⚡ Tóm tắt Tuần: Tấn công MongoDB, Vi phạm Ví điện tử, Phần mềm gián điệp Android, Tội phạm nội bộ & Hơn thế nữa

Tin tức an ninh mạng tuần qua trong năm 2025 không chỉ xoay quanh một sự cố lớn mà là hàng loạt các lỗ hổng nhỏ đồng loạt xuất hiện. Các công cụ mà mọi người tin dùng hàng ngày bỗng hoạt động bất ngờ. Các lỗ hổng cũ tái xuất, và những lỗ hổng mới bị khai thác gần như ngay lập tức.

Một chủ đề chung xuyên suốt năm 2025 là những kẻ tấn công hành động nhanh hơn các bản vá. Quyền truy cập được cấp cho công việc, cập nhật hoặc hỗ trợ liên tục bị lạm dụng. Và thiệt hại không dừng lại khi một sự cố "kết thúc" — nó tiếp tục bộc lộ sau nhiều tháng hoặc thậm chí nhiều năm.

Bản tóm tắt hàng tuần này tập hợp những câu chuyện đó lại với nhau tại một nơi. Không quá tải, không ồn ào. Hãy đọc tiếp để xem điều gì đã định hình bối cảnh mối đe dọa trong những tháng cuối năm 2025 và những gì đáng được bạn quan tâm ngay bây giờ.

⚡ Mối đe dọa trong tuần

Lỗ hổng MongoDB bị tấn công — Một lỗ hổng bảo mật mới được tiết lộ trong MongoDB đã bị khai thác tích cực trong thực tế, với hơn 87.000 trường hợp có khả năng bị ảnh hưởng được xác định trên toàn thế giới. Lỗ hổng được đề cập là CVE-2025-14847 (điểm CVSS: 8.7), cho phép kẻ tấn công không được xác thực rò rỉ từ xa dữ liệu nhạy cảm từ bộ nhớ máy chủ MongoDB. Nó đã được đặt tên mã là MongoBleed. Chi tiết chính xác về bản chất của các cuộc tấn công khai thác lỗ hổng hiện chưa được biết. Người dùng được khuyên nên cập nhật lên các phiên bản MongoDB 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 và 4.4.30. Dữ liệu từ công ty quản lý bề mặt tấn công Censys cho thấy có hơn 87.000 trường hợp có khả năng dễ bị tấn công, phần lớn trong số đó nằm ở Hoa Kỳ, Trung Quốc, Đức, Ấn Độ và Pháp. Wiz lưu ý rằng 42% môi trường đám mây có ít nhất một phiên bản MongoDB trong một phiên bản dễ bị tổn thương bởi CVE-2025-14847. Điều này bao gồm cả các tài nguyên tiếp xúc với internet và tài nguyên nội bộ.

