Ngày càng khó phân biệt đâu là công nghệ bình thường và đâu là ý đồ độc hại. Kẻ tấn công không còn chỉ đột nhập mà còn hòa mình vào, chiếm quyền kiểm soát các công cụ hàng ngày, ứng dụng đáng tin cậy và thậm chí cả trợ lý AI. Những gì từng được coi là "câu chuyện hacker" rõ ràng giờ đây trông giống như một tấm gương phản chiếu các hệ thống mà tất cả chúng ta đang sử dụng.
Những phát hiện trong tuần này cho thấy một mô hình: chính xác, kiên nhẫn và thuyết phục. Các chiến dịch mới nhất không gây chú ý – chúng thì thầm qua các giao diện quen thuộc, các bản cập nhật giả mạo và mã được tinh chỉnh. Nguy hiểm không chỉ nằm ở những gì bị khai thác, mà còn ở vẻ ngoài bình thường của tất cả những điều đó.
ThreatsDay tập hợp những vấn đề này lại – từ mạng lưới doanh nghiệp đến công nghệ tiêu dùng – tiết lộ cách thao túng âm thầm và tự động hóa đang định hình lại bối cảnh mối đe dọa. Đây là lời nhắc nhở rằng tương lai của cybersecurity sẽ không phụ thuộc vào những bức tường lớn hơn, mà là vào nhận thức sắc bén hơn.
Khai thác công cụ mã nguồn mở
Lạm dụng Nezha cho Post-Exploitation
Các đối tượng độc hại đang lạm dụng công cụ giám sát mã nguồn mở có tên Nezha để giành quyền truy cập từ xa vào các máy chủ bị xâm nhập. Khả năng cho phép quản trị viên xem tình trạng hệ thống, thực thi lệnh, truyền tệp và mở các phiên terminal tương tác cũng khiến nó trở thành lựa chọn hấp dẫn cho các tác nhân đe dọa. Trong một sự cố được Ontinue điều tra, công cụ này đã được triển khai như một công cụ truy cập từ xa sau khai thác bằng một bash script, đồng thời trỏ đến một bảng điều khiển từ xa được lưu trữ trên cơ sở hạ tầng Alibaba Cloud đặt tại Nhật Bản. "Việc vũ khí hóa Nezha phản ánh một chiến lược tấn công hiện đại đang nổi lên, trong đó các tác nhân đe dọa lạm dụng có hệ thống phần mềm hợp pháp để đạt được sự kiên trì và lateral movement trong khi né tránh các biện pháp phòng thủ dựa trên chữ ký," Mayuresh Dani, quản lý nghiên cứu bảo mật tại Qualys cho biết. Việc lạm dụng Nezha là một phần trong những nỗ lực rộng lớn hơn, nơi kẻ tấn công tận dụng các công cụ hợp pháp để evade signature detection, blend with normal activity, và reduce development effort.
Quét khuôn mặt khi đăng ký SIM
Hàn Quốc yêu cầu quét khuôn mặt để mua SIM
Hàn Quốc sẽ bắt đầu yêu cầu người dân phải submit facial recognition khi đăng ký số điện thoại di động mới nhằm giải quyết các vụ scams và identity theft, theo Bộ Khoa học và ICT. "Bằng cách so sánh ảnh trên identification card với khuôn mặt thực của người giữ thẻ theo thời gian thực, chúng ta có thể ngăn chặn hoàn toàn việc activation của phones registered under a false name using stolen or fabricated IDs," Bộ cho biết. Chính sách mới này, áp dụng cho SK Telecom, Korea Telecom, LG Uplus và các mobile virtual network operators khác, có hiệu lực vào ngày 23 tháng 3 sau một pilot following a trial that began this week. Bộ Khoa học đã nhấn mạnh rằng không có data nào sẽ được stored as part of the new policy. "Chúng tôi nhận thức rõ rằng công chúng lo ngại do một series of hacking incidents at local mobile carriers," Bộ cho biết. "Contrary to concerns raised by some, no personal information is stored or saved, and it is immediately erased once identification is verified."
