Bản tin ThreatsDay đầu tiên của năm 2026 ra mắt vào một ngày mang tính biểu tượng – năm mới, các vụ vi phạm mới, những chiêu trò mới. Nếu 12 tháng qua đã dạy cho những người bảo vệ điều gì, thì đó là các tác nhân đe dọa không ngừng nghỉ trong các ngày lễ hay các quyết tâm. Chúng chỉ phát triển nhanh hơn. Bản tổng hợp tuần này cho thấy những thay đổi tinh tế trong hành vi, từ các chỉnh sửa mã đến các chiêu lừa đảo việc làm, đang định hình lại "tội phạm mạng" trong thực tế.
Trên khắp các lĩnh vực, các "ông lớn" đang bị thử thách, các mối đe dọa quen thuộc đang biến đổi, và những câu chuyện nhỏ hơn đang âm thầm báo hiệu những hình thái lớn hơn phía trước. Xu hướng không còn là về một vụ vi phạm lớn nữa; mà là về nhiều lỗ hổng nhỏ mà kẻ tấn công khai thác một cách chính xác.
Tốc độ khai thác, lừa đảo và kiên trì không hề chậm lại; nó chỉ trở nên có tính toán hơn. Mỗi bản cập nhật trong ấn phẩm này đều nhấn mạnh cách ranh giới giữa hoạt động bình thường và sự xâm nhập ngày càng mỏng manh theo từng tuần.
Dưới đây là cái nhìn sắc nét về những gì đang diễn ra bên dưới bề mặt thế giới an ninh mạng khi năm 2026 bắt đầu.
Lừa đảo mã độc KMSAuto bị triệt phá
Công dân Litva bị dẫn độ về Hàn Quốc vì cáo buộc phát tán mã độc
Một công dân Litva đã bị bắt vì cáo buộc liên quan đến việc lây nhiễm 2.8 triệu hệ thống bằng mã độc đánh cắp clipboard, được ngụy trang thành công cụ KMSAuto để kích hoạt phần mềm Windows và Office bất hợp pháp. Người đàn ông 29 tuổi này đã bị dẫn độ từ Georgia về Hàn Quốc. "Từ tháng 4 năm 2020 đến tháng 1 năm 2023, tin tặc đã phân phối 2.8 triệu bản mã độc trên toàn thế giới, ngụy trang dưới dạng chương trình kích hoạt giấy phép Windows bất hợp pháp (KMSAuto)," các nhà chức trách Hàn Quốc cho biết. "Thông qua mã độc này, tin tặc đã đánh cắp tài sản ảo trị giá khoảng 1.7 tỷ KRW (1.2 triệu USD) trong 8,400 giao dịch từ người dùng của 3,100 địa chỉ tài sản ảo." Nghi phạm bị cáo buộc đã sử dụng KMSAuto làm mồi nhử để lừa nạn nhân tải xuống một tệp thực thi độc hại hoạt động như một clipper malware.
Đợt khai thác ColdFusion bùng nổ trong kỳ nghỉ
Chiến dịch phối hợp nhắm mục tiêu Adobe ColdFusion
Một chiến dịch "coordinated exploitation" mới đã được quan sát nhằm vào các máy chủ Adobe ColdFusion trong kỳ nghỉ lễ Giáng sinh năm 2025. "Cuộc tấn công dường như là do một threat actor duy nhất hoạt động từ cơ sở hạ tầng ở Nhật Bản (CTG Server Limited)," GreyNoise cho biết. "Nguồn này chịu trách nhiệm cho khoảng 98% lưu lượng tấn công, khai thác một cách có hệ thống hơn 10 ColdFusion CVE từ năm 2023-2024." Hoạt động này bắt nguồn từ 8 địa chỉ IP duy nhất và tận dụng hơn 10 CVE khác nhau (CVE-2023-26359, CVE-2023-38205, CVE-2023-44353, CVE-2023-38203, CVE-2023-38204, CVE-2023-29298, CVE-2023-29300, CVE-2023-26347, CVE-2024-20767, và CVE-2023-44352) để nhắm mục tiêu vào Hoa Kỳ, Tây Ban Nha, Ấn Độ, Canada, Chile, Đức, Pakistan, Campuchia, Ecuador, và Pháp. Một số payload được triển khai sau exploitation cho phép direct code execution, credential harvesting (bằng cách truy cập "/etc/passwd"), và JNDI lookups.
