Bản tin ThreatsDay: RaaS FortiGate, Khai thác lỗ hổng Citrix, Lạm dụng MCP, Phishing qua LiveChat & Hơn thế nữa

RaaS mới nổi khai thác các lỗ hổng FortiGate

Thông tin chi tiết về The Gentlemen RaaS

Group-IB đã làm rõ các chiến thuật khác nhau được nhóm The Gentlemen, một hoạt động Ransomware-as-a-Service (RaaS) mới nổi gồm khoảng 20 thành viên, áp dụng. Nhóm này bắt nguồn từ một tranh chấp thanh toán sau khi nhà điều hành "hastalamuerte" mở một chủ đề trọng tài công khai trên diễn đàn tội phạm mạng RAMP, cáo buộc các nhà điều hành ransomware Qilin về khoản hoa hồng liên kết chưa thanh toán lên tới $48.000. Nhóm này chủ yếu sử dụng CVE-2024-55591, một lỗ hổng authentication bypass nghiêm trọng trong FortiOS/FortiProxy, để truy cập ban đầu. "Công ty cho biết: 'Nhóm duy trì một cơ sở dữ liệu hoạt động với khoảng 14.700 thiết bị FortiGate đã bị exploit trên toàn cầu.' 'Ngoài các thiết bị đã bị exploit, các nhà điều hành còn duy trì 969 thông tin xác thực VPN của FortiGate bị brute-force thành công, sẵn sàng cho cuộc tấn công.' The Gentlemen cũng sử dụng kỹ thuật defense evasion thông qua bring your own vulnerable driver (BYOVD) để chấm dứt các quy trình bảo mật ở cấp kernel. Khoảng 94 tổ chức đã bị nhóm đe dọa này tấn công kể từ khi nó xuất hiện vào tháng 7/8 năm 2025.

Chuỗi RCE tiền xác thực trong nền tảng ITSM

Nhiều lỗ hổng trong BMC FootPrints

Bốn lỗ hổng security (CVE-2025-71257, CVE-2025-71258, CVE-2025-71259 và CVE-2025-71260) đã được tiết lộ trong BMC FootPrints, một giải pháp ITSM được triển khai rộng rãi, có thể được nối chuỗi thành remote code execution tiền xác thực. Trình tự tấn công bắt đầu bằng một authentication bypass (CVE-2025-71257) trích xuất một guest session token ("SEC_TOKEN") từ password reset endpoint, sau đó được sử dụng để tiếp cận một Java deserialization sink chưa được làm sạch (CVE-2025-71260) trong tham số "__VIEWSTATE" của endpoint "/aspnetconfig". Khai thác thông qua chuỗi gadget AspectJWeaver cho phép arbitrary file write vào Tomcat web root directory, achieving full remote code execution. Với SEC_TOKEN, kẻ tấn công cũng có thể exploit hai lỗ hổng SSRF (CVE-2025-71258 và CVE-2025-71259) và có khả năng làm lộ internal data. Các vấn đề này đã được khắc phục vào tháng 9 năm 2025.

Loader triển khai malware C2 tàng hình

Hijack Loader phát tán SnappyClient

Malware loader có tên Hijack Loader đang được sử dụng để phân phối một framework command-and-control (C2) dựa trên C++ chưa từng được ghi nhận trước đây, được gọi là SnappyClient. "Zscaler ThreatLabz cho biết: 'SnappyClient có một danh sách mở rộng các khả năng, bao gồm taking screenshots, keylogging, một remote terminal và data theft từ browsers, extensions và các applications khác.' SnappyClient sử dụng nhiều evasion techniques để cản trở endpoint security detection, bao gồm một Antimalware Scan Interface (AMSI) bypass, cũng như implementing Heaven’s Gate, direct system calls và transacted hollowing. SnappyClient receives two configuration files from the C2 server, which contain a list of actions to perform when a specified condition is met, along with another that specifies applications to target for data theft." Framework này được phát hiện lần đầu vào tháng 12 năm 2025. Chuỗi tấn công bao gồm việc phân phối các malicious payloads sau khi người dùng visits a website impersonating the Spanish telecom firm Telefónica. Đánh giá cho thấy mục đích chính của SnappyClient là cryptocurrency theft, với khả năng có mối liên hệ giữa các nhà phát triển HijackLoader và SnappyClient dựa trên observed code similarities.