Mối đe dọa NFC trên Android tăng vọt
Phần mềm độc hại Android lạm dụng NFC tăng mạnh trong nửa cuối năm 2025
Dữ liệu từ ESET đã tiết lộ rằng detections of NFC-abusing Android malware grew by 87% between H1 and H2 2025. Sự gia tăng này đi kèm với sự tinh vi ngày càng tăng của NFC-based malware, chẳng hạn như harvesting of victims' contacts, disabling of biometric verification, và bringing together NFC attacks with remote access trojan (RAT) features and Automated Transfer System (ATS) capabilities. In these campaigns, malicious apps distributing malware such as PhantomCard prompt victims to hold their payment card near the phone and enter their PIN for authentication. In the process, the captured information is relayed to the attackers. "Recent innovations in the NFC sphere demonstrate that threat actors no longer rely solely on relay attacks: they are blending NFC exploitation with advanced capabilities such as remote access and automated transfers," ESET cho biết. "The efficiency of the scams is further fueled by advanced social engineering and technologies that can bypass biometric verification."
Các PoC giả mạo phát tán malware
Các PoC giả mạo dẫn đến WebRAT
Các tác nhân đe dọa hiện đang nhắm mục tiêu vào các inexperienced professionals và students in the information security field with fake proof-of-concept (PoC) exploits for security flaws such as CVE-2025-59295, CVE-2025-10294, and CVE-2025-59230 to trick them into installing WebRAT using a ZIP archive hosted in the repositories. "To build trust, they carefully prepared the repositories, incorporating detailed vulnerability information into the descriptions," Kaspersky cho biết. The repositories include detailed sections with overviews of the vulnerability, system impact, install guides, usage steps, and even mitigation advice. The consistency of the format of a professional PoC write-up suggests the descriptions are machine-generated to avoid detection. Present within the ZIP file is an executable named "rasmanesc.exe," that's capable of escalating privileges, disabling Microsoft Defender, and fetching WebRAT from an external server. Webrat is a backdoor that allows attackers to control the infected system, as well as steal data from cryptocurrency wallets, Telegram, Discord, and Steam accounts. It can also perform spyware functions such as screen recording, surveillance via a webcam and microphone, and keylogging. WebRAT is sold by NyashTeam, which also advertises DCRat.
GuLoader tăng đột biến
Các chiến dịch GuLoader tăng vọt vào cuối năm 2025
Các chiến dịch phân phối GuLoader (còn gọi là CloudEyE) đã đạt mức cao mới từ tháng 9 đến tháng 11 năm 2025, theo ESET, với đỉnh điểm detection cao nhất được ghi nhận tại Ba Lan vào ngày 18 tháng 9. "CloudEyE is multistage malware; the downloader is the initial stage and spreads via PowerShell scripts, JavaScript files, and NSIS executables," công ty cho biết. "These then download the next stage, which contains the crypter component with the intended final payload packed within. All CloudEyE stages are heavily obfuscated, meaning that they are deliberately difficult to detect and analyze, with their contents being compressed, encrypted, encoded, or otherwise obscured."
Lỗ hổng Chatbot bị phơi bày
Các lỗ hổng trong Chatbot AI của Eurostar
Nhiều vulnerabilities đã được tiết lộ trong chatbot artificial intelligence (AI) công khai của Eurostar có thể cho phép guardrail bypass bằng cách lợi dụng thực tế là frontend relays the entire chat history to the API while running checks only on the latest message to ensure it's safe. Điều này mở ra một kịch bản trong đó an attacker could tamper with earlier messages, which, when fed into the model's API, causes it to return unintended responses via a prompt injection. Other identified issues included the ability to modify message IDs to potentially lead to cross-user compromise and inject HTML code stemming from the lack of input validation. "An attacker could exfiltrate prompts, steer answers, and run scripts in the chat window," Pen Test Partners said. "The core lesson is that old web and API weaknesses still apply even when an LLM is in the loop." Some of these vulnerabilities have since been fixed, but not before a confusing disclosure process that saw the penetrating testing firm somehow being accused of blackmail by Eurostar's head of security on LinkedIn after asking, "Maybe a simple acknowledgement of the original email report would have helped?"
