⚡ Tóm tắt Tuần: Mã độc USB, React2Shell, Worm WhatsApp, Lỗ hổng AI IDE & Nhiều hơn nữa

Một tuần đầy hỗn loạn trong thế giới mã hóa nhưng lại tương đối bình lặng trên các trang tin tức. Một lỗi nghiêm trọng phá vỡ framework yêu thích của Internet, tin tặc theo đuổi các công cụ AI, ứng dụng giả mạo đánh cắp tiền mặt, và các cuộc tấn công mạng phá kỷ lục — tất cả chỉ trong vài ngày. Nếu bạn chớp mắt, bạn sẽ bỏ lỡ tốc độ thay đổi chóng mặt của bản đồ mối đe dọa. Các lỗ hổng mới đang được tìm thấy, công bố và khai thác chỉ trong vài giờ thay vì vài tuần. Các công cụ hỗ trợ AI được thiết kế để giúp các nhà phát triển nhanh chóng trở thành các bề mặt tấn công mới.

Tóm tắt tuần lễ an ninh mạng — Tổng quan tuần lễ an ninh mạng: Nhiều cuộc tấn công và lỗ hổng nghiêm trọng đã được phát hiện.

Các lỗ hổng mới đang được tìm thấy, công bố và khai thác chỉ trong vài giờ thay vì vài tuần. Các công cụ hỗ trợ AI được thiết kế để giúp các nhà phát triển nhanh chóng trở thành các bề mặt tấn công mới. Các nhóm tội phạm đang tái sử dụng các thủ thuật cũ với những vỏ bọc mới — ứng dụng giả mạo, cảnh báo giả mạo và niềm tin giả mạo.

Trong khi đó, các nhà bảo vệ đang chạy đua để vá các hệ thống, chặn các đợt tấn công DDoS lớn và phát hiện các chiến dịch gián điệp ẩn mình trong mạng lưới. Cuộc chiến diễn ra liên tục, với tốc độ không ngừng nghỉ.

Để tìm hiểu sâu hơn về những câu chuyện này, cùng với các công cụ an ninh mạng mới và các hội thảo trực tuyến sắp tới với chuyên gia, hãy xem bản tin ThreatsDay đầy đủ.

⚡ Điểm nóng An ninh mạng trong tuần

Lỗ hổng React Nghiêm trọng Nhất bị Tấn công — Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến React Server Components (RSC) đã bị khai thác rộng rãi chỉ trong vài giờ sau khi được công bố. Lỗ hổng, CVE-2025-55182 (điểm CVSS: 10.0), liên quan đến một trường hợp remote code execution có thể bị kích hoạt bởi kẻ tấn công không xác thực mà không yêu cầu bất kỳ thiết lập đặc biệt nào. Nó cũng được theo dõi dưới tên React2Shell. Amazon báo cáo rằng họ đã quan sát thấy các nỗ lực tấn công có nguồn gốc từ cơ sở hạ tầng liên quan đến các nhóm tin tặc Trung Quốc như Earth Lamia và Jackpot Panda chỉ vài giờ sau khi lỗ hổng được công bố rộng rãi. Coalition, Fastly, GreyNoise, VulnCheck và Wiz cũng đã báo cáo về các nỗ lực khai thác nhắm vào lỗ hổng này, cho thấy nhiều tác nhân đe dọa đang tham gia vào các cuộc tấn công cơ hội. Shadowserver Foundation cho biết họ đã phát hiện 28.964 địa chỉ IP dễ bị tấn công bởi lỗ hổng React2Shell tính đến ngày 7 tháng 12 năm 2025, giảm từ 77.664 vào ngày 5 tháng 12, với khoảng 10.100 địa chỉ ở Hoa Kỳ, 3.200 ở Đức và 1.690 ở Trung Quốc.

