Microsoft đã công bố chi tiết về một chiến dịch đánh cắp thông tin đăng nhập sử dụng các ứng dụng khách VPN giả mạo được phát tán thông qua kỹ thuật SEO poisoning.
Đội ngũ Microsoft Threat Intelligence và Microsoft Defender Experts cho biết: "Chiến dịch này chuyển hướng người dùng tìm kiếm phần mềm doanh nghiệp hợp pháp đến các tệp ZIP độc hại trên các trang web do kẻ tấn công kiểm soát để triển khai các trojan có chữ ký số mạo danh các ứng dụng khách VPN đáng tin cậy trong khi thu thập thông tin đăng nhập VPN."
Nhà sản xuất Windows, đã quan sát hoạt động này vào giữa tháng 1 năm 2026, đã gán cho nó cái tên Storm-2561, một nhóm hoạt động đe dọa được biết đến với việc phát tán phần mềm độc hại thông qua SEO poisoning và mạo danh các nhà cung cấp phần mềm phổ biến kể từ tháng 5 năm 2025.
Các chiến dịch của tác nhân đe dọa lần đầu tiên được ghi nhận bởi Cyjax, làm nổi bật việc sử dụng SEO poisoning để chuyển hướng người dùng tìm kiếm các chương trình phần mềm từ các công ty như SonicWall, Hanwha Vision và Pulse Secure (nay là Ivanti Secure Access) trên Bing đến các trang web giả mạo và lừa họ tải xuống trình cài đặt MSI triển khai Bumblebee loader.
Một lần lặp lại sau đó của cuộc tấn công đã được tiết lộ bởi Zscaler vào tháng 10 năm 2025. Chiến dịch này được quan sát thấy đã lợi dụng người dùng tìm kiếm phần mềm hợp pháp trên Bing để phát tán một ứng dụng khách Ivanti Pulse Secure VPN bị trojan hóa thông qua các trang web giả mạo ("ivanti-vpn[.]org") mà cuối cùng đã đánh cắp thông tin đăng nhập VPN từ máy của nạn nhân.
Microsoft cho biết hoạt động này làm nổi bật cách các tác nhân đe dọa lợi dụng sự tin tưởng vào xếp hạng công cụ tìm kiếm và thương hiệu phần mềm như một chiến thuật kỹ thuật xã hội (social engineering) để đánh cắp dữ liệu từ người dùng tìm kiếm phần mềm VPN doanh nghiệp. Vấn đề càng trở nên phức tạp hơn khi các nền tảng đáng tin cậy như GitHub bị lạm dụng để lưu trữ các tệp cài đặt.
Cụ thể, kho lưu trữ GitHub chứa một tệp ZIP có chứa tệp cài đặt MSI mạo danh phần mềm VPN hợp pháp, nhưng lại sideload các tệp DLL độc hại trong quá trình cài đặt. Mục tiêu cuối cùng, như trước đây, là thu thập và trích xuất thông tin đăng nhập VPN bằng cách sử dụng một biến thể của công cụ đánh cắp thông tin có tên Hyrax.
Một hộp thoại đăng nhập VPN giả mạo, nhưng thuyết phục, được hiển thị cho người dùng để thu thập thông tin đăng nhập. Khi thông tin được nạn nhân nhập vào, họ sẽ nhận được thông báo lỗi và được hướng dẫn tải xuống ứng dụng khách VPN hợp pháp. Trong một số trường hợp, họ được chuyển hướng đến trang web VPN hợp pháp.
Phần mềm độc hại sử dụng khóa registry Windows RunOnce để thiết lập khả năng tồn tại dai dẳng (persistence), để nó được thực thi tự động mỗi khi hệ thống khởi động lại.
Microsoft cho biết: "Chiến dịch này thể hiện các đặc điểm nhất quán với các hoạt động tội phạm mạng có động cơ tài chính do Storm-2561 thực hiện." "Các thành phần độc hại được ký số bởi 'Taiyuan Lihua Near Information Technology Co., Ltd.'"
Gã khổng lồ công nghệ này đã gỡ bỏ các kho lưu trữ GitHub do kẻ tấn công kiểm soát và thu hồi chứng chỉ hợp lệ để vô hiệu hóa hoạt động.
Để chống lại các mối đe dọa như vậy, các tổ chức và người dùng được khuyên nên triển khai xác thực đa yếu tố (MFA) trên tất cả các tài khoản, thận trọng khi tải phần mềm từ các trang web và đảm bảo rằng chúng là xác thực.