Phát hiện các lỗ hổng nghiêm trọng
Nhiều lỗ hổng trong cơ sở dữ liệu được phát hiện
Một hacking competition conducted by Wiz, zeroday.cloud, led to the discovery of 11 critical zero-day exploits affecting foundational open-source components used in critical cloud infrastructure, including container runtimes, AI infrastructure such as vLLM and Ollama, and databases like Redis, PostgreSQL, and MariaDB. The most severe of the flaws has been uncovered in Linux. "The vulnerability allows for a Container Escape, often enabling attackers to break out of an isolated cloud service, dedicated to one specific user, and spread to the underlying infrastructure that manages all users," Wiz cho biết. "This breaks the core promise of cloud computing: the guarantee that different customers running on the same hardware remain separate and inaccessible to one another. This further reinforces that containers shouldn't be the sole security barrier in multi-tenant environments."
Loader nhắm mục tiêu vào các ngành công nghiệp
Chiến dịch mới nhắm mục tiêu vào các tổ chức sản xuất và chính phủ
Các tổ chức Manufacturing và government in Italy, Finland, and Saudi Arabia are the target of a new phishing campaign that uses a commodity loader to deliver a wide range of malware, such as PureLogs, XWorm, Katz Stealer, DCRat, and Remcos RAT. "This campaign utilizes advanced tradecraft, employing a diverse array of infection vectors including weaponized Office documents (exploiting CVE-2017-11882), malicious SVG files, and ZIP archives containing LNK shortcuts," Cyble cho biết. "Despite the variety of delivery methods, all vectors leverage a unified commodity loader." The use of the loader to distribute a variety of malware indicates that the loader is likely shared or sold across different threat actor groups. A notable aspect of the campaign is the use of steganographic techniques to host image files on legitimate delivery platforms, thereby allowing the malicious code to slip past file-based detection systems by masquerading as benign traffic. The commodity loader is assessed to be Caminho based on similar campaigns detailed by Nextron Systems and Zscaler.
Teams có các cài đặt mặc định an toàn hơn
Microsoft tăng cường bảo mật cho Teams
Microsoft đã thông báo rằng Teams will automatically enable messaging safety features by default, including weaponizable file type protection, malicious URL protection, and reporting incorrect detections. The change will roll out starting January 12, 2026, to tenants that have not previously modified messaging safety settings and are still using the default configuration. "We're improving messaging security in Microsoft Teams by enabling key safety protections by default," Microsoft cho biết in a Microsoft 365 message center update. "This update helps safeguard users from malicious content and provides options to report incorrect detections." In addition, the Windows maker said security administrators will be able to block external users in Microsoft Teams via the Tenant Allow/Block List in the Microsoft Defender portal. The feature is expected to roll out in early January 2026 and be completed by mid-January. "This centralized approach enhances security and compliance by enabling organizations to control external user access across Microsoft 365 services," công ty cho biết.
Nguy cơ chiếm quyền trợ lý AI
Docker vá lỗ hổng Prompt Injection trong Ask Gordon
Docker đã vá một vulnerability in Ask Gordon, its AI assistant embedded in Docker Desktop and the Docker CLI. The flaw, discovered by Pillar Security in the beta version, is a case of prompt injection that enables attackers to hijack the assistant and exfiltrate sensitive data by poisoning Docker Hub repository metadata with malicious instructions. An attacker could have created a malicious Docker Hub repository that contained crafted instructions for the AI to exfiltrate sensitive data when unsuspecting developers ask the chatbot to describe the repository. "By exploiting Gordon's inherent trust in Docker Hub content, threat actors can embed instructions that trigger automatic tool execution – fetching additional payloads from attacker-controlled servers, all without user consent or awareness," security researcher Eilon Cohen cho biết. The issue was addressed in version 4.50.0 released on November 6, 2025.
Mối đe dọa vượt qua Firewall
Thiết bị IoT đối mặt với nguy cơ bị chiếm quyền kiểm soát âm thầm
Các nhà nghiên cứu đã chứng minh how to breach Internet of Things (IoT) devices through firewalls, without the need for any kind of software vulnerability. "We present a new attack technique that allows attackers anywhere in the world to impersonate target intranet devices, hijack cloud communication channels, spoof the cloud, and bypass companion app authentication, and ultimately achieve Remote Code Execution (RCE) with root privileges," researchers Jincheng Wang and Nik Xe cho biết. "Our research exposes flaws in existing cloud-device authentication mechanisms, and a widespread absence of proper channel verification mechanisms."