Máy tính bảng Android bị cài đặt backdoor
Kaspersky phát hiện mã độc Keenadu được cài đặt sẵn mới
Kaspersky cho biết họ đã phát hiện mã độc được cài đặt sẵn trên một số mẫu máy tính bảng chạy Android. Mã độc này có tên mã là Keenadu. "Đó là một backdoor trong libandroid_runtime.so," công ty an ninh mạng của Nga cho biết. Mặc dù công ty vẫn chưa cung cấp thêm chi tiết, nhưng các backdoor loại này có thể cho phép remote access để data exfiltration, command execution, và các hình thức post-exploitation khác.
Trung tâm jailbreak AI bị đóng cửa
Subreddit r/ChatGPTjailbreak bị cấm
Reddit đã thực hiện hành động cấm r/ChatGPTJailbreak, một cộng đồng với hơn 229,000 người dùng chuyên tìm kiếm các cách thức và jailbreak để vượt qua các safety filter và guardrail do các nhà phát triển Large Language Models (LLMs) thiết lập. Reddit cho biết "cộng đồng này bị cấm vì vi phạm Quy tắc 8," đề cập đến bất kỳ nỗ lực nào có thể làm hỏng trang web hoặc can thiệp vào việc sử dụng bình thường của nó. "Không làm gián đoạn hoạt động của Reddit, không đưa malicious code vào Reddit, không gây khó khăn cho người khác sử dụng Reddit do hành động của bạn, không chặn các sponsored headline, không tạo các chương trình vi phạm bất kỳ API rules nào khác của chúng tôi, hoặc không hỗ trợ bất kỳ ai misuse Reddit dưới bất kỳ hình thức nào," quy tắc nêu rõ. Động thái này diễn ra sau một báo cáo của WIRED về cách một số người dùng chatbot chia sẻ hướng dẫn tạo non-consensual deepfake bằng cách sử dụng ảnh của phụ nữ mặc quần áo đầy đủ. Sau lệnh cấm, cộng đồng này đã tái xuất hiện tại chatgptjailbreak.tech trên một federated alternative gọi là Lemmy. Mặc dù subreddit này ban đầu là một red teaming hub để thảo luận về AI jailbreak, không cần phải nói rằng content được chia sẻ trên forum có tiềm năng kích hoạt indirect prompt injection, vì data (cùng với mọi thứ khác được đăng trên platform) cung cấp năng lượng cho Reddit Answers, và serves as a real-time dataset cho các model khác leverage Retrieval-Augmented Generation (RAG) techniques để incorporate new information. The development comes as prompt injection và jailbreak tiếp tục làm khổ artificial intelligence (AI) systems, với actors, cả tốt và xấu, liên tục exploring ways để circumvent protection put in place to prevent misuse. Indeed, a new study from Italy's Icaro Lab, Sapienza University of Rome, and Sant'Anna School of Advanced Studies đã phát hiện ra rằng các adversarial poetic prompt có Attack-Success Rate (ASR) cao hơn đối với các LLM và khiến chúng skirt contemporary safety mechanism designed to block production of explicit or harmful content like child sex abuse material, hate speech, and instruction on how to make chemical and nuclear weapon. "When prompt with identical task intent were presented in poetic rather than prose form, the Attack Success Rate (ASR) increased from 8.08% to 43.07%, on average – a fivefold increase," research said.
