Chiến dịch gián điệp mạng ẩn mình trong hạ tầng Cloudflare
Các nhà nghiên cứu phát hiện chiến dịch gián điệp mạng nhắm vào nhiều tổ chức tại Malaysia sử dụng hạ tầng đám mây và dịch vụ Cloudflare để ẩn hoạt động độc hại. Tin tặc lạm dụng Cloudflare R2, Workers, Pages và Tunnels để lưu trữ trang phishing, phát tán malware, vận hành máy chủ điều khiển và đánh cắp dữ liệu.
How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espionAttackers increasingly hide phishing, malware delivery, and command‑and‑control infrastructure inside trusted cloud platforms.
Prompt AI
Create a landscape editorial hero image for this Studio Global article: How are government-backed hackers exploiting Cloudflare’s services (such as R2 storage, Pages, Workers, and Tunnels) to conduct cyber‑espion. Article summary: Government-backed or government-aligned hackers are abusing Cloudflare because its services provide cheap, reputable, TLS-protected infrastructure that often looks like normal business web traffic. In the Malaysia-focuse. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Russian state hackers abuse Cloudflare services to spy on Ukrainian targets. A Russian state-sponsored hacker group, known as Gamaredon, has been targeting Ukrainian-speaking vic" source context "Russian state hackers abuse Cloudflare services to spy on ..." Reference image 2: visual subject "**Help
openai.com
Các chiến dịch gián điệp mạng (cyber‑espionage) ngày càng khó phát hiện vì chúng ẩn mình trong chính những nền tảng đám mây mà doanh nghiệp sử dụng hằng ngày.
Nghiên cứu bảo mật gần đây cho thấy các tổ chức tại Malaysia đang bị nhắm mục tiêu bởi một chiến dịch xâm nhập tinh vi. Thay vì dùng máy chủ độc hại dễ bị chặn, kẻ tấn công tận dụng các dịch vụ hợp pháp của Cloudflare như R2, Workers, Pages và Tunnels để lưu trữ phishing, phát tán malware và chuyển dữ liệu đánh cắp ra ngoài. Khi lưu lượng đi qua những nền tảng cloud phổ biến này, nó gần như không khác gì lưu lượng web bình thường.
Điều này khiến các doanh nghiệp khó chặn hoàn toàn các dịch vụ cloud lớn, vì làm vậy có thể làm gián đoạn hoạt động hợp pháp.
Chiến dịch nhắm vào Malaysia
Các nhà nghiên cứu phát hiện cơ sở hạ tầng do kẻ tấn công kiểm soát được đặt trên Microsoft Azure tại khu vực Malaysia West. Chiến dịch này nhắm vào nhiều tổ chức trong nước và sử dụng các công cụ Python được viết riêng cho từng mục tiêu.
Những công cụ này cho phép kẻ tấn công:
Do thám mạng nội bộ và liệt kê tài nguyên
Truy cập cơ sở dữ liệu
Thu thập và chuyển dữ liệu ra ngoài
Phân tích cho thấy hạ tầng cloud – bao gồm cả dịch vụ của Cloudflare – được sử dụng để che giấu các bước trong chuỗi tấn công, giúp lưu lượng độc hại hòa lẫn với lưu lượng cloud hợp pháp.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Câu trả lời ngắn gọn cho "Chiến dịch gián điệp mạng ẩn mình trong hạ tầng Cloudflare" là gì?
Các nhà nghiên cứu phát hiện chiến dịch gián điệp mạng nhắm vào nhiều tổ chức tại Malaysia sử dụng hạ tầng đám mây và dịch vụ Cloudflare để ẩn hoạt động độc hại.
Những điểm chính cần xác nhận đầu tiên là gì?
Các nhà nghiên cứu phát hiện chiến dịch gián điệp mạng nhắm vào nhiều tổ chức tại Malaysia sử dụng hạ tầng đám mây và dịch vụ Cloudflare để ẩn hoạt động độc hại. Tin tặc lạm dụng Cloudflare R2, Workers, Pages và Tunnels để lưu trữ trang phishing, phát tán malware, vận hành máy chủ điều khiển và đánh cắp dữ liệu.
Tôi nên làm gì tiếp theo trong thực tế?
Xu hướng mới cho thấy các nhóm gián điệp mạng ngày càng ẩn hoạt động trong hạ tầng cloud đáng tin cậy, khiến việc phát hiện trở nên khó khăn hơn.
Nền tảng dành cho nhà phát triển của Cloudflare cung cấp nhiều tính năng mạnh mẽ cho ứng dụng web. Tuy nhiên, chính các tính năng đó cũng có thể bị lợi dụng để xây dựng hạ tầng tấn công khó phát hiện.
R2 Storage: lưu trữ phishing và mã độc
Cloudflare R2 là dịch vụ lưu trữ object tương tự Amazon S3. Tin tặc có thể dùng nó để lưu file hoặc host website tĩnh.
Các nhà nghiên cứu phát hiện R2 thường được dùng để:
Lưu trữ trang phishing giả mạo cổng đăng nhập Microsoft hoặc dịch vụ cloud
Phát tán file malware hoặc loader
Làm điểm trung gian để tải xuống payload giai đoạn hai
Một báo cáo trước đó ghi nhận lưu lượng truy cập tới các trang phishing trên R2 tăng gấp 61 lần trong 6 tháng, cho thấy mức độ phổ biến của phương pháp này.
Cloudflare Pages cho phép triển khai website tĩnh trên mạng CDN toàn cầu. Kẻ tấn công có thể tạo các trang đăng nhập giả mạo nhưng được phân phối qua hạ tầng Cloudflare.