🔔 Tin tức nổi bật

Hơn 30 Lỗ hổng trong các IDE hỗ trợ AI — Nhà nghiên cứu bảo mật Ari Marzouk đã tiết lộ chi tiết về hơn 30 lỗ hổng bảo mật trong các Integrated Development Environments (IDEs) khác nhau được hỗ trợ bởi trí tuệ nhân tạo (AI), kết hợp các nguyên thủy prompt injection với các tính năng hợp pháp để đạt được data exfiltration và remote code execution. Các lỗ hổng này được gọi chung là IDEsaster. "Tất cả các AI IDEs (và các trợ lý mã hóa tích hợp với chúng) đều bỏ qua phần mềm cơ sở (IDE) trong mô hình mối đe dọa của chúng," Marzouk nói. "Họ coi các tính năng của mình là an toàn vốn có vì chúng đã tồn tại nhiều năm. Tuy nhiên, một khi bạn thêm các AI agents có thể hành động tự chủ, các tính năng tương tự có thể bị vũ khí hóa thành các nguyên thủy data exfiltration và RCE." Các bản vá đã được phát hành để khắc phục các vấn đề này, với Anthropic đã thừa nhận rủi ro thông qua một cảnh báo bảo mật.
Tin tặc Trung Quốc sử dụng BRICKSTORM để nhắm mục tiêu vào các tổ chức Hoa Kỳ — Các tác nhân đe dọa liên quan đến Trung Quốc, bao gồm UNC5221 và Warp Panda, đang sử dụng một backdoor có tên BRICKSTORM để duy trì sự tồn tại lâu dài trên các hệ thống bị xâm nhập, theo một khuyến nghị từ chính phủ Hoa Kỳ. "BRICKSTORM là một backdoor tinh vi cho môi trường VMware vSphere và Windows," Cybersecurity and Infrastructure Security Agency (CISA) cho biết. "BRICKSTORM cho phép các tác nhân đe dọa mạng duy trì quyền truy cập tàng hình và cung cấp các khả năng để khởi tạo, duy trì và command-and-control an toàn. Hoạt động này một lần nữa làm dấy lên lo ngại về khả năng duy trì của Trung Quốc trong việc xâm nhập sâu hơn vào critical infrastructure và mạng lưới các cơ quan chính phủ mà không bị phát hiện, thường trong thời gian dài. Các cuộc tấn công cũng làm tăng thêm những lo ngại kéo dài về hoạt động cyber espionage của Trung Quốc, vốn ngày càng nhắm mục tiêu vào edge networks và tận dụng các kỹ thuật living-off-the-land để tránh bị phát hiện."
GoldFactory nhắm mục tiêu vào Đông Nam Á bằng các ứng dụng ngân hàng giả mạo — Các tội phạm mạng liên quan đến một nhóm có động cơ tài chính được gọi là GoldFactory đã được quan sát đang thực hiện một đợt tấn công mới nhắm vào người dùng di động ở Indonesia, Thái Lan và Việt Nam bằng cách mạo danh các dịch vụ của chính phủ. Hoạt động này, được quan sát từ tháng 10 năm 2024, liên quan đến việc phân phối các ứng dụng ngân hàng đã sửa đổi hoạt động như một kênh truyền Android malware. Group-IB cho biết họ đã xác định hơn 300 mẫu ứng dụng ngân hàng đã sửa đổi độc đáo đã dẫn đến gần 2.200 trường hợp lây nhiễm ở Indonesia. Các chuỗi lây nhiễm liên quan đến việc mạo danh các cơ quan chính phủ và các thương hiệu địa phương đáng tin cậy, và tiếp cận các mục tiêu tiềm năng qua điện thoại để lừa họ cài đặt mã độc bằng cách hướng dẫn họ nhấp vào một liên kết được gửi trên các ứng dụng nhắn tin như Zalo. Các liên kết này chuyển hướng nạn nhân đến các trang đích giả mạo, giả làm danh sách ứng dụng trên Google Play Store, dẫn đến việc triển khai một remote access trojan như Gigabud, MMRat, hoặc Remo, vốn đã xuất hiện vào đầu năm nay sử dụng các chiến thuật tương tự như GoldFactory. Các droppers này sau đó mở đường cho payload chính lạm dụng các accessibility services của Android để tạo điều kiện điều khiển từ xa.
Cloudflare chặn cuộc tấn công DDoS kỷ lục 29.7 Tbps — Cloudflare đã phát hiện và giảm thiểu cuộc tấn công distributed denial-of-service (DDoS) lớn nhất từ trước đến nay, đo được ở mức 29.7 terabits per second (Tbps). Hoạt động này có nguồn gốc từ một DDoS botnet-for-hire được gọi là AISURU, vốn đã liên quan đến một số cuộc tấn công DDoS siêu lớn trong năm qua. Cuộc tấn công kéo dài 69 giây. Cloudflare không tiết lộ mục tiêu của cuộc tấn công. Botnet này đã nhắm mục tiêu nổi bật vào các nhà cung cấp dịch vụ viễn thông, các công ty trò chơi, các nhà cung cấp dịch vụ lưu trữ và các dịch vụ tài chính. Cloudflare cũng đã xử lý một cuộc tấn công DDoS 14.1 Bpps từ cùng một botnet. AISURU được cho là được cung cấp bởi một mạng lưới khổng lồ bao gồm ước tính từ 1-4 triệu máy chủ bị nhiễm trên toàn thế giới.
Brazil bị ảnh hưởng bởi Banking Trojan lây lan qua WhatsApp Worm — Người dùng Brazil đang bị nhắm mục tiêu bởi nhiều chiến dịch khác nhau tận dụng WhatsApp Web làm vector phân phối banking malware. Trong khi một chiến dịch được quy cho một tác nhân đe dọa có tên Water Saci phát tán một biến thể Casbaneiro, thì một loạt các cuộc tấn công khác đã dẫn đến việc triển khai Astaroth banking trojan. Sophos đang theo dõi nhóm thứ hai dưới tên STAC3150 kể từ ngày 24 tháng 9 năm 2025. "Mồi nhử cung cấp một tệp ZIP archive chứa tệp VBS hoặc HTA độc hại," Sophos cho biết. "Khi được thực thi, tệp độc hại này khởi chạy PowerShell để truy xuất các payload giai đoạn hai, bao gồm một script PowerShell hoặc Python thu thập dữ liệu người dùng WhatsApp và, trong các trường hợp sau, một MSI installer cung cấp mã độc Astaroth." Mặc dù có sự trùng lặp về chiến thuật, hiện tại vẫn chưa rõ liệu chúng có phải là tác phẩm của cùng một tác nhân đe dọa hay không. "Trong chiến dịch cụ thể này, mã độc lây lan qua WhatsApp," K7 Security Labs cho biết. "Vì tệp độc hại được gửi bởi một người đã có trong danh bạ của chúng ta, chúng ta có xu hướng không xác minh tính xác thực của nó giống như cách chúng ta làm nếu nó đến từ một người gửi không xác định. Sự tin tưởng này vào các liên hệ quen thuộc làm giảm sự thận trọng của chúng ta và tăng cơ hội mã độc được mở và thực thi."