Lạm dụng Deep link cho phép thực thi lệnh

CursorJack lạm dụng Deep Link để thực thi lệnh

Proofpoint đã trình bày chi tiết một kỹ thuật mới gọi là CursorJack lạm dụng hỗ trợ của Cursor đối với deep links của Model Context Protocol (MCP) để cho phép local command execution hoặc install a malicious remote MCP server. Cuộc tấn công lợi dụng việc các MCP servers commonly specify a command in their "mcp.json" configuration. "Công ty cho biết: 'The cursor:// protocol handler could be abused through social engineering in specific configurations.' A single click followed by user acceptance of an install prompt could result in arbitrary command execution. The technique could be leveraged both for local code execution via the command parameter or to install a malicious remote MCP server via the URL parameter." Công ty enterprise security này cũng đã phát hành một proof-of-concept (PoC) exploit trên GitHub.

Khai thác hàng loạt các lỗ hổng Citrix

Chiến dịch mới nhắm vào các lỗ hổng Citrix

Một chiến dịch mới đang tích cực nhắm mục tiêu vào các security flaws đã biết trong Citrix NetScaler (CVE-2025-5777 và CVE-2023-4966). Theo Defused Cyber, hơn 500 nỗ lực exploit đã được ghi nhận chống lại hệ thống honeypot của họ vào ngày 16 tháng 3 năm 2026. "Họ cho biết: 'Highly elevated exploit activity against older vulnerabilities can often precede a zero-day vulnerability.'"

Phishing trên Teams cấp quyền truy cập từ xa

Chiến dịch Phishing gia tăng giả mạo nhân viên IT

Rapid7 cho biết họ đang chứng kiến sự gia tăng các phishing campaigns, trong đó các threat actors impersonate internal IT departments via Microsoft Teams. "Họ nói thêm: 'The primary objective is to persuade users to launch Quick Assist, granting the TA remote access to deploy malware, exfiltrate data, or facilitate lateral movement across the network.' The recent surge in Teams-based delivery highlights a critical vulnerability in how organizations manage external access. Teams often allows any external user to message internal staff. This is the functional equivalent of operating an email server without a gateway filter."

ClickFix phân phối backdoor AutoHotKey

Cuộc tấn công ClickFix dẫn đến backdoor AutoHotKey

Một new ClickFix-style campaign đã compromised a Pakistani government website ("wasafaisalabad.gop[.]pk") để deliver fake CAPTCHA lures. The attack chain installs an MSI installer via a disguised clipboard command, which drops an AutoHotKey-based backdoor polling a remote server for tasks, Gen Digital said. It's currently not known how the website was breached. The social engineering tactic has proved so effective that even nation-state groups such as North Korea's Lazarus group, Iran's MuddyWater, and Russia’s APT28 have adopted it. In January, researchers from Sekoia reported that a separate ClickFix framework dubbed IClickFix had been injected into over 3,800 WordPress sites since 2024.

Phần mềm đánh cắp nâng cấp lây lan qua game lậu

Phiên bản ACRStealer cập nhật được phát hiện

The malware loader known as Hijack Loader is being used to deliver an updated version of an information stealer referred to as ACRStealer. "G DATA said: 'This updated variant follows similar evasion techniques and C2 initialization strategy to make it even stealthier.' This integration with HijackLoader highlights ACRStealer's versatility and modularity, which will likely attract more malicious actors to use it as a final payload." In these campaigns, Hijack Loader is downloaded from the domain associated with PiviGames, a Spanish portal hosting pirated PC games. The development comes against the backdrop of another campaign that involved several cases of malware being distributed through PiviGames.

Phishing qua live chat đánh cắp dữ liệu nhạy cảm

Chiến dịch Phishing lạm dụng LiveChat

A new phishing campaign has been observed using LiveChat, a customer service software featuring live messaging, to steal data. Phishing emails using refund-related themes are used to redirect users to a link hosted via LiveChat's service ("direct.lc[.]chat"), from where they are asked to click on a link sent in the chat to complete the refund by entering their personal and financial information. "Cofense said: 'Unlike typical refund scams or credential phishing, this campaign engages victims through a real-time chat interface, impersonating well-known brands in order to harvest sensitive data such as account credentials, credit card details, multi-factor authentication (MFA) codes, and other personally identifiable information (PII).'"

