Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về một cuộc tấn công mạng nhắm vào một công ty bất động sản lớn có trụ sở tại Hoa Kỳ, liên quan đến việc sử dụng một framework command-and-control (C2) và red teaming mới nổi có tên là Tuoni.
"Chiến dịch đã khai thác framework Tuoni C2 mới nổi, một công cụ command-and-control (C2) tương đối mới (với giấy phép miễn phí) cung cấp các payload lén lút, hoạt động trong bộ nhớ," nhà nghiên cứu Shmuel Uzan của Morphisec cho biết trong một báo cáo chia sẻ với The Hacker News.
Tuoni được quảng cáo là một framework C2 tiên tiến được thiết kế cho các chuyên gia bảo mật, tạo điều kiện cho các hoạt động kiểm thử xâm nhập (penetration testing), các cuộc tấn công của đội đỏ (red team engagements) và đánh giá bảo mật (security assessments). Một "Community Edition" của phần mềm có sẵn miễn phí để tải xuống từ GitHub. Nó được phát hành lần đầu vào đầu năm 2024.
Cuộc tấn công, theo Morphisec, diễn ra vào giữa tháng 10 năm 2025, với kẻ tấn công chưa xác định có khả năng lợi dụng social engineering thông qua giả mạo Microsoft Teams để có được quyền truy cập ban đầu (initial access). Người ta nghi ngờ rằng những kẻ tấn công có thể đã giả làm nhà cung cấp hoặc đồng nghiệp đáng tin cậy để lừa một nhân viên của công ty chạy một lệnh PowerShell.
Lệnh này, về phần mình, tải xuống một script PowerShell thứ hai từ một máy chủ bên ngoài ("kupaoquan[.]com"), sau đó sử dụng các thủ thuật steganographic để che giấu payload giai đoạn tiếp theo bên trong một hình ảnh bitmap (BMP). Mục tiêu chính của payload nhúng là trích xuất shellcode và thực thi nó trực tiếp trong bộ nhớ.
Điều này dẫn đến việc thực thi "TuoniAgent.dll", tương ứng với một agent hoạt động trong máy mục tiêu và kết nối với máy chủ C2 (trong trường hợp này là "kupaoquan[.]com"), cho phép điều khiển từ xa.
"Mặc dù bản thân Tuoni là một framework C2 tinh vi nhưng truyền thống, cơ chế phân phối cho thấy dấu hiệu của sự hỗ trợ AI trong việc tạo mã, thể hiện rõ từ các bình luận đã được script và cấu trúc mô-đun của trình tải ban đầu," Morphisec cho biết thêm.
Cuộc tấn công, mặc dù cuối cùng không thành công, nhưng cho thấy sự lạm dụng liên tục các công cụ red teaming cho mục đích xấu. Vào tháng 9 năm 2025, Check Point đã trình bày chi tiết việc sử dụng một công cụ được hỗ trợ bởi trí tuệ nhân tạo (AI) có tên HexStrike AI để tăng tốc và đơn giản hóa việc khai thác lỗ hổng (vulnerability exploitation).