‎️‍🔥 Các CVE nổi bật trong tuần

Tin tặc hành động nhanh chóng. Chúng có thể sử dụng các lỗi mới chỉ trong vài giờ. Một bản cập nhật bị bỏ lỡ có thể gây ra một vụ vi phạm lớn. Dưới đây là các lỗ hổng bảo mật nghiêm trọng nhất trong tuần này. Hãy kiểm tra chúng, khắc phục những gì quan trọng trước tiên và luôn được bảo vệ.

Danh sách tuần này bao gồm — CVE-2025-6389 (plugin Sneeit Framework), CVE-2025-66516 (Apache Tika), CVE-2025-55182 (React), CVE-2025-9491 (Microsoft Windows), CVE-2025-10155, CVE-2025-10156, CVE-2025-10157 (Picklescan), CVE-2025-48633, CVE-2025-48572 (Google Android), CVE-2025-11699 (nopCommerce), CVE-2025-64775 (Apache Struts), CVE-2025-59789 (Apache bRPC), CVE-2025-13751, CVE-2025-13086, CVE-2025-12106 (OpenVPN), CVE-2025-13658 (Industrial Video & Control Longwatch), CVE-2024-36424 (K7 Ultimate Security), CVE-2025-66412 (Angular), CVE-2025-13510 (Iskra iHUB and iHUB Lite), CVE-2025-13372, CVE-2025-64460 (Django), CVE-2025-13486 (plugin Advanced Custom Fields: Extended), CVE-2025-64772 (Sony INZONE Hub), CVE-2025-64983 (SwitchBot), CVE-2025-31649, CVE-2025-31361 (Dell ControlVault), CVE-2025-47151 (Entr'ouvert Lasso), CVE-2025-66373 (Akamai), CVE-2025-13654 (Duc), CVE-2025-13032 (Avast), CVE-2025-33211, CVE-2025-33201 (NVIDIA Triton), CVE-2025-66399 (Cacti), CVE-2025-20386, CVE-2025-20387 (Splunk), và CVE-2025-66476 (Vim for Windows).