Máy Mac gia nhập danh sách mục tiêu GlassWorm
GlassWorm tái xuất hiện, lần này nhắm mục tiêu vào máy Mac
Chiến dịch supply chain được biết đến với tên gọi GlassWorm đã tái xuất hiện lần thứ tư với ba extension đáng ngờ trên chợ Open VSX, được thiết kế để nhắm mục tiêu độc quyền vào người dùng macOS. Các extension này đã thu hút 50,000 lượt tải xuống. Mục tiêu chính của các extension này là nhắm vào hơn 50 browser extension wallet và steal funds. Tên của các extension là: studio-velte-distributor.pro-svelte-extension, cudra-production.vsce-prettier-pro, và Puccin-development.full-access-catppuccin-pro-extension. Conspicuously absent are the invisible Unicode techniques and the Rust binaries. "Lần này, payload được bọc trong mã hóa AES-256-CBC và nhúng vào compiled JavaScript -- nhưng the core mechanism remains the same: fetch the current C2 endpoint from Solana, execute what it returns," Koi cho biết. "What's new is the target: code designed to replace hardware wallet application with trojanized version." Tính đến ngày 29 tháng 12 năm 2025, các C2 server endpoint cho các trojanized wallet đang trả về các tệp trống, suggesting that the campaign is still under development. The targeting of Macs is intentional, as the device are prevalent in cryptocurrency, Web3, and startup environment. The shift is complemented by the use of AppleScript for stealth execution instead of PowerShell and LaunchAgents for persistence. The malware, besides waiting for 15 minutes before activating its malicious behavior, is designed to facilitate the theft of iCloud Keychain database and developer credentials, such as GitHub tokens, npm tokens, and the contents of the ~/.ssh directory.
Cơ quan quản lý bị đánh lừa bởi chiến thuật "dọn dẹp"
Meta soạn "cẩm nang" trì hoãn nỗ lực chống lại kẻ lừa đảo
Khi Meta thu hút sự giám sát vì cho phép những kẻ lừa đảo quảng cáo thông qua nền tảng của mình, một báo cáo mới từ Reuters cho thấy công ty đã cố gắng chống lại áp lực từ các regulator để crack down on the threat bằng cách làm cho scam ads và problematic content "not findable" khi authority search for them thông qua Ad Library của mình, at the same time it launched an "enforcement blitz" để reduce the volume of offending ad. "To perform better on that test, Meta staffers found a way to manage what they called the 'prevalence perception' of scam ad returned by Ad Library search, the document show. First, they identified the top keyword and celebrity name that Japanese Ad Library user employed to find the fraudulent ad. Then they ran identical search repeatedly, deleting ad that appeared fraudulent from the library and Meta's platform," Reuters reported. "The tactic successfully removed some fraudulent advertising of the sort that regulator would want to weed out. But it also served to make the search result that Meta believed regulator were viewing appear cleaner than they otherwise would have." The search result cleanup effort was so successful that Japanese regulator did not enforce rule that would have otherwise required it to verify the identity of all its advertiser. The tactic was then added to its "general global playbook" để avoid regulatory scrutiny in other market, including the U.S., Europe, India, Australia, Brazil, and Thailand, according to leaked internal document. Meta has pushed back against the claim, stating the cleaning effort also helps to remove the ad from its system as well.
Nâng cấp smart contract bị khai thác
Unleash Protocol mất 3.9 triệu USD tiền điện tử sau vụ tấn công
Nền tảng sở hữu trí tuệ phi tập trung Unleash Protocol cho biết họ "detected unauthorized activity" involving its smart contract that led to the withdrawal and transfer of user funds worth approximately $3.9 million, per blockchain security company PeckShield. "Our initial investigation indicates that an externally owned address gained administrative control via Unleash's multisig governance and carried out an unauthorized contract upgrade," it said. "This upgrade enabled asset withdrawal that were not approved by the Unleash team and occurred outside our intended governance and operational procedure." Once they were withdrawn, the asset were bridged using third-party infrastructure and transferred to external address. The incident originated within Unleash Protocol's governance and permission framework, the company added. The stolen funds have been deposited into the Tornado Cash cryptocurrency mixing service in the form of 1,337.1 ETH. Users are advised to refrain from interacting with Unleash Protocol contract until further notice.