RagaSerpent mở rộng hoạt động gián điệp đa khu vực

RagaSerpent nhắm mục tiêu vào Indonesia và Thái Lan

A SideWinder-adjacent cluster known as RagaSerpent is suspected to be leveraging tax audit and government compliance themes in spear-phishing emails to deliver multi-stage malware for command-and-control (C2) and establish sustained access across targeted organizations in Southeast Asia, including Indonesia and Thailand. The attack chain is consistent with a prior campaign targeting India using similar tax-related lures to deliver a legitimate enterprise tool called SyncFuture TSM, developed by a Chinese company. "ITSEC Asia said: 'This is not unusual in APT operations: in-country targeting can be used to complicate attribution (e.g., by creating noisy 'domestic' victimology) or to reach foreign diplomats/missions operating inside India—a pattern explicitly noted in reporting on SideWinder’s broader geographic targeting and diplomatic victim set.' The recent campaigns show the threat actor has expanded its operations beyond South Asia and into Africa, Europe, the Middle East, and Southeast Asia."

Truy cập không xác thực làm lộ dữ liệu thiết bị

DJI vá lỗ hổng bảo mật trong robot hút bụi thông minh Romo

DJI has patched a security flaw in its backend that could have allowed attackers to take over all its Romo smart vacuums. Security researcher Sammy Azdoufal said DJI servers returned data for any device just by providing a device serial number. DJI shared the data on any device without any authentication or authorization. The researcher said he was able to map the locations of more than 7,000 Romo smart vacuums and 3,000 DJI portable power stations that shared the same server.

Lớp mật khẩu mới tăng cường bảo mật tài khoản

WhatsApp thử nghiệm mật khẩu chữ và số

WhatsApp has begun testing support for setting an alphanumeric account password. It can be anywhere between six and 20 characters long and should include at least one letter and one number. Adding an alphanumeric password to the equation is likely an effort to make brute-force attempts harder. For example, if a threat actor carries out a SIM swap to intercept messages and bypass two-factor authentication, they would still need to enter the 6-20 character-long password to gain access to the victim's WhatsApp account. 

Nhóm ransomware bị nghi ngờ là giả mạo

0APT là gì?

More evidence has emerged that the 0APT ransom group is likely a fake and a fraud. "Intel 471 said: 'Thus far, the threat actor has not provided credible proof of ransomware or data exfiltration attacks as the data samples on the DLS appeared to be fabricated.' For example, the files that supposedly contained metadata of data stolen from victim networks were unusually large, reaching several terabytes each. Additionally, partial downloads of those files indicated they did not contain any useful data, and in fact, we observed several instances in which the content contained a repeating pattern of null bytes."

Google chặn hàng triệu ứng dụng độc hại

Google từ chối 1,75 triệu ứng dụng Android vi phạm chính sách vào năm 2025

Google rejected 1.75 million policy-violating Android apps and blocked more than 80,000 developer accounts from the Google Play Store in 2025, down from 2.36 million apps and 158,000 accounts in 2024. The company said that through 2025, it blocked more than 255,000 Android apps from obtaining excessive access to sensitive user data, and that it implemented more than 10,000 safety checks on published apps and strengthened detection capabilities by integrating Google's latest generative artificial intelligence (AI) models into the review process. Android's built-in security suite, Play Protect, which now scans over 350 billion apps every day, has identified over 27 million malicious apps sideloaded from outside Google Play. Play Protect's 'enhanced fraud protection' has been expanded to cover over 2.8 billion Android devices in 185 markets, blocking 266 million installation attempts from 872,000 unique risky apps. In a related development, the tech giant has made available Scam Detection for phone calls on Google Pixel devices in the U.S., U.K., Australia, Canada, France, Germany, India, Ireland, Italy, Japan, Mexico, and Spain. It's also being expanded to Samsung Galaxy S26 series in the U.S.