📰 Tin tức An ninh mạng khắp Thế giới

USB bị xâm nhập được dùng để phát tán Crypto Miner — Một chiến dịch đang diễn ra đã được quan sát sử dụng các USB drives để lây nhiễm các máy chủ khác và triển khai cryptocurrency miners kể từ tháng 9 năm 2024. Trong khi một phiên bản trước của chiến dịch sử dụng các họ mã độc như DIRTYBULK và CUTFAIL, phiên bản mới nhất được AhnLab phát hiện sử dụng một batch script để khởi chạy một dropper DLL, sau đó khởi chạy PrintMiner, và cuối cùng cài đặt các payloads bổ sung, bao gồm XMRig. "Mã độc được ẩn trong một thư mục, và chỉ có một tệp shortcut có tên 'USB Drive' hiển thị," AhnLab cho biết. "Khi người dùng mở tệp shortcut, họ không chỉ thấy mã độc mà còn thấy các tệp của người dùng trước đó, khiến người dùng khó nhận ra rằng mình đã bị lây nhiễm mã độc." Sự phát triển này diễn ra khi Cyble cho biết họ đã xác định một chiến dịch nhắm mục tiêu Linux đang hoạt động, triển khai một botnet có nguồn gốc từ Mirai được đặt tên mã là V3G4, kết hợp với một cryptocurrency miner cấu hình fileless tinh vi. "Sau khi hoạt động, bot ngụy trang thành systemd-logind, thực hiện environment reconnaissance, tiến hành quét SSH raw-socket quy mô lớn, duy trì C2 communication liên tục và cuối cùng khởi chạy một Monero miner dựa trên XMRig được cấu hình động trong thời gian chạy," công ty cho biết.
Tên miền đầu tư tiền điện tử giả mạo bị thu giữ — U.S. Department of Justice's (DoJ) Scam Center Task Force đã thu giữ Tickmilleas[.]com, một trang web được những kẻ lừa đảo đặt tại khu phức hợp lừa đảo Tai Chang (còn gọi là Casino Kosai) ở làng Kyaukhat, Myanmar, sử dụng để nhắm mục tiêu và lừa đảo người Mỹ thông qua các vụ lừa đảo cryptocurrency investment fraud (CIF). "Tên miền tickmilleas[.]com được ngụy trang thành một nền tảng đầu tư hợp pháp để lừa nạn nhân gửi tiền của họ," DoJ cho biết. "Các nạn nhân đã sử dụng tên miền này báo cáo với FBI rằng trang web hiển thị lợi nhuận hấp dẫn trên những gì họ tin là khoản đầu tư của họ và hiển thị các khoản tiền gửi được cho là của những kẻ lừa đảo vào tài khoản của nạn nhân khi những kẻ lừa đảo hướng dẫn nạn nhân thực hiện các giao dịch được cho là đó." Cùng lúc đó, Meta đã xóa khoảng 2000 tài khoản liên quan đến khu phức hợp Tai Chang. Tên miền này cũng được cho là đã chuyển hướng khách truy cập đến các ứng dụng gian lận được lưu trữ trên Google Play Store và Apple App Store. Một số ứng dụng này đã bị gỡ xuống. Trong một động thái liên quan, các quan chức Campuchia đã đột kích một khu phức hợp lừa đảo mạng ở thủ đô Phnom Penh của nước này và bắt giữ 28 nghi phạm. Trong số 28 cá nhân bị giam giữ, 27 là công dân Việt Nam và một là công dân Campuchia. Các khu phức hợp lừa đảo mạng ở Campuchia đang chuyển dịch từ biên giới phía tây với Thái Lan sang phía đông, đến các địa điểm gần biên giới Việt Nam, theo Cyber Scam Monitor.
Bồ Đào Nha sửa đổi Luật Tội phạm mạng để miễn trừ các nhà nghiên cứu — Bồ Đào Nha đã sửa đổi luật cybercrime của mình để thiết lập một bến cảng an toàn pháp lý cho white hat security research và khiến hacking không bị trừng phạt trong các điều kiện nghiêm ngặt, bao gồm xác định các vulnerabilities nhằm cải thiện cybersecurity thông qua disclosure, không tìm kiếm bất kỳ lợi ích kinh tế nào, báo cáo ngay lập tức lỗ hổng cho chủ sở hữu hệ thống, xóa bất kỳ dữ liệu nào thu được trong thời gian nghiên cứu trong vòng 10 ngày kể từ khi lỗ hổng được khắc phục, và không vi phạm các quy định bảo mật dữ liệu như GDPR. Tháng 11 năm ngoái, Đức đã đưa ra một dự thảo luật cung cấp các biện pháp bảo vệ tương tự cho cộng đồng nghiên cứu khi phát hiện và báo cáo một cách có trách nhiệm các security flaws cho các nhà cung cấp.