FTC phạt Disney vì vi phạm COPPA
Disney phải trả 10 triệu USD để giải quyết vi phạm quyền riêng tư trẻ em tại Hoa Kỳ
Bộ Tư pháp Hoa Kỳ (DoJ) cho biết Disney đã đồng ý trả khoản civil penalty 10 triệu USD như một phần của settlement để resolve Federal Trade Commission (FTC) allegation that the entertainment giant violated children's privacy law in connection with its YouTube video content. The FTC had argued that Disney failed to correctly designate YouTube video content as directed toward children, allowing the company to serve targeted ad on the platform and unlawfully collect their information without parental notice and consent. The order also bars Disney from operating on YouTube in a manner that violates child privacy law in the U.S. and requires it to create a program that will ensure it properly complies with COPPA on YouTube going forward.
Bộ công cụ lừa đảo lỗi giả mạo bị phơi bày
Dịch vụ ErrTraffic mới cho phép các cuộc tấn công ClickFix thông qua lỗi trình duyệt giả mạo
Một công cụ cybercrime mới có tên ErrTraffic cho phép threat actor tự động hóa các cuộc tấn công ClickFix bằng cách tạo ra các fake glitch trên compromised website để induce a false sense of urgency và deceive user into following malicious instruction. Hudson Rock, công ty đã mô tả chi tiết bộ toolkit này, cho biết "the comprehensive software suite industrializes the deployment of ClickFix lures." Dịch vụ này, advertised by a threat actor named "LenAI," is a cross-platform threat capable of targeting Windows, macOS, Linux, and Android to deliver tailored payload. The ErrTraffic control panel is a self-hosted PHP application that incorporates hard-coded exclusion for Commonwealth of Independent States (CIS) countries. Once set up, an attacker can connect the panel to compromised website via a single line of HTML injection. This allows them to serve information stealer và Android banking trojan via ClickFix-style instruction that claim to fix the issue by installing a browser update, downloading a system font, or pasting something in the command prompt.
Magecart phát triển thành hành vi ID theft
Chiến dịch Magecart mới được phát hiện
Source Defense Research đã cảnh báo về một chiến dịch Magecart toàn cầu mới, tấn công các checkout và account creation flow. Hoạt động này leverages modular, localized payload targeting service like Stripe, Mollie, PagSeguro, OnePay, and PayPal. It "uses fake payment form, phishing iframe, and silent skimming, plus anti-forensics trick (hidden input, Luhn-valid junk card)." The activity is also designed to steal credential and personal information, enabling account takeover and long-term persistence via rogue admin access. "This is Magecart evolving into [a] full identity compromise," it cho biết.
Hoạt động cyber activism có thể phủ nhận được làm rõ
Cách Hacktivist Proxies mang lại khả năng phủ nhận hợp lý
Hacktivist proxy operation refer to activity in which ideologically aligned, non-state cyber group conduct disruptive operation that align with state geopolitical interest without requiring formal sponsorship, command-and-control, or direct tasking. These activity primarily rely on public claim, volunteer participation, and low-complexity technique to impose psychological, political, and operational cost on adversary while allowing the benefiting state to enjoy plausible deniability. "The model follows a consistent activation sequence: geopolitical trigger event such as sanction, military assistance announcement, or diplomatic escalation are followed by rapid narrative mobilization in hacktivist communication channel, volunteer coordination, targeted disruptive activity (primarily DDoS attack, defacement, and symbolic intrusion), and public amplification of claimed impact," CYFIRMA cho biết. "Activity typically de-escalates once signalling objective are achieved, distinguishing these operation from sustained cybercrime or espionage campaign." The development comes as cyber operation have become an integral component to pursuing strategic geopolitical objective. Under the Hacktivist Proxy Operations model, ideologically aligned cyber group function as deniable instrument of pressure without direct control from the state. This allow hacktivist group to apply disruptive force or shape narrative in a manner that give the state a strategic advantage without assuming explicit responsibility.