🔔 Tin tức hàng đầu

• Lỗ hổng Trust Wallet Chrome Extension gây thiệt hại 7 triệu USD — Trust Wallet đã kêu gọi người dùng cập nhật tiện ích mở rộng Google Chrome của mình lên phiên bản mới nhất sau một "sự cố bảo mật" mà họ mô tả đã dẫn đến thiệt hại khoảng 7 triệu USD. Người dùng được khuyên nên cập nhật lên phiên bản 2.69 càng sớm càng tốt. Trust Wallet cho biết: "Chúng tôi đã xác nhận rằng khoảng 7 triệu USD đã bị ảnh hưởng và chúng tôi sẽ đảm bảo hoàn trả cho tất cả người dùng bị ảnh hưởng." Tiện ích mở rộng Chrome có khoảng 1 triệu người dùng. Người dùng chỉ dùng trên thiết bị di động và tất cả các phiên bản tiện ích mở rộng trình duyệt khác không bị ảnh hưởng. Hiện tại vẫn chưa rõ ai đứng sau cuộc tấn công, nhưng Trust Wallet cho biết kẻ tấn công có khả năng đã phát hành một phiên bản độc hại (2.68) bằng cách sử dụng khóa API của Chrome Web Store bị rò rỉ. Các nạn nhân bị ảnh hưởng đã được yêu cầu điền vào một biểu mẫu để xử lý việc hoàn tiền.
• Evasive Panda thực hiện tấn công DNS Poisoning để phát tán Malware MgBot — Một nhóm tác nhân đe dọa nâng cao (APT) có liên kết với Trung Quốc được gọi là Evasive Panda đã bị quy cho một chiến dịch gián điệp mạng có mục tiêu cao, trong đó kẻ địch đã thực hiện tấn công DNS Poisoning (đánh lừa hệ thống tên miền) để phát tán backdoor MgBot đặc trưng của chúng trong các cuộc tấn công nhắm vào các nạn nhân ở Türkiye, Trung Quốc và Ấn Độ. Hoạt động này diễn ra từ tháng 11 năm 2022 đến tháng 11 năm 2024. Theo Kaspersky, nhóm tin tặc đã thực hiện các cuộc tấn công adversary-in-the-middle (AitM) vào các nạn nhân cụ thể để cung cấp các bản cập nhật bị trojan hóa cho các công cụ phổ biến như SohuVA, iQIYI Video, IObit Smart Defrag và Tencent QQ, cuối cùng triển khai MgBot, một implant mô-đun với khả năng thu thập thông tin rộng rãi. Hiện tại vẫn chưa rõ cách thức tác nhân đe dọa thực hiện tấn công DNS Poisoning. Nhưng hai kịch bản có thể xảy ra được nghi ngờ: hoặc các ISP được nạn nhân sử dụng đã bị nhắm mục tiêu và xâm nhập có chọn lọc để cài đặt một loại implant mạng nào đó trên các thiết bị biên, hoặc một router hoặc firewall được nạn nhân sử dụng đã bị tấn công vì mục đích này.
• LastPass 2022 Breach dẫn đến trộm cắp tiền mã hóa — Các bản sao lưu vault được mã hóa bị đánh cắp từ vụ rò rỉ dữ liệu LastPass năm 2022 đã cho phép những kẻ xấu lợi dụng các mật khẩu chính yếu để phá khóa và rút cạn tài sản tiền mã hóa gần đây nhất là cuối năm 2025. Những phát hiện mới từ TRM Labs cho thấy các tác nhân đe dọa có thể có liên hệ với hệ sinh thái tội phạm mạng của Nga đã đánh cắp ít nhất 35 triệu USD tính đến tháng 9 năm 2025. Các liên kết của Nga với số tiền mã hóa bị đánh cắp xuất phát từ hai yếu tố chính: việc sử dụng các sàn giao dịch thường liên quan đến hệ sinh thái tội phạm mạng của Nga trong quá trình rửa tiền và các kết nối hoạt động thu thập được từ các ví tương tác với các mixer cả trước và sau quá trình trộn và rửa tiền.
• Fortinet cảnh báo về hoạt động khai thác mới CVE-2020-12812 — Fortinet cho biết họ đã quan sát thấy "sự lạm dụng gần đây" của CVE-2020-12812, một lỗ hổng bảo mật đã 5 năm tuổi trong FortiOS SSL VPN, đang được khai thác trong thực tế trong một số cấu hình nhất định. Lỗ hổng này có thể cho phép người dùng đăng nhập thành công mà không cần được nhắc nhập yếu tố xác thực thứ hai nếu tên người dùng bị thay đổi chữ hoa/thường. Hướng dẫn mới ban hành không cung cấp bất kỳ chi tiết cụ thể nào về bản chất của các cuộc tấn công khai thác lỗ hổng, cũng như liệu có bất kỳ sự cố nào trong số đó thành công hay không. Fortinet cũng đã khuyên khách hàng bị ảnh hưởng liên hệ với nhóm hỗ trợ của họ và đặt lại tất cả thông tin đăng nhập nếu họ tìm thấy bằng chứng về người dùng admin hoặc VPN được xác thực mà không có xác thực hai yếu tố (2FA).
• Gói npm WhatsApp API giả mạo đánh cắp tin nhắn — Một gói độc hại mới trên kho lưu trữ npm có tên lotusbail được phát hiện hoạt động như một WhatsApp API đầy đủ chức năng, nhưng chứa khả năng chặn mọi tin nhắn và liên kết thiết bị của kẻ tấn công với tài khoản WhatsApp của nạn nhân. Nó đã được tải xuống hơn 56.000 lần kể từ khi được người dùng "seiren_primrose" tải lên registry lần đầu vào tháng 5 năm 2025. Gói này sau đó đã bị npm gỡ bỏ. Sau khi gói npm được cài đặt, tác nhân đe dọa có thể đọc tất cả tin nhắn WhatsApp, gửi tin nhắn cho người khác, tải xuống các tệp media và truy cập danh sách liên hệ. Koi cho biết: "Và đây là phần quan trọng, việc gỡ cài đặt gói npm sẽ loại bỏ mã độc, nhưng thiết bị của kẻ tấn công vẫn được liên kết với tài khoản WhatsApp của bạn. Việc ghép nối vẫn tồn tại trong hệ thống của WhatsApp cho đến khi bạn tự hủy liên kết tất cả các thiết bị khỏi cài đặt WhatsApp của mình. Ngay cả sau khi gói đã bị gỡ, chúng vẫn có quyền truy cập."

‎️‍🔥 Các CVE đang thịnh hành

Tin tặc hành động nhanh chóng. Chúng có thể sử dụng các lỗi mới chỉ trong vài giờ. Một bản cập nhật bị bỏ lỡ có thể gây ra một vụ vi phạm lớn. Dưới đây là những lỗ hổng bảo mật nghiêm trọng nhất trong tuần này. Hãy kiểm tra chúng, khắc phục những gì quan trọng nhất trước tiên và giữ an toàn.

Danh sách tuần này bao gồm — CVE-2025-14847 (MongoDB), CVE-2025-68664 (LangChain Core), CVE-2023-52163 (Digiever DS-2105 Pro), CVE-2025-68613 (n8n), CVE-2025-13836 (Python http.client), CVE-2025-26794 (Exim), CVE-2025-68615 (Net-SNMP), CVE-2025-44016 (TeamViewer DEX Client), và CVE-2025-13008 (M-Files Server).