Chi tiết về mã độc CastleRAT — Một remote access trojan có tên CastleRAT đã được phát hiện trong tự nhiên với hai bản dựng chính: một phiên bản Python và một phiên bản C đã biên dịch. Mặc dù cả hai phiên bản đều cung cấp các khả năng tương tự, Splunk cho biết bản dựng C mạnh mẽ hơn và có thể bao gồm các tính năng bổ sung. "Mã độc thu thập thông tin hệ thống cơ bản, chẳng hạn như tên máy tính, tên người dùng, machine GUID, public IP address và chi tiết sản phẩm/phiên bản, sau đó truyền đến C2 server," công ty thuộc sở hữu của Cisco cho biết. "Ngoài ra, nó có thể tải xuống và thực thi các tệp khác từ máy chủ và cung cấp một remote shell, cho phép kẻ tấn công chạy các lệnh trên máy bị xâm nhập." CastleRAT được quy cho một tác nhân đe dọa được gọi là TAG-150.
DoJ truy tố hai anh em vì xóa 96 cơ sở dữ liệu của chính phủ — DoJ đã truy tố hai anh em ở Virginia vì bị cáo buộc âm mưu đánh cắp thông tin nhạy cảm và xóa 96 cơ sở dữ liệu của chính phủ. Muneeb và Sohaib Akhter, cả hai đều 34 tuổi, đã đánh cắp dữ liệu và xóa các cơ sở dữ liệu vài phút sau khi họ bị sa thải khỏi vai trò nhà thầu của mình. Vụ việc đã ảnh hưởng đến nhiều cơ quan chính phủ, bao gồm IRS và DHS. Bloomberg đã báo cáo vào tháng 5 rằng nhà thầu là một công ty phần mềm có tên Opexus. "Nhiều cơ sở dữ liệu này chứa các bản ghi và tài liệu liên quan đến các vấn đề Freedom of Information Act do các bộ và cơ quan chính phủ liên bang quản lý, cũng như các tệp điều tra nhạy cảm của các thành phần chính phủ liên bang," DoJ cho biết. Hai anh em bị cáo buộc đã hỏi một artificial intelligence tool cách xóa system logs về các hành động của họ. Vào tháng 6 năm 2015, cặp anh em song sinh này đã bị kết án vài năm tù vì âm mưu thực hiện wire fraud, âm mưu truy cập máy tính được bảo vệ mà không được ủy quyền, và âm mưu truy cập máy tính chính phủ mà không được ủy quyền. Họ đã được thuê lại làm nhà thầu chính phủ sau khi mãn hạn tù. Muneeb Akhter phải đối mặt với mức án tối đa lên đến 45 năm tù, trong khi Sohaib Akhter có thể phải chịu án tối đa 6 năm.
NCSC của Vương quốc Anh ra mắt dịch vụ thông báo chủ động — National Cyber Security Center (NCSC) của Vương quốc Anh đã công bố giai đoạn thử nghiệm của một dịch vụ mới có tên Proactive Notifications, được thiết kế để thông báo cho các tổ chức trong nước về các vulnerabilities hiện có trong môi trường của họ. Dịch vụ này được cung cấp thông qua công ty an ninh mạng Netcraft và dựa trên thông tin công khai và quét internet. "Thông báo này dựa trên việc quét thông tin open source, chẳng hạn như các phiên bản phần mềm công khai," NCSC cho biết. "Dịch vụ được ra mắt để báo cáo một cách có trách nhiệm các vulnerabilities cho các system owners để giúp họ bảo vệ dịch vụ của mình."