OceanLotus thích nghi với Xinchuang
OceanLotus nhắm mục tiêu vào Sáng kiến Xinchuang của Trung Quốc
Năm 2022, chính phủ Trung Quốc đã đẩy mạnh một sáng kiến lớn mang tên Xinchuang nhằm mục tiêu technological self-reliance bằng cách thay thế foreign hardware và software bằng domestic alternative ở key sector like government and finance, with an aim to build an independent IT ecosystem và mitigate geopolitical risk. According to a new report from QiAnXin, the OceanLotus group has been targeting such domestic information innovation platform and Windows system using phishing lure containing desktop file, PDF document, and Java Archive (JAR) file to download next-stage payload. As of mid-2025, the threat actor was observed exploiting CVE-2023-52076 (CVSS score: 8.5), a remote code execution flaw impacting the Atril document viewer, to launch a desktop file that ultimately executes a Python downloader. "The ELF Trojan released by the OceanLotus group on indigenous innovation platform has slight difference from traditional Linux ELF file," QiAnXin said. "This indigenous innovation Trojan achieves a precise compatibility attack by zeroing out the three byte following the ELF file Magic Number (used to identify bitness, endianness, and version). This result in traditional Linux system refusing to execute the file due to format error, while the indigenous innovation platform can parse and run it normally. This carefully designed detail fully demonstrates OceanLotus's in-depth understanding of the underlying operation mechanism of domestic indigenous innovation system." Also deployed by OceanLotus is a passive backdoor targeting IoT device such as router.
Rủi ro chậm trễ xóa khóa AWS
Khai thác AWS IAM Eventual Consistency để duy trì quyền truy cập
Các nhà nghiên cứu đã phát hiện ra rằng AWS IAM eventual consistency tạo ra một khoảng thời gian 4 giây mà kẻ tấn công có thể khai thác, cho phép họ leverage deleted AWS access key. "The cause is eventual consistency in AWS Identity and Access Management and, if improperly handled, can be exploited by attacker to have access in your AWS environment, even after defender believe credential are revoked," OFFENSAI cho biết. "The distributed nature of AWS infrastructure mean that credential validation, caching layer, and edge service may create brief window where revoked access key remain temporarily valid. In short, the attacker can use a deleted set of access key to create a new one, achieving persistence this way." To mitigate any potential security risk, AWS customer are advised to avoid long-term IAM access key and instead use temporary credential or leverage IAM role and federation for programmatic access to AWS service.
Mạng botnet proxy toàn cầu mới được phát hiện
Mạng IPCola Proxy mới xuất hiện
Một mạng proxy mới có tên IPCola ("ipcola[.]com") đã tuyên bố cung cấp hơn 1.6 triệu địa chỉ IP duy nhất bao gồm các thiết bị IoT, desktop, và mobile device từ hơn 100 quốc gia để bán. Phần lớn các infected device nằm ở Ấn Độ, Brazil, Mexico và Hoa Kỳ. "IPCola is a non-KYC proxy provider, allowing anyone to sign up on the platform, deposit crypto, and [...] start using the proxy without restriction," Synthient cho biết. "Like most platform, IPCola allow user to purchase residential, datacenter, and ISP proxy, each with its own drawback and advantage." Further infrastructure analysis has revealed that the service is powered by GaGaNode, a decentralized bandwidth monetization service that enable user and publisher to earn cryptocurrency for their bandwidth or monetize other people's bandwidth. User either have an option to run the standalone GaGaNode application or integrate into their app a Software Development Kit (SDK) that implement the proxy functionality. More significantly, the SDK facilitates remote code execution (RCE) on any device running the SDK, representing a major escalation of the threat. It's believed that a Chinese company named NuoChen is behind IPCola and its Chinese-only version, InstaIP.