📰 Khắp thế giới mạng

• Cựu nhân viên dịch vụ khách hàng Coinbase bị bắt ở Ấn Độ — Giám đốc điều hành Coinbase, Brian Armstrong, cho biết một cựu nhân viên dịch vụ khách hàng của sàn giao dịch tiền mã hóa lớn nhất Hoa Kỳ đã bị bắt ở Ấn Độ, vài tháng sau khi tin tặc hối lộ đại diện dịch vụ khách hàng để có quyền truy cập vào thông tin khách hàng. Vào tháng 5, công ty cho biết tin tặc đã hối lộ các nhà thầu làm việc tại Ấn Độ để đánh cắp dữ liệu khách hàng nhạy cảm và yêu cầu khoản tiền chuộc 20 triệu USD. Armstrong cho biết: "Chúng tôi không khoan nhượng với hành vi xấu và sẽ tiếp tục hợp tác với cơ quan thực thi pháp luật để đưa những kẻ xấu ra công lý." "Nhờ cảnh sát Hyderabad ở Ấn Độ, một cựu nhân viên dịch vụ khách hàng của Coinbase vừa bị bắt. Một tên nữa đã bị hạ gục và nhiều tên nữa sẽ bị bắt." Vụ việc đã ảnh hưởng đến 69.461 cá nhân. Một vụ kiện tập thể vào tháng 9 năm 2025 đã tiết lộ rằng Coinbase đã thuê TaskUs để xử lý hỗ trợ khách hàng từ Ấn Độ. Tài liệu tòa án cũng đề cập rằng Coinbase "đã cắt đứt quan hệ với nhân viên TaskUs có liên quan và các đại lý ở nước ngoài khác, đồng thời thắt chặt kiểm soát." Một nhân viên TaskUs có trụ sở tại Indore, Ashita Mishra, bị buộc tội "tham gia vào âm mưu bằng cách đồng ý bán dữ liệu người dùng Coinbase nhạy cảm cao cho những tên tội phạm đó" sớm nhất là vào tháng 9 năm 2024. Mishra đã bị bắt vào tháng 1 năm 2025 vì bị cáo buộc bán dữ liệu bị đánh cắp cho tin tặc với giá 200 USD mỗi bản ghi. TaskUs tuyên bố rằng "họ đã xác định hai cá nhân truy cập thông tin bất hợp pháp từ một trong những khách hàng của chúng tôi [những người] đã bị tuyển dụng bởi một chiến dịch tội phạm phối hợp rộng lớn hơn chống lại khách hàng này mà cũng ảnh hưởng đến một số nhà cung cấp khác phục vụ khách hàng này." Họ cũng cáo buộc rằng Coinbase "có các nhà cung cấp ngoài TaskUs, và nhân viên Coinbase đã tham gia vào vụ rò rỉ dữ liệu." Nhưng công ty không cung cấp thêm chi tiết.
• Cloud Atlas nhắm mục tiêu vào Nga và Belarus — Tác nhân đe dọa được biết đến với tên Cloud Atlas đã lợi dụng các mồi nhử phishing với tệp đính kèm tài liệu Microsoft Word độc hại, khi mở ra, sẽ tải xuống một template độc hại từ một máy chủ từ xa, sau đó lấy và thực thi một tệp HTML Application (HTA). Tệp HTA độc hại này trích xuất và tạo một số tệp Visual Basic Script (VBS) trên đĩa là một phần của backdoor VBShower. VBShower sau đó tải xuống và cài đặt các backdoor khác, bao gồm PowerShower, VBCloud và CloudAtlas. VBCloud có thể tải xuống và thực thi các script độc hại bổ sung, bao gồm một file grabber để exfiltrate các tệp quan tâm. Tương tự như VBCloud, PowerShower có khả năng truy xuất payload bổ sung từ một máy chủ từ xa. CloudAtlas thiết lập liên lạc với máy chủ command-and-control (C2) thông qua WebDAV và lấy các plugin thực thi dưới dạng một DLL, cho phép nó thu thập tệp, chạy lệnh, đánh cắp mật khẩu từ các trình duyệt dựa trên Chromium và thu thập thông tin hệ thống. Các cuộc tấn công do tác nhân đe dọa này thực hiện chủ yếu nhắm vào các tổ chức trong lĩnh vực viễn thông, xây dựng, các thực thể chính phủ và nhà máy ở Nga và Belarus.
• BlackHawk Loader được phát hiện trong thực tế — Một MSIL loader mới có tên BlackHawk đã được phát hiện trong thực tế, kết hợp ba lớp obfuscation cho thấy các dấu hiệu được tạo ra bằng các công cụ trí tuệ nhân tạo (AI). Theo ESET, nó có một Visual Basic Script và hai script PowerShell, script thứ hai trong số đó chứa BlackHawk loader được mã hóa Base64 và payload cuối cùng. Loader đang được sử dụng tích cực trong các chiến dịch phân phối Agent Tesla trong các cuộc tấn công nhắm vào hàng trăm điểm cuối trong các công ty vừa và nhỏ của Romania. Loader cũng đã được sử dụng để phát tán một information stealer được gọi là Phantom.