Phân tích xu hướng Ransomware của FinCEN cho thấy sự sụt giảm trong các khoản thanh toán — Theo một phân tích mới được phát hành bởi U.S. Department of the Treasury's Financial Crimes Enforcement Network (FinCEN), các vụ việc ransomware được báo cáo cho cơ quan này đã giảm vào năm 2024, với 1.476 vụ việc sau khi các cơ quan thực thi pháp luật triệt phá hai nhóm ransomware nổi tiếng, BlackCat và LockBit. Các Financial institutions đã trả 734 triệu USD cho các băng đảng ransomware, giảm từ 1.1 tỷ USD vào năm 2023. "Số tiền trung bình của một giao dịch ransomware đơn lẻ là 124.097 USD vào năm 2022; 175.000 USD vào năm 2023; và 155.257 USD vào năm 2024," FinCEN cho biết. "Từ năm 2022 đến 2024, phạm vi số tiền thanh toán phổ biến nhất là dưới 250.000 USD." Hơn 2.1 tỷ USD đã được trả cho các nhóm ransomware từ năm 2022 đến 2024, với khoảng 1.1 tỷ USD được trả chỉ riêng trong năm 2023. Akira dẫn đầu với số lượng vụ việc được báo cáo cao nhất, ở mức 376, nhưng BlackCat nhận được số tiền thanh toán cao nhất, xấp xỉ 395.3 triệu USD.
Sinh viên Bangladesh đứng sau Botnet mới — Một sinh viên tin tặc từ Bangladesh được đánh giá là đứng sau một botnet mới nhắm mục tiêu vào các máy chủ WordPress và cPanel. "Thủ phạm đang sử dụng một botnet panel để phân phối các trang web mới bị xâm nhập cho người mua, chủ yếu là các tác nhân đe dọa Trung Quốc," Cyderes cho biết. "Các trang web chủ yếu bị xâm nhập thông qua các phiên bản WordPress và cPanel được cấu hình sai." Một số trang web bị xâm nhập được tiêm một web shell dựa trên PHP có tên Beima PHP và được cho thuê cho các tác nhân đe dọa khác với giá từ 3 đến 200 USD. Script PHP backdoor được thiết kế để cung cấp quyền kiểm soát từ xa đối với máy chủ web bị xâm nhập, cho phép kẻ tấn công thao túng các tệp, chèn nội dung tùy ý và đổi tên tệp. Các lĩnh vực chính phủ và giáo dục là mục tiêu chính của chiến dịch này, chiếm 76% các trang web bị xâm nhập được rao bán. Sinh viên đại học này tuyên bố anh ta đang bán quyền truy cập vào hơn 5.200 trang web bị xâm nhập thông qua Telegram để chi trả cho việc học của mình. Hầu hết khách hàng của hoạt động này là các tác nhân đe dọa Trung Quốc.
Bộ Ngoại giao Hoa Kỳ treo thưởng 10 triệu USD cho hai tin tặc Iran — U.S. State Department đã công bố phần thưởng 10 triệu USD cho hai công dân Iran liên quan đến các hoạt động cyber của Iran. Fatemeh Sedighian Kashi và Mohammad Bagher Shirinkar bị cáo buộc làm việc cho một công ty tên Shahid Shushtari hoạt động với Iran's Islamic Revolutionary Guard Corps Cyber-Electronic Command (IRGC-CEC). "Các thành viên của Shahid Shushtari đã gây ra thiệt hại tài chính đáng kể và sự gián đoạn cho các doanh nghiệp và cơ quan chính phủ Hoa Kỳ thông qua các hoạt động thông tin phối hợp qua mạng và được kích hoạt qua mạng," State Department cho biết. "Các chiến dịch này đã nhắm mục tiêu vào nhiều critical infrastructure sectors, bao gồm news, shipping, travel, energy, financial, và telecommunications ở Hoa Kỳ, Châu Âu và Trung Đông." Công ty bình phong này cũng đã được liên kết với một chiến dịch đa diện nhắm mục tiêu vào cuộc bầu cử tổng thống Hoa Kỳ vào tháng 8 năm 2020.
Phát hiện các Stealer mới: Arkanix và Sryxen — Hai information stealers mới, Arkanix và Sryxen, đang được quảng cáo là một cách để đánh cắp dữ liệu nhạy cảm và kiếm lợi nhuận tài chính nhanh chóng trong thời gian ngắn. "Được viết bằng C++, [Sryxen] kết hợp giải mã DPAPI cho các thông tin đăng nhập trình duyệt truyền thống với một bản bypass Chrome 127+ lách qua App-Bound Encryption mới của Google -- bằng cách đơn giản khởi chạy Chrome headlessly và yêu cầu nó giải mã các cookies của chính nó thông qua DevTools Protocol," DeceptIQ cho biết. "Chức năng anti-analysis 'tinh vi hơn' hầu hết các commodity stealers: mã hóa mã dựa trên VEH có nghĩa là payload chính là rác khi ở trạng thái nghỉ, chỉ được giải mã trong quá trình thực thi thông qua exception handling." Các tiết lộ này trùng hợp với một chiến dịch có tên mã AIRedScam sử dụng các AI tools được chia sẻ trên GitHub để phân phối SmartLoader và các infostealers khác. "Điều khiến AIRedScam khác biệt là lựa chọn nhắm mục tiêu vào các chuyên gia Offensive Cybersecurity đang tìm kiếm các công cụ có thể tự động hóa enumeration và recon của họ," UltraViolet Cyber cho biết.