Mã hóa BitLocker nhanh hơn
Microsoft công bố BitLocker được tăng tốc phần cứng trong Windows 11
Microsoft cho biết it's rolling out hardware-accelerated BitLocker in Windows 11 to balance robust security with minimal performance impact. "Starting with the September 2025 Windows update for Windows 11 24H2 and the release of Windows 11 25H2, in addition to existing support for UFS (Universal Flash Storage) Inline Crypto Engine technology, BitLocker will take advantage of upcoming system on chip (SoC) and central processing unit (CPU) capabilities to achieve better performance and security for current and future NVMe drives," công ty cho biết. As part of this effort, BitLocker will hardware wrap BitLocker bulk encryption keys and offload bulk cryptographic operations from the main CPU to a dedicated crypto engine. "When enabling BitLocker, supported devices with NVMe drives, along with one of the new crypto offload capable SoCs, will use hardware-accelerated BitLocker with the XTS-AES-256 algorithm by default," the tech giant added.
Phishing nhắm mục tiêu vào Israel
Các thực thể Israel bị UNG0801 nhắm mục tiêu
Các công ty Information Technology (IT), Managed Service Providers (MSPs), human resources, and software development in Israel have become the target of a threat cluster likely originating from Western Asia that has used phishing lures written in Hebrew and designed to resemble routine internal communications to infect their systems with a Python- and Rust-based implants tracked as PYTRIC and RUSTRIC. The activity has been tracked by Seqrite Labs under the monikers UNG0801 and Operation IconCat. "A recurring pattern across the observed campaigns is the actor's heavy reliance on antivirus icon spoofing," công ty cho biết. "Branding from well-known security vendors, most notably SentinelOne and Check Point, is abused to create a false sense of legitimacy." The PDF attachment in the email messages instructs recipients to download a security scanner by clicking on a Dropbox link that delivers the malware. PYTRIC is equipped to scan the file system and perform a system-wide wipe. Attack chains distribute RUSTRIC leverage Microsoft Word documents with a malicious macro, which then extracts and launches the malware. Besides enumerating the antivirus programs installed on the infected host, it gathers basic system information and contacts an external server.
Công cụ diệt EDR được rao bán
NtKiller được quảng cáo trên các diễn đàn tội phạm mạng
Một threat actor known as AlphaGhoul is promoting a tool called NtKiller that they claim can stealthily terminate antivirus and security solutions, such as Microsoft Defender, ESET, Kaspersky, Bitdefender, and Trend Micro. The core functionality, per Outpost24, is available for $500, with a rootkit add-on and a UAC Bypass add-on costing $300 each. The disclosure comes weeks after a security researcher, who goes by the name Zero Salarium, demonstrated how Endpoint Detection and Response (EDR) programs can be undermined on Windows by exploiting the Bind Filter driver ("bindflt.sys"). In recent months, the security community has also identified ways to bypass web application firewalls (WAF) by abusing ASP.NET's parameter pollution, subvert EDRs using an in-memory Portable Executable (PE) loader, and even manipulate Microsoft Defender Antivirus to sideload DLL and delete executable files to prevent the service from running by exploiting its update mechanism to hijack its execution folder.
AI khai thác Blockchain
Các tác nhân AI tìm thấy 4,6 triệu đô la trong các Smart Contract Blockchain bị khai thác
Công ty AI Anthropic cho biết Claude Opus 4.5, Claude Sonnet 4.5, và GPT-5 developed exploits in blockchain smart contracts that would have allowed the theft of $4.6 million worth of digital assets. "Both agents uncovered two novel zero-day vulnerabilities and produced exploits worth $3,694, with GPT-5 doing so at an API cost of $3,476," Anthropic's Frontier Red Team cho biết. "This demonstrates as a proof-of-concept that profitable, real-world autonomous exploitation is technically feasible, a finding that underscores the need for proactive adoption of AI for defense."
Mồi nhử mới của Triều Tiên
ScarCruft đứng sau chiến dịch Artemis mới
Tác nhân đe dọa Triều Tiên được biết đến với tên ScarCruft đã được liên kết với một chiến dịch mới có tên Artemis that involves the adversary posing as a writer for Korean TV programs to reach out to targets for casting or interview arrangements. "A short self-introduction and legitimate-looking instructions are used to build trust," Genians cho biết. "The attacker distributes a malicious HWP file disguised as a pre-interview questionnaire or event guide document." The end goal of these attacks is to trigger the sideloading of a rogue DLL that ultimately delivers RokRAT, which uses Yandex Cloud for command-and-control (C2). The campaign gets its name from the fact that one of the identified HWP documents has its Last Saved By field set to the value "Artemis."
Thông tin sai lệch do AI thúc đẩy tăng vọt
CopyCop mở rộng hoạt động gây ảnh hưởng do AI điều khiển
Chiến dịch gây ảnh hưởng của Nga CopyCop (còn gọi là Storm-1516) đang sử dụng các công cụ AI để mở rộng nỗ lực tiếp cận toàn cầu, quietly deploying more than 300 inauthentic websites disguised as local news outlets, political parties, and even fact-checking organizations targeting audiences across North America, Europe, and other regions, including Armenia, Moldova, and parts of Africa. The primary objective is to further Russia's geopolitical goals and erode Western support for Ukraine. "What sets CopyCop apart from earlier influence operations is its large-scale use of artificial intelligence," Recorded Future cho biết. "The network relies on self-hosted LLMs, specifically uncensored versions of a popular open-source model, to generate and rewrite content at scale. Thousands of fake news stories and 'investigations' are produced and published daily, blending factual fragments with deliberate falsehoods to create the illusion of credible journalism."
Phishing theo chủ đề RomCom
SHADOW-VOID-042 đứng sau chiến dịch phishing theo chủ đề Trend Micro
Một threat cluster có tên SHADOW-VOID-042 đã được liên kết với một chiến dịch spear-phishing vào tháng 11 năm 2025 featuring a Trend Micro-themed social engineering lure to trick victims in the defense, energy, chemical, cybersecurity (including Trend and a subsidiary), and ICT sectors with messages instructing them to install a fake update for alleged security issues in Trend Micro Apex One. The activity, Trend Micro said, shares overlaps with prior campaigns attributed to RomCom (còn gọi là Void Rabisu), a threat actor with both financial and espionage motivations that aligned with Russian interests. However, in the absence of a definitive connection, the latter attack waves are being tracked under a separate temporary intrusion set. What's more, the November 2025 campaign shares tactical and infrastructure overlaps with another campaign in October 2025, which used alleged harassment complaints and research participation as social engineering lures. "The campaign utilized a multi-stage approach, tailoring every stage to the specific target machine and delivering intermediate payloads to a select number of targets," Trend Micro cho biết. The URLs embedded in the emails redirect victims to a fake landing page impersonating Cloudflare, while, in the background, attempts are made to exploit a now-patched Google Chrome security flaw (CVE-2018-6065) using a JavaScript file. In the event exploitation fails, they are taken to a decoy site named TDMSec, impersonating Trend Micro. The JavaScript file also contains shellcode responsible for gathering system information and contacting an external server to fetch a second-stage payload, which acts as a loader for an encrypted component that then proceeds to contact a server to obtain an unspecified next-stage malware. While Void Rabisu has exploited zero-day in the past, the new findings raise the possibility that it could be undergoing several changes.
Những câu chuyện trong tuần này không chỉ về các cuộc tấn công mới – chúng là một bức ảnh chụp nhanh về cách thế giới kỹ thuật số đang trưởng thành dưới áp lực. Mỗi exploit, mồi nhử giả mạo hoặc sự xoay chuyển AI là một dấu hiệu của các hệ thống đang được thử nghiệm trong thời gian thực. Điều rút ra không phải là hoảng loạn; đó là nhận thức. Chúng ta càng hiểu rõ cách các tactics này evolve, the less power they hold.
Cybersecurity hiện đang nằm ở ngã ba đường của sự tin cậy và tự động hóa. Khi AI học cách phòng thủ, nó cũng đang học cách đánh lừa. Sự căng thẳng đó sẽ định hình chương tiếp theo – và mức độ sẵn sàng của chúng ta để đối mặt với nó depends on what we choose to notice today.
Hãy tò mò, hãy skeptical, và đọc giữa các dòng. Những mối đe dọa lớn nhất thường ẩn mình trong những gì cảm thấy most routine – và đó chính là nơi the next breakthrough in defense will begin.