• Sự gia tăng đột biến của các máy chủ Cobalt Strike — Censys đã ghi nhận sự gia tăng đột biến các máy chủ Cobalt Strike được lưu trữ trực tuyến từ đầu tháng 12 đến ngày 18 tháng 12 năm 2025, đặc biệt trên các mạng của AS138415 (YANCY) và AS133199 (SonderCloud LTD). Censys cho biết: "Xem dòng thời gian ở trên, AS138415 lần đầu tiên thể hiện hoạt động 'hạt giống' hạn chế bắt đầu vào ngày 4 tháng 12, sau đó là sự mở rộng đáng kể 119 máy chủ Cobalt Strike mới vào ngày 6 tháng 12. Tuy nhiên, chỉ trong hai ngày, gần như toàn bộ cơ sở hạ tầng mới được thêm vào này đã biến mất. Vào ngày 8 tháng 12, AS133199 đã trải qua một sự gia tăng và giảm gần như đối xứng trong các máy chủ Cobalt Strike mới được quan sát thấy." Hơn 150 IP riêng biệt liên quan đến AS138415 đã được gắn cờ là lưu trữ các listener của Cobalt Strike trong khoảng thời gian này. Netblock này, 23.235.160[.]0/19, đã được cấp phát cho RedLuff, LLC vào tháng 9 năm 2025.
• Gặp gỡ Fly, quản trị viên Russian Market — Intrinsec đã tiết lộ rằng một tác nhân đe dọa được gọi là Fly có khả năng là quản trị viên của Russian Market, một cổng thông tin ngầm để bán thông tin đăng nhập bị đánh cắp thông qua các infostealer. Công ty an ninh mạng của Pháp cho biết: "Tác nhân đe dọa này đã quảng bá thị trường nhiều lần và trong suốt nhiều năm. Tên người dùng của hắn gợi nhớ đến tên cũ của thị trường, 'Flyded.' Chúng tôi tìm thấy hai địa chỉ e-mail được sử dụng để đăng ký các miền Russian Market đầu tiên, điều này cho phép chúng tôi tìm thấy các liên kết tiềm năng đến một tài khoản Gmail có tên 'AlexAske1,' nhưng chúng tôi không thể tìm thấy thông tin bổ sung nào xung quanh danh tính tiềm năng này."
• Chiến dịch lừa đảo mới nhắm vào MENA với lời mời làm việc giả mạo — Một chiến dịch lừa đảo mới đang nhắm mục tiêu vào các quốc gia Trung Đông và Bắc Phi (MENA) với các lời mời làm việc trực tuyến giả mạo trên mạng xã hội và các nền tảng nhắn tin riêng tư như Telegram và WhatsApp, hứa hẹn công việc dễ dàng và tiền nhanh chóng, nhưng được thiết kế để thu thập dữ liệu cá nhân và đánh cắp tiền. Các vụ lừa đảo khai thác lòng tin vào các tổ chức được công nhận và chi phí quảng cáo trên mạng xã hội thấp. Việc nhắm mục tiêu có chủ ý rộng để giăng một cái bẫy phishing rộng lớn. Group-IB cho biết: "Các quảng cáo việc làm giả mạo thường mạo danh các công ty, ngân hàng và cơ quan chức năng nổi tiếng để lấy lòng tin của nạn nhân. Khi nạn nhân tham gia, cuộc trò chuyện chuyển sang các kênh nhắn tin riêng tư nơi diễn ra hành vi gian lận tài chính và đánh cắp dữ liệu thực tế." Các quảng cáo thường chuyển hướng nạn nhân đến một nhóm WhatsApp, nơi một nhà tuyển dụng hướng dẫn họ đến một trang web lừa đảo để đăng ký. Sau khi nạn nhân hoàn thành bước này, họ được thêm vào các kênh Telegram khác nhau, nơi họ được hướng dẫn trả phí để đảm bảo nhiệm vụ và kiếm hoa hồng từ đó. Group-IB cho biết: "Những kẻ lừa đảo thực sự sẽ gửi một khoản thanh toán nhỏ cho nhiệm vụ ban đầu để xây dựng lòng tin. Sau đó, chúng sẽ thúc đẩy nạn nhân gửi số tiền lớn hơn để thực hiện các nhiệm vụ lớn hơn hứa hẹn lợi nhuận cao hơn. Khi nạn nhân gửi một khoản tiền lớn, khoản thanh toán sẽ dừng lại, các kênh và tài khoản biến mất và nạn nhân thấy mình bị chặn, khiến việc liên lạc và theo dõi gần như không thể." Các quảng cáo này nhắm vào các quốc gia MENA như Ai Cập, các thành viên của Vùng Vịnh, Algeria, Tunisia, Morocco, Iraq và Jordan.
• EmEditor bị xâm nhập để phân phối Infostealer — Chương trình chỉnh sửa văn bản dựa trên Windows, EmEditor, đã tiết lộ một vụ vi phạm bảo mật. Emurasoft cho biết một "bên thứ ba" đã thực hiện một sửa đổi trái phép liên kết tải xuống cho trình cài đặt Windows của họ để trỏ đến một tệp MSI độc hại được lưu trữ ở một vị trí khác trên trang web EmEditor từ ngày 19 đến 22 tháng 12 năm 2022. Emurasoft cho biết họ đang điều tra sự cố để xác định toàn bộ phạm vi tác động. Theo công ty bảo mật Trung Quốc QiAnXin, trình cài đặt độc hại được sử dụng để khởi chạy một PowerShell script có khả năng thu thập thông tin hệ thống, bao gồm siêu dữ liệu hệ thống, tệp, cấu hình VPN, thông tin đăng nhập Windows, dữ liệu trình duyệt và thông tin liên quan đến các ứng dụng như Zoho Mail, Evernote, Notion, Discord, Slack, Mattermost, Skype, LiveChat, Microsoft Teams, Zoom, WinSCP, PuTTY, Steam và Telegram. Nó cũng cài đặt một tiện ích mở rộng trình duyệt Edge (ID: "ngahobakhbdpmokneiohlfofdmglpakd") có tên Google Drive Caching có thể fingerprint trình duyệt, thay thế địa chỉ ví tiền mã hóa trong clipboard, ghi lại các lần gõ phím từ các trang web cụ thể như x[.]com và đánh cắp chi tiết tài khoản quảng cáo Facebook.