1% lỗ hổng gây ra hầu hết các cuộc tấn công

1% lỗ hổng bảo mật gây ra hầu hết các cuộc tấn công mạng vào năm 2025

A report from VulnCheck found that a mere 1% of 2025 CVEs were exploited in the wild by the end of the year. Network edge devices accounted for a third of all products exploited last year. "The cybersecurity company said: 'There was a small decrease (-13%) in new vulnerabilities linked to named state-sponsored threat groups and APTs over the course of 2025.' New CVE exploits attributed to China-nexus groups increased while Iranian exploit activity fell." Another report from IBM X-Force revealed that there has been a 44% increase in cyberattacks exploiting public-facing applications.

EU gia hạn quy định phát hiện CSAM

Châu Âu bỏ phiếu gia hạn quy tắc tự nguyện phát hiện CSAM đến năm 2027

The European Parliament has voted to extend a temporary exemption to E.U. privacy legislation that allows online platforms to voluntarily detect child sexual abuse material (CSAM) until August 2027. Lawmakers said the additional time will allow the bloc to negotiate and adopt a long-term legal framework to prevent and combat CSAM online.

Malware AOT né tránh phân tích và phát hiện

URL Phishing phát tán Rhadamanthys và XMRig Miner

A previously undocumented attack chain delivered via a phishing URL has been found to distribute a ZIP archive containing a C++ trojan downloader, which then initiates a loader responsible for decrypting and staging the Rhadamanthys stealer and XMRig cryptocurrency miner. "Cyderes said: 'The campaign's core evasion relies on .NET Native Ahead-of-Time (AOT) compiled binaries, which strip traditional .NET metadata, frustrate common .NET analysis tools, and force analysts to fall back on native-level tooling, making detection and reverse engineering significantly harder.' Sophisticated anti-analysis capabilities: The AOT loader employs a sandbox scoring system evaluating RAM size, system uptime, user file counts, and AV process presence; virtual machine detection via registry inspection; and active suppression of miner activity when monitoring tools like Task Manager, Process Hacker, or x64dbg are detected."

Sự tràn lan của secrets gia tăng trên GitHub

28,65 triệu secrets mã hóa cứng mới được thêm vào các commit công khai trên GitHub vào năm 2025

GitGuardian's State of Secrets Sprawl report has found that 28,649,024 new secrets were added to public GitHub commits in 2025 alone, up 34% from the previous year. The figure also represents a 152% increase in leaked secrets growth since 2021. In 2025, AI service secrets reached 1,275,105, up 81% year-over-year. GitGuardian also identified 24,008 unique secrets exposed in MCP-related configuration files across public GitHub, including 2,117 unique valid credentials.

Các theme độc hại chèn quảng cáo và chuyển hướng

6 Theme Packagist độc hại chứa jQuery bị Trojan hóa

Six malicious Packagist packages posing as OphimCMS themes have been found to contain trojanized jQuery that exfiltrates URLs, injects full-screen overlay ads, and loads Funnull-linked redirects. The packages are ophimcms/theme-dy, ophimcms/theme-mtyy, ophimcms/theme-rrdyw, ophimcms/theme-pcc, ophimcms/theme-motchill, and ophimcms/theme-legend. "Socket said: 'All six ship trojanized JavaScript assets, primarily disguised as legitimate jQuery libraries, that redirect visitors, exfiltrate URLs, inject ads, and in the most severe case load a second-stage payload – a mobile-targeted redirect to gambling and adult content sites, from infrastructure operated by Funnull.'"

Phishing đa giai đoạn bypass các bộ lọc bảo mật

Outpost24 bị tấn công Phishing 7 giai đoạn

A C-level executive at Swedish security firm Outpost24 was targeted in a sophisticated phishing attack. The multi-chain redirect phishing campaign impersonated JPMorgan Chase to trick the recipient into reviewing a document by clicking on a link and triggering the infection. The link is a redirect URL hosted within Cisco's infrastructure, which then initiates a series of URL redirects that leverage trusted services like Nylas as well as compromised legitimate infrastructure to bypass security filters and conceal the final phishing destination. "Specops said: 'Several stages redirect victims through legitimate or previously reputable domains, reducing the likelihood that security scanners or reputation-based filtering will block the link.' The attackers went as far as to implement a legitimate Cloudflare-based 'human validation' step to ensure that only real people saw the actual landing page where credentials are requested." The attack, ultimately unsuccessful, is said to have used a new phishing-as-a-service (PhaaS) toolkit named Kratos.