FBI cảnh báo về các vụ lừa đảo đòi tiền chuộc bắt cóc ảo — U.S. Federal Bureau of Investigation (FBI) cảnh báo rằng những kẻ lừa đảo đang đòi tiền chuộc trong các vụ bắt cóc giả mạo, chúng thay đổi các bức ảnh tìm thấy trên mạng xã hội hoặc các trang công khai khác để sử dụng làm proof-of-life photos giả. "Các tác nhân tội phạm thường sẽ liên hệ với nạn nhân qua tin nhắn văn bản, tuyên bố đã bắt cóc người thân của họ và yêu cầu trả tiền chuộc để thả người," FBI cho biết. "Các tác nhân tội phạm giả làm kẻ bắt cóc và cung cấp các bức ảnh hoặc video dường như 'có thật' của nạn nhân cùng với các yêu cầu trả tiền chuộc. Các tác nhân tội phạm đôi khi cố tình gửi những bức ảnh này bằng cách sử dụng các tính năng tin nhắn hẹn giờ để giới hạn thời gian nạn nhân có thể phân tích hình ảnh."
Tin tặc Nga mạo danh các sự kiện an ninh châu Âu trong làn sóng lừa đảo Phishing — Các threat actors từ Nga tiếp tục nhắm mục tiêu mạnh mẽ vào cả môi trường Microsoft và Google bằng cách lạm dụng OAuth và Device Code authentication workflows để phish credentials từ người dùng cuối. "Các cuộc tấn công này liên quan đến việc tạo ra các trang web giả mạo, mạo danh các sự kiện an ninh quốc tế hợp pháp diễn ra ở Châu Âu, với mục đích lừa người dùng đã đăng ký các sự kiện này cấp quyền truy cập trái phép vào tài khoản của họ," Volexity cho biết. Điều đáng chú ý về làn sóng mới này là những kẻ tấn công cung cấp "live support" cho người dùng bị nhắm mục tiêu thông qua các ứng dụng nhắn tin như Signal và WhatsApp để đảm bảo họ trả về đúng URL, trong trường hợp các OAuth phishing workflows. Các chiến dịch này, là sự tiếp nối của các làn sóng trước đó được phát hiện vào đầu năm nay, đã được quy cho một cyber espionage group có tên UTA0355.
Shanya PaaS thúc đẩy các cuộc tấn công mới — Một packer-as-a-service (PaaS) có tên Shanya đã tiếp quản vai trò trước đây của HeartCrypt để giải mã và tải một chương trình độc hại có khả năng tiêu diệt các giải pháp endpoint security. Cuộc tấn công tận dụng một vulnerable legitimate driver ("ThrottleStop.sys") và một malicious unsigned kernel driver ("hlpdrv.sys") để đạt được mục tiêu của nó. "Kẻ tiêu diệt user mode tìm kiếm các running processes và installed services," các nhà nghiên cứu Sophos Gabor Szappanos và Steeve Gaudreault cho biết. "Nếu nó tìm thấy sự trùng khớp, nó sẽ gửi một kill command đến malicious kernel driver. Malicious kernel driver lạm dụng vulnerable clean driver, giành quyền truy cập ghi cho phép chấm dứt và xóa các processes và services của các sản phẩm bảo vệ." Việc triển khai đầu tiên của EDR killer được cho là đã xảy ra vào cuối tháng 4 năm 2025 trong một cuộc tấn công Medusa ransomware. Kể từ đó, nó đã được sử dụng trong nhiều hoạt động ransomware, bao gồm Akira, Qilin và Crytox. Packer cũng đã được sử dụng để phân phối CastleRAT như một phần của chiến dịch ClickFix theo chủ đề Booking.com.