• Docker Hardened Images hiện có sẵn miễn phí — Docker đã cung cấp Hardened Images miễn phí cho mọi nhà phát triển để củng cố an ninh chuỗi cung ứng phần mềm. Được giới thiệu vào tháng 5 năm 2025, đây là một tập hợp các image an toàn, tối thiểu, sẵn sàng sản xuất được Docker quản lý. Công ty cho biết họ đã củng cố hơn 1.000 image và helm charts trong danh mục của mình. Docker lưu ý: "Không giống như các image được củng cố mờ đục hoặc độc quyền khác, DHI tương thích với Alpine và Debian, những nền tảng mã nguồn mở đáng tin cậy và quen thuộc mà các nhóm đã biết và có thể áp dụng với sự thay đổi tối thiểu."
• Lỗ hổng trong Livewire được tiết lộ — Chi tiết đã xuất hiện về một lỗ hổng bảo mật nghiêm trọng hiện đã được vá trong Livewire (CVE-2025-54068, điểm CVSS: 9.8), một framework full-stack cho Laravel, có thể cho phép kẻ tấn công không được xác thực thực hiện remote command execution trong các kịch bản cụ thể. Vấn đề này đã được khắc phục trong phiên bản Livewire 3.6.4 phát hành vào tháng 7 năm 2025. Theo Synacktiv, lỗ hổng bắt nguồn từ cơ chế hydration của nền tảng, được sử dụng để quản lý trạng thái thành phần và đảm bảo rằng chúng không bị giả mạo trong quá trình truyền bằng cách sử dụng checksum. Công ty an ninh mạng cho biết: "Tuy nhiên, cơ chế này đi kèm với một lỗ hổng nghiêm trọng: một quy trình unmarshalling nguy hiểm có thể bị khai thác miễn là kẻ tấn công có trong tay APP_KEY của ứng dụng. Bằng cách tạo các payload độc hại, kẻ tấn công có thể thao túng quy trình hydration của Livewire để thực thi mã tùy ý, từ các lệnh gọi hàm đơn giản đến remote command execution lén lút." Tệ hơn nữa, nghiên cứu cũng xác định một lỗ hổng remote code execution được xác thực trước có thể khai thác ngay cả khi không biết APP_KEY của ứng dụng. Synacktiv nói thêm: "Kẻ tấn công có thể inject các synthesizer độc hại thông qua trường updates trong các yêu cầu Livewire, lợi dụng kiểu dữ liệu lỏng lẻo của PHP và cách xử lý mảng lồng nhau. Kỹ thuật này bỏ qua việc xác thực checksum, cho phép tạo đối tượng tùy ý và dẫn đến việc xâm nhập toàn bộ hệ thống."
• Malware ChimeraWire tăng cường thứ hạng SERP của trang web — Một malware mới có tên ChimeraWire đã được phát hiện nhằm mục đích tăng cường thứ hạng của một số trang web trong các trang kết quả của công cụ tìm kiếm (SERP) bằng cách thực hiện các tìm kiếm internet ẩn và bắt chước các nhấp chuột của người dùng trên các thiết bị Windows bị nhiễm. Doctor Web cho biết ChimeraWire thường được triển khai dưới dạng payload giai đoạn hai trên các hệ thống đã bị nhiễm các malware downloader khác. Malware này được thiết kế để tải xuống phiên bản trình duyệt Google Chrome dành cho Windows và cài đặt các tiện ích bổ sung như NopeCHA và Buster vào đó để giải CAPTCHA tự động. ChimeraWire sau đó khởi chạy trình duyệt ở chế độ debug với một cửa sổ ẩn để thực hiện hoạt động nhấp chuột độc hại dựa trên các tiêu chí đã cấu hình trước. Công ty Nga cho biết: "Vì điều này, ứng dụng độc hại tìm kiếm các tài nguyên internet mục tiêu trong các công cụ tìm kiếm Google và Bing và sau đó tải chúng. Nó cũng bắt chước hành động của người dùng bằng cách nhấp vào các liên kết trên các trang web đã tải. Trojan thực hiện tất cả các hành động độc hại trong trình duyệt web Google Chrome, mà nó tải xuống từ một miền nhất định và sau đó khởi chạy nó ở chế độ debug qua giao thức WebSocket."
• Thêm chi tiết về chiến dịch LANDFALL xuất hiện — Chiến dịch spyware Android LANDFALL đã được tiết lộ bởi Palo Alto Networks Unit 42 vào tháng trước đã khai thác một lỗ hổng zero-day hiện đã được vá trong các thiết bị Samsung Galaxy Android (CVE-2025-21042) trong các cuộc tấn công có mục tiêu ở Trung Đông. Google Project Zero cho biết họ đã xác định sáu tệp hình ảnh đáng ngờ được tải lên VirusTotal từ tháng 7 năm 2024 đến tháng 2 năm 2025. Người ta nghi ngờ rằng những hình ảnh này được nhận qua WhatsApp, với Google lưu ý rằng các tệp là tệp DNG nhắm mục tiêu vào thư viện Quram, một thư viện phân tích hình ảnh dành riêng cho các thiết bị Samsung. Điều tra thêm đã xác định rằng các hình ảnh được thiết kế để kích hoạt