⚡ Tổng hợp Tuần: Lỗ hổng Zero-Day của SD-WAN, các CVE nghiêm trọng, Điều tra Telegram, SDK Proxy Smart TV và nhiều tin tức khác

Tuần này không chỉ tập trung vào một sự kiện lớn mà còn cho thấy nơi mọi thứ đang dịch chuyển. Các hệ thống mạng, thiết lập đám mây, công cụ AI và các ứng dụng phổ biến đều đang bị đẩy theo nhiều cách khác nhau. Các lỗ hổng nhỏ trong kiểm soát truy cập, khóa bị lộ và các tính năng bình thường đang được sử dụng làm điểm xâm nhập.

Mô hình này chỉ trở nên rõ ràng khi bạn xem xét mọi thứ cùng nhau. Các cuộc quét nhanh hơn, lạm dụng dịch vụ đáng tin cậy một cách thông minh hơn và nhắm mục tiêu ổn định vào các lĩnh vực có giá trị cao. Mỗi câu chuyện thêm bối cảnh. Đọc tất cả chúng sẽ cho một bức tranh đầy đủ hơn về cách bối cảnh mối đe dọa hiện nay đang phát triển.

⚡ Điểm nóng An ninh mạng Tuần này

Cisco SD-