🎥 Hội thảo trực tuyến về An ninh mạng

Cách phát hiện rủi ro tiềm ẩn trong AWS, AI và Kubernetes — trước khi kẻ tấn công thực hiện: Các mối đe dọa Cloud ngày càng thông minh hơn — và khó nhìn thấy hơn. Hãy tham gia cùng các chuyên gia của chúng tôi để tìm hiểu cách code-to-cloud detection tiết lộ các rủi ro tiềm ẩn trên các identities, AI và Kubernetes, giúp bạn ngăn chặn các cuộc tấn công trước khi chúng tiếp cận sản xuất.
Tìm hiểu cách các đội ngũ hàng đầu bảo mật cơ sở hạ tầng Cloud trong khi vẫn tuân thủ đầy đủ: Bảo mật cloud workloads không chỉ là phòng thủ — mà còn là việc cho phép đổi mới một cách an toàn. Tìm hiểu các cách thực tế, đã được chứng minh để tăng cường access control, duy trì compliance và bảo vệ infrastructure mà không làm chậm tính linh hoạt.

🔧 Công cụ An ninh mạng

RAPTOR — Đây là một open-source AI-powered security tool tự động quét mã, fuzzing, phân tích vulnerability, tạo exploit và OSS forensics. Nó hữu ích khi bạn cần kiểm tra phần mềm nhanh chóng để tìm lỗi, hiểu liệu một vulnerability có thật hay không, hoặc thu thập bằng chứng từ một public GitHub repo. Thay vì chạy nhiều công cụ riêng biệt, RAPTOR liên kết chúng lại với nhau và sử dụng một AI agent để hướng dẫn quá trình.
Tiện ích mở rộng trình duyệt Google Threat Intelligence — Dành cho các security analysts và threat researchers: làm nổi bật các suspicious IPs, URLs, domains và file hashes trực tiếp trong trình duyệt của bạn. Nhận thông tin ngữ cảnh tức thì, điều tra mà không cần chuyển tab, theo dõi threats và cộng tác — tất cả trong khi vẫn được bảo vệ. Có sẵn cho Chrome, Edge và Firefox.

Disclaimer: Các công cụ này chỉ dành cho mục đích học tập và nghiên cứu. Chúng chưa được kiểm tra đầy đủ về bảo mật. Nếu được sử dụng sai cách, chúng có thể gây hại. Hãy kiểm tra mã trước, chỉ thử nghiệm ở những nơi an toàn và tuân thủ tất cả các quy tắc và luật pháp.

Kết luận

Mỗi câu chuyện trong tuần này đều chỉ ra một sự thật: ranh giới giữa đổi mới và khai thác ngày càng mỏng manh. Mỗi công cụ mới đều mang lại những rủi ro mới, và mỗi bản sửa lỗi lại mở ra cánh cửa cho khám phá tiếp theo. Chu kỳ này không hề chậm lại — nhưng nhận thức, tốc độ và kiến thức chia sẻ vẫn tạo ra sự khác biệt lớn nhất.

Hãy luôn cảnh giác, giữ cho hệ thống của bạn được vá lỗi và đừng bỏ qua những cảnh báo thầm lặng. Vụ vi phạm tiếp theo luôn bắt đầu từ những điều nhỏ nhặt nhất.