một exploit chạy trong tiến trình com.samsung.ipservice. Benoît Sevens của Project Zero cho biết: "Tiến trình com.samsung.ipservice là một dịch vụ hệ thống dành riêng cho Samsung chịu trách nhiệm cung cấp các tính năng 'thông minh' hoặc được hỗ trợ bởi AI cho các ứng dụng Samsung khác. Nó sẽ định kỳ quét và phân tích hình ảnh và video trong MediaStore của Android. Khi WhatsApp nhận và tải xuống một hình ảnh, nó sẽ chèn hình ảnh đó vào MediaStore. Điều này có nghĩa là các hình ảnh (và video) WhatsApp đã tải xuống có thể chạm vào bề mặt tấn công phân tích hình ảnh trong ứng dụng com.samsung.ipservice." Với việc WhatsApp không tự động tải xuống hình ảnh từ các liên hệ không đáng tin cậy, người ta đánh giá rằng một exploit 1-click được sử dụng để kích hoạt tải xuống và thêm nó vào MediaStore. Điều này, đến lượt nó, kích hoạt một exploit cho lỗ hổng, dẫn đến một out-of-bounds write primitive. Sevens lưu ý: "Trường hợp này minh họa cách một số định dạng hình ảnh cung cấp các primitive mạnh mẽ ngay từ đầu để biến một lỗi hỏng bộ nhớ duy nhất thành các bypass ASLR không tương tác và remote code execution. Bằng cách làm hỏng giới hạn của bộ đệm pixel bằng cách sử dụng lỗi, phần còn lại của exploit có thể được thực hiện bằng cách sử dụng 'weird machine' mà đặc tả DNG và việc triển khai của nó cung cấp."
• Phần mềm gián điệp Android mới được phát hiện trên điện thoại của nhà báo Belarus — Chính quyền Belarus đang triển khai một spyware mới có tên ResidentBat trên điện thoại thông minh của các nhà báo địa phương sau khi điện thoại của họ bị tịch thu trong các cuộc thẩm vấn của cảnh sát bởi cơ quan mật vụ Belarus. Spyware này có thể thu thập nhật ký cuộc gọi, ghi âm qua microphone, chụp ảnh màn hình, thu thập tin nhắn SMS và các cuộc trò chuyện từ các ứng dụng nhắn tin được mã hóa, và exfiltrate các tệp cục bộ. Nó cũng có thể factory reset thiết bị và tự gỡ bỏ. Theo một báo cáo từ RESIDENT.NGO, cơ sở hạ tầng máy chủ của ResidentBat đã hoạt động từ tháng 3 năm 2021. Vào tháng 12 năm 2024, các trường hợp tương tự về việc cấy spyware vào điện thoại của các cá nhân trong khi họ đang bị cảnh sát hoặc các dịch vụ an ninh thẩm vấn đã được báo cáo ở Serbia và Nga. RESIDENT.NGO cho biết: "Việc lây nhiễm dựa vào quyền truy cập vật lý vào thiết bị. Chúng tôi giả thuyết rằng các sĩ quan KGB đã quan sát mật khẩu hoặc mã PIN của thiết bị khi nhà báo nhập nó trước mặt họ trong cuộc trò chuyện. Khi các sĩ quan có mã PIN và quyền sở hữu vật lý điện thoại trong khi nó ở trong tủ khóa, họ đã bật 'Developer Mode' và 'USB Debugging.' Sau đó, spyware đã được sideload vào thiết bị, có thể thông qua các lệnh ADB từ một máy tính Windows."
• Cựu nhân viên Incident Responders nhận tội tấn công Ransomware — Hai chuyên gia an ninh mạng cũ Ryan Clifford Goldberg và Kevin Tyler Martin đã nhận tội tham gia vào một loạt các cuộc tấn công ransomware BlackCat từ tháng 5 đến tháng 11 năm 2023 trong khi họ đang làm việc tại các công ty an ninh mạng được giao nhiệm vụ giúp các tổ chức chống lại các cuộc tấn công ransomware. Goldberg và Martin đã bị buộc tội vào tháng trước. Trong khi Martin làm nhà đàm phán mối đe dọa ransomware cho DigitalMint, Goldberg là quản lý ứng phó sự cố cho công ty an ninh mạng Sygnia. Một đồng phạm thứ ba không được nêu tên, cũng làm việc tại DigitalMint, bị cáo buộc đã có được tài khoản affiliate cho BlackCat, mà bộ ba này đã sử dụng để thực hiện các cuộc tấn công ransomware.
• Báo cáo Quốc hội Hoa Kỳ nói Trung Quốc khai thác nghiên cứu được tài trợ bởi Hoa Kỳ về công nghệ hạt nhân — Một báo cáo mới được phát hành bởi Ủy ban Chọn lọc Hạ viện về Trung Quốc và Ủy ban Thường trực Hạ viện về Tình báo (HPSCI) đã tiết lộ rằng Trung Quốc khai thác Bộ Năng lượng Hoa Kỳ (DOE) để tiếp cận và chuyển hướng nghiên cứu được tài trợ bởi người đóng thuế Hoa Kỳ và thúc đẩy sự trỗi dậy về quân sự và công nghệ của mình. Cuộc điều tra đã xác định khoảng 4.350 bài nghiên cứu từ tháng 6 năm 2023 đến tháng 6 năm 2025, trong đó nguồn tài trợ hoặc hỗ trợ nghiên cứu của DOE liên quan đến các mối quan hệ nghiên cứu với các thực thể Trung Quốc, bao gồm hơn 730 giải thưởng và hợp đồng của DOE. Trong số này, khoảng 