Gian lận quảng cáo ẩn làm cạn kiệt thiết bị
GhostAd và SkyWalk Adware nhắm mục tiêu vào Android, iOS
Một large-scale Android adware campaign has been observed silently draining resource and interfering with normal phone use through persistent background activity. The campaign, dubbed GhostAd, leverage a network of at least 15 Android application on Google Play masquerading as harmless utility and emoji-editing tool. These app were cumulatively downloaded millions of time, with one of the app reaching the #2 spot in Google Play's "Top Free Tools" category. The name of some of the app are Vivid Clean and GenMoji Studio. All these app have since been removed from Google Play. "Behind their cheerful icon, these app created a persistent background advertising engine – one that kept running even after user closed or rebooted their device, quietly consuming battery and mobile data," Check Point cho biết. Besides enabling persistent execution via a foreground service, the malware uses a JobScheduler to trigger ad-loading task every time it's terminated. The attack appear to be concentrated around the Philippines, Pakistan, and Malaysia. "GhostAd integrates multiple legitimate advertising Software Development Kit (SDK), including Pangle, Vungle, MBridge, AppLovin, and BIGO, but uses them in a way that violate fair-use policy," the company said. "Instead of waiting for user interaction, the app continuously load, queue, and refresh ad in the background, using Kotlin coroutine to sustain the cycle. This design quietly generate ad impression and revenue, all while draining device resource." In a related development, DoubleVerify revealed detail of a fraud scheme codenamed SkyWalk that uses innocent-seeming iOS gaming app to charge advertiser for phony ad impression. The operation uses a set of iOS game that serve ad inside invisible browser window using the UniSkyWalking iOS mobile framework. "But when a user open one, the app also secretly launch hidden website on the user's iOS device," DoubleVerify cho biết. "As the user play 'Sushi Party' or 'Bicycle Race' in the app, the hidden site run in the background, undetected, serving ad no one see. Impression are reported. Advertiser get billed. Not a single ad is viewed by a human."
Amazon ngăn chặn âm mưu thâm nhập việc làm của DPRK
Amazon chặn kế hoạch công nhân IT của Triều Tiên
Tin tặc liên kết với Triều Tiên (DPRK) đã đánh cắp hơn 2 tỷ USD tiền điện tử vào năm 2025, a significant increase from the roughly $1.3 billion recorded in 2024. This include the record-breaking $1.5 billion Bybit heist in February 2025. Despite the overall jump in stolen cryptocurrency in 2025, the actual frequency of attack conducted by North Korean hacker has declined. This drop in operational tempo in the wake of the Bybit hack is likely an attempt to focus on laundering the stolen cryptocurrency. At the same time, Pyongyang's crypto theft operation are increasingly relying on its IT worker to land job at cryptocurrency exchange, custodian, and Web3 company. While North Korea's effort to infiltrate Western company with fake IT worker is well-known, 2025 may have been the first time the IT army has shifted from securing position to posing as recruiter for crypto and other type of Web3 business. As part of these effort, the threat actor run fake technical assessment that grant them unauthorized access to developer machine and ultimately steal credential and source code, giving them remote access to target network. The pervasive threat posed by the IT worker threat was exemplified recently by Amazon, which stopped more than 1,800 suspected North Korea operative from joining its workforce since April 2024. "We've detected 27% more DPRK-affiliated application quarter over quarter this year," the tech giant's chief security officer, Stephen Schmidt, cho biết last month. In one case, Amazon cho biết it caught an IT worker by identifying an "infinitesimal delay in the typed command." The IT worker was hired by an Amazon contractor and was subsequently ousted from their system within day. "For year, the regime has weaponized crypto theft as a revenue engine for weapon proliferation, sanction evasion, and destabilizing activity," TRM Labs cho biết. "What the last three year make unmistakably clear is that North Korea is the most sophisticated, financially motivated cyber operator in the crypto theft ecosystem."
Năm bắt đầu mà không có khoảng lặng, chỉ có những chiêu trò mới và các cuộc tấn công âm thầm hơn. Tin tặc đang trở nên thông minh hơn, chứ không ồn ào hơn. Mỗi câu chuyện ở đây đều kết nối với một sự thay đổi lớn hơn: ít tiếng ồn, nhiều độ chính xác hơn. Năm 2026 đã và đang thử thách mức độ cảnh giác của chúng ta.
Những mối đe dọa quan trọng hiện nay không la hét. Chúng hòa mình vào – cho đến khi chúng không còn nữa.