Vì nhiều doanh nghiệp tin tưởng domain thuộc Cloudflare, việc chặn chúng có thể gây ảnh hưởng tới dịch vụ hợp pháp. Điều này giúp phishing tồn tại lâu hơn trước khi bị phát hiện.
Cloudflare Workers: máy chủ điều khiển không máy chủ
Cloudflare Workers cho phép chạy mã JavaScript tại edge của mạng Cloudflare.
Tin tặc có thể lợi dụng Workers để:
Tạo hệ thống chuyển hướng người dùng tới trang phishing
Thiết lập proxy để đánh cắp thông tin đăng nhập
Vận hành máy chủ điều khiển (command‑and‑control – C2) dạng nhẹ
Một số chiến dịch còn dùng kỹ thuật transparent phishing: Workers đóng vai trò proxy cho trang đăng nhập thật, hiển thị trang hợp pháp cho nạn nhân nhưng bí mật thu thập thông tin đăng nhập.
Cloudflare Tunnels: che giấu hạ tầng độc hại
Cloudflare Tunnel cho phép xuất bản dịch vụ phía sau firewall ra Internet mà không lộ địa chỉ máy chủ gốc.
Kẻ tấn công lợi dụng tính năng này để:
Phát tán malware thông qua link trong email phishing
Lưu trữ payload phía sau subdomain Cloudflare
Che giấu máy chủ điều khiển khỏi các công cụ quét Internet
Một số chiến dịch malware đã sử dụng Tunnel để phân phối remote‑access trojan (RAT), giúp che giấu lưu lượng điều khiển từ xa.
Vì sao khó phát hiện
Việc sử dụng hạ tầng cloud hợp pháp mang lại nhiều lợi thế cho các chiến dịch gián điệp mạng.
Thứ nhất, lưu lượng HTTPS đi qua các nền tảng như Cloudflare hoặc Azure trông giống hệt lưu lượng SaaS hoặc CDN bình thường. Công cụ bảo mật rất khó phân biệt đâu là hoạt động hợp pháp và đâu là hành vi độc hại.
Thứ hai, các dịch vụ serverless cho phép kẻ tấn công thay đổi hành vi nhanh chóng. Ví dụ, mã chạy trên Workers có thể lập tức thay đổi URL chuyển hướng, payload hoặc hạ tầng C2.
Cuối cùng, việc phân tán hoạt động trên nhiều nhà cung cấp cloud khiến quá trình điều tra và truy vết trở nên phức tạp hơn.
Nhóm tin tặc nào đứng sau?
Các báo cáo công khai cho rằng chiến dịch có đặc điểm giống hoạt động gián điệp mạng có liên hệ với nhà nước, nhưng hiện vẫn chưa có kết luận chính thức về thủ phạm.
Một số nhà phân tích cho rằng hoạt động này có nét tương đồng với các chiến dịch của APT41, nhóm tin tặc liên quan tới Trung Quốc từng nhắm vào nhiều ngành như viễn thông, công nghệ và y tế trên toàn cầu.
APT41 từng sử dụng hạ tầng cloud và mạng CDN để che giấu máy chủ điều khiển trong các chiến dịch trước đây.
Tuy vậy, hiện không có bằng chứng xác nhận chiến dịch ở Malaysia do APT41, Mustang Panda hay Amaranth‑Dragon thực hiện. Nó vẫn được xếp vào nhóm hoạt động gián điệp mạng nghi ngờ có yếu tố nhà nước.
Vì sao Malaysia trở thành mục tiêu
Malaysia đang nổi lên như một trung tâm công nghệ trong khu vực Đông Nam Á. Chính phủ và doanh nghiệp đang đầu tư mạnh vào các lĩnh vực như:
trí tuệ nhân tạo (AI)
dữ liệu lớn
điện toán đám mây
trung tâm dữ liệu
Các khoản đầu tư kỹ thuật số đạt 163,6 tỷ ringgit năm 2024 và 87,4 tỷ ringgit năm 2025, cho thấy tốc độ tăng trưởng mạnh của nền kinh tế số.
Sự phát triển này biến nhiều tổ chức tại Malaysia thành mục tiêu hấp dẫn cho gián điệp mạng, vì chúng chứa các tài sản giá trị như:
thông tin đăng nhập cloud và danh tính doanh nghiệp
mã nguồn phần mềm và sở hữu trí tuệ
hạ tầng trung tâm dữ liệu
hệ thống số liên quan tới chính phủ
Xu hướng mới: gián điệp mạng “ẩn trong cloud”
Trường hợp tại Malaysia phản ánh xu hướng rộng hơn trong các chiến dịch tấn công hiện đại: thay vì dùng máy chủ độc hại dễ bị phát hiện, tin tặc chuyển sang ẩn hạ tầng trong các nền tảng cloud đáng tin cậy.
Khi hoạt động nằm trong dịch vụ hợp pháp như lưu trữ object, serverless hoặc CDN, kẻ tấn công hưởng lợi từ:
uy tín của nhà cung cấp cloud
lưu lượng mã hóa HTTPS giống hoạt động web thông thường
khả năng triển khai và thay đổi hạ tầng nhanh chóng
Đối với các đội bảo mật, điều này có nghĩa là việc chỉ dựa vào danh tiếng domain hoặc IP không còn đủ. Phát hiện tấn công ngày càng phụ thuộc vào phân tích hành vi, giám sát sử dụng dịch vụ cloud bất thường và kiểm soát luồng dữ liệu ra ngoài.
Khi nền tảng cloud tiếp tục mở rộng, những công cụ phục vụ ứng dụng hiện đại cũng có thể trở thành hạ tầng cho các chiến dịch gián điệp mạng thế hệ mới.
Comments
0 comments