2.200 ấn phẩm đã được thực hiện hợp tác với các thực thể trong cơ sở công nghiệp và nghiên cứu quốc phòng của Trung Quốc. Ủy ban Chọn lọc Hạ viện về Đảng Cộng sản Trung Quốc (CCP) cho biết: "Nghiên cứu điển hình này và nhiều nghiên cứu khác tương tự trong báo cáo nhấn mạnh một thực tế đáng lo ngại sâu sắc: các nhà khoa học chính phủ Hoa Kỳ – được DOE tuyển dụng và làm việc tại các phòng thí nghiệm quốc gia được tài trợ liên bang – đã đồng tác giả nghiên cứu với các thực thể Trung Quốc ngay tại trung tâm của tổ hợp công nghiệp-quân sự của Trung Quốc. Chúng liên quan đến việc cùng phát triển các công nghệ liên quan đến máy bay quân sự thế hệ tiếp theo, hệ thống tác chiến điện tử, kỹ thuật đánh lừa radar và cơ sở hạ tầng năng lượng và hàng không vũ trụ quan trọng – cùng với các thực thể đã bị nhiều cơ quan Hoa Kỳ hạn chế vì gây ra mối đe dọa cho an ninh quốc gia." Trong một tuyên bố chia sẻ với Associated Press, Đại sứ quán Trung Quốc tại Washington cho biết ủy ban chọn lọc "đã từ lâu bôi nhọ và tấn công Trung Quốc vì mục đích chính trị và không có bất kỳ uy tín nào đáng nói."
• Tòa án Moscow kết án nhà khoa học Nga 21 năm tù vì tội phản quốc — Một tòa án Moscow đã kết án 21 năm tù đối với Artyom Khoroshilov, 34 tuổi, một nhà nghiên cứu tại Viện Vật lý Tổng hợp Moscow, người bị buộc tội phản quốc, tấn công cơ sở hạ tầng trọng yếu và âm mưu phá hoại. Ông cũng bị phạt 700.000 rúp (~$9.100). Khoroshilov được cho là đã cấu kết với quân đội IT Ukraine để thực hiện các cuộc tấn công DDoS (tấn công từ chối dịch vụ phân tán) vào Bưu điện Nga vào tháng 8 năm 2022. Ông cũng lên kế hoạch thực hiện phá hoại bằng cách cho nổ các tuyến đường sắt được đơn vị quân đội của Bộ Quốc phòng Liên bang Nga sử dụng để vận chuyển hàng hóa quân sự. Quân đội IT Ukraine, một nhóm hacktivist nổi tiếng với việc điều phối các cuộc tấn công DDoS vào cơ sở hạ tầng của Nga, cho biết họ không biết liệu Khoroshilov có phải là một phần của cộng đồng của họ hay không, nhưng lưu ý "kẻ thù săn lùng bất kỳ dấu hiệu kháng cự nào."
• Công cụ DIG AI mới được các tác nhân độc hại sử dụng — Resecurity cho biết họ đã quan sát thấy "sự gia tăng đáng kể" trong việc các tác nhân độc hại sử dụng DIG AI, một bổ sung mới nhất vào danh sách dài các Large Language Models (LLMs) đen tối có thể được sử dụng cho các hoạt động bất hợp pháp, phi đạo đức, độc hại hoặc gây hại, chẳng hạn như tạo email phishing hoặc hướng dẫn chế tạo bom và các chất bị cấm. Nó có thể được người dùng truy cập thông qua trình duyệt Tor mà không yêu cầu tài khoản. Theo nhà phát triển của nó, Pitch, dịch vụ này dựa trên ChatGPT Turbo của OpenAI. Công ty cho biết: "DIG AI cho phép các tác nhân độc hại tận dụng sức mạnh của AI để tạo ra các mẹo từ chế tạo thiết bị nổ đến tạo nội dung bất hợp pháp, bao gồm CSAM. Vì DIG AI được lưu trữ trên mạng TOR, các công cụ như vậy không dễ dàng phát hiện và truy cập bởi cơ quan thực thi pháp luật. Chúng tạo ra một thị trường ngầm đáng kể – từ vi phạm bản quyền và các sản phẩm phái sinh đến các hoạt động bất hợp pháp khác."
• Trung Quốc nói Hoa Kỳ đã tịch thu tiền mã hóa từ công ty Trung Quốc — Chính phủ Trung Quốc cho biết Hoa Kỳ đã tịch thu trái phép tài sản tiền mã hóa thực sự thuộc về LuBian. Vào tháng 10 năm 2025, Bộ Tư pháp Hoa Kỳ đã tịch thu số Bitcoin trị giá 15 tỷ USD từ nhà điều hành các trại lừa đảo vào tháng trước. Cơ quan này tuyên bố số tiền đó thuộc sở hữu của Prince Group và Giám đốc điều hành của nó, Chen Zhi. Trung tâm Ứng phó Khẩn cấp Virus Máy tính Quốc gia Trung Quốc (CVERC) cáo buộc rằng số tiền đó có thể được truy ngược về vụ hack năm 2020 của nhà điều hành pool đào Bitcoin Trung Quốc LuBian, lặp lại một báo cáo từ Elliptic. Điều rõ ràng là tài sản kỹ thuật số đã bị đánh cắp từ Zhi trước khi chúng đến tay Hoa Kỳ. CVERC cho biết: "Chính phủ Hoa Kỳ có thể đã đánh cắp 127.000 Bitcoin của Chen Zhi thông qua các kỹ thuật hack sớm nhất là vào năm 2020, biến đây thành một trường hợp kinh điển về tội phạm 'đen ăn đen' do một tổ chức tin tặc được nhà nước bảo trợ dàn dựng." Tuy nhiên, cần lưu ý rằng báo cáo không đề cập đến việc tài sản bị đánh cắp có liên quan đến các chiến dịch lừa đảo.

