được thiết kế để phát tán phần mềm cấy ghép dựa trên Go có tên là GOVERSHELL .

"Các chiến dịch ban đầu được phát hiện đã được thiết kế riêng cho các mục tiêu, và các tin nhắn được cho là do các nhà nghiên cứu và phân tích cấp cao gửi đến từ các tổ chức nghe có vẻ hợp pháp nhưng hoàn toàn bịa đặt", Volexity cho biết trong một báo cáo hôm thứ Tư. "Mục tiêu của các chiến dịch lừa đảo này là dụ dỗ nạn nhân nhấp vào các liên kết dẫn đến một kho lưu trữ được lưu trữ từ xa chứa mã độc."

Kể từ đó, kẻ tấn công đứng sau các vụ tấn công được cho là đã sử dụng nhiều chiêu trò và danh tính hư cấu khác nhau, bao gồm nhiều ngôn ngữ, bao gồm tiếng Anh, tiếng Trung, tiếng Nhật, tiếng Pháp và tiếng Đức.

Các phiên bản đầu tiên của chiến dịch này đã được phát hiện nhúng các liên kết đến nội dung lừa đảo được lưu trữ trên dịch vụ đám mây hoặc cơ sở hạ tầng riêng của họ, trong một số trường hợp, dẫn đến việc triển khai phần mềm độc hại. Tuy nhiên, các đợt tấn công tiếp theo được mô tả là "được thiết kế rất tinh vi", trong đó kẻ tấn công sử dụng kỹ thuật xây dựng lòng tin với người nhận theo thời gian trước khi gửi liên kết - một kỹ thuật được gọi là lừa đảo xây dựng mối quan hệ.

Bất kể phương pháp nào được sử dụng, các liên kết đều dẫn đến một tệp ZIP hoặc RAR chứa một tệp DLL độc hại được khởi chạy bằng cách tải DLL phụ. Tệp này là một backdoor đang được phát triển có tên là GOVERSHELL. Cần lưu ý rằng hoạt động này trùng lặp với một cụm được Proofpoint theo dõi dưới tên UNK_DropPitch , trong đó Volexity mô tả GOVERSHELL là phiên bản kế thừa của một họ phần mềm độc hại C++ có tên là HealthKick .

Cho đến nay đã có tới năm biến thể riêng biệt của GOVERSHELL được xác định -

• HealthKick (Được phát hiện lần đầu vào tháng 4 năm 2025), được trang bị để chạy các lệnh bằng cmd.exe
• TE32 (Được quan sát lần đầu vào tháng 6 năm 2025), được trang bị để thực thi lệnh trực tiếp thông qua shell đảo ngược PowerShell
• TE64 (Được quan sát lần đầu vào đầu tháng 7 năm 2025), được trang bị để chạy các lệnh gốc và lệnh động bằng PowerShell để lấy thông tin hệ thống, thời gian hệ thống hiện tại, chạy lệnh qua powershell.exe và thăm dò máy chủ bên ngoài để tìm hướng dẫn mới
• WebSocket (Được quan sát lần đầu vào giữa tháng 7 năm 2025), được trang bị để chạy lệnh PowerShell thông qua powershell.exe và lệnh phụ "cập nhật" chưa được triển khai như một phần của lệnh hệ thống
• Beacon (Được quan sát lần đầu vào tháng 9 năm 2025), được trang bị để chạy các lệnh gốc và lệnh động bằng PowerShell để thiết lập khoảng thời gian thăm dò cơ sở, ngẫu nhiên hóa hoặc thực thi lệnh PowerShell thông qua powershell.exe

Một số dịch vụ hợp pháp bị lạm dụng để dàn dựng các tệp lưu trữ bao gồm Netlify, Sync và OneDrive, trong khi các tin nhắn email đã được xác định là được gửi từ Proton Mail, Microsoft Outlook và Gmail.

Một khía cạnh đáng chú ý trong hoạt động của UTA0388 là việc sử dụng OpenAI ChatGPT để tạo nội dung cho các chiến dịch lừa đảo bằng tiếng Anh, tiếng Trung và tiếng Nhật; hỗ trợ các quy trình làm việc độc hại; và tìm kiếm thông tin liên quan đến việc cài đặt các công cụ nguồn mở như nuclei và fscan, như công ty AI này đã tiết lộ vào đầu tuần. Các tài khoản ChatGPT mà nhóm tin tặc này sử dụng đã bị cấm.

Volexity cho biết việc sử dụng mô hình ngôn ngữ lớn (LLM) để tăng cường hoạt động của nó được chứng minh bằng các giả mạo phổ biến trong các email lừa đảo, từ những nhân vật được sử dụng để gửi tin nhắn cho đến sự thiếu nhất quán trong nội dung tin nhắn.

"Mục tiêu của chiến dịch này phù hợp với một tác nhân đe dọa quan tâm đến các vấn đề địa chính trị châu Á, đặc biệt tập trung vào Đài Loan", công ty cho biết thêm. "Các email và tệp được sử dụng trong chiến dịch này khiến Volexity đánh giá với độ tin cậy trung bình rằng UTA0388 đã sử dụng tự động hóa, LLM hoặc các phương pháp khác, để tạo ra và gửi nội dung này đến các mục tiêu mà trong một số trường hợp gần như không có sự giám sát của con người."

Tiết lộ này được đưa ra khi StrikeReady Labs cho biết một chiến dịch gián điệp mạng bị nghi ngờ có liên quan đến Trung Quốc đã nhắm vào một bộ phận của chính phủ Serbia liên quan đến hàng không, cũng như các tổ chức châu Âu khác ở Hungary, Bỉ, Ý và Hà Lan.

Chiến dịch này, được phát hiện vào cuối tháng 9, bao gồm việc gửi email lừa đảo có chứa liên kết, khi nhấp vào, sẽ chuyển hướng nạn nhân đến trang xác minh CAPTCHA giả mạo của Cloudflare dẫn đến việc tải xuống tệp ZIP, bên trong có tệp phím tắt Windows (LNK) thực thi PowerShell chịu trách nhiệm mở tài liệu giả mạo và lén lút khởi chạy PlugX bằng cách sử dụng tải DLL bên ngoài .