🎥 Hội thảo trực tuyến về An ninh mạng

• Cách Zero Trust và AI phát hiện các cuộc tấn công không có tệp, không có nhị phân và không có chỉ báo — Các mối đe dọa mạng đang phát triển nhanh hơn bao giờ hết, khai thác các công cụ đáng tin cậy và các kỹ thuật không tệp để tránh các biện pháp phòng thủ truyền thống. Hội thảo trực tuyến này tiết lộ cách Zero Trust và bảo vệ dựa trên AI có thể phát hiện các cuộc tấn công không nhìn thấy, bảo mật môi trường nhà phát triển và xác định lại an ninh đám mây chủ động—để bạn có thể đi trước những kẻ tấn công, chứ không chỉ phản ứng với chúng.
• Làm chủ bảo mật AI Tác nhân: Học cách phát hiện, kiểm tra và ngăn chặn các máy chủ MCP độc hại — Các công cụ AI như Copilot và Claude Code giúp các nhà phát triển di chuyển nhanh, nhưng chúng cũng có thể tạo ra những rủi ro bảo mật lớn nếu không được quản lý cẩn thận. Nhiều nhóm không biết máy chủ AI (MCP) nào đang chạy, ai đã xây dựng chúng hoặc chúng có quyền truy cập gì. Một số đã bị tấn công, biến các công cụ đáng tin cậy thành backdoor. Hội thảo trực tuyến này cho thấy cách tìm ra các rủi ro AI ẩn, ngăn chặn các vấn đề khóa API ẩn và kiểm soát trước khi hệ thống AI của bạn tạo ra một vụ vi phạm.

🔧 Công cụ An ninh mạng

• GhidraGPT — Đây là một plugin cho Ghidra bổ sung hỗ trợ dựa trên AI cho công việc reverse engineering. Nó sử dụng các large language model để giúp giải thích mã được dịch ngược, cải thiện khả năng đọc và làm nổi bật các vấn đề bảo mật tiềm ẩn, giúp các nhà phân tích dễ dàng hiểu và phân tích các binary phức tạp hơn.
• Chameleon — Đây là một công cụ honeypot mã nguồn mở được sử dụng để giám sát các cuộc tấn công, hoạt động của bot và thông tin đăng nhập bị đánh cắp trên nhiều dịch vụ mạng. Nó mô phỏng các cổng mở và dễ bị tấn công để thu hút những kẻ tấn công, ghi lại hoạt động của chúng và hiển thị kết quả thông qua các dashboard đơn giản, giúp các nhóm hiểu cách hệ thống của họ đang bị quét và tấn công trong môi trường thực tế.

Tuyên bố miễn trừ trách nhiệm: Các công cụ này chỉ dành cho mục đích học tập và nghiên cứu. Chúng chưa được kiểm tra an toàn đầy đủ. Nếu sử dụng sai cách, chúng có thể gây hại. Hãy kiểm tra mã nguồn trước, chỉ thử nghiệm trong môi trường an toàn và tuân thủ mọi quy định, pháp luật.

Kết luận

Bản tóm tắt hàng tuần này tập hợp những câu chuyện đó lại với nhau tại một nơi để kết thúc năm 2025. Nó loại bỏ những thông tin nhiễu và tập trung vào những gì thực sự quan trọng trong những ngày cuối năm. Hãy đọc tiếp để biết các sự kiện đã định hình bối cảnh mối đe dọa, các mô hình lặp lại và những rủi ro có khả năng kéo dài sang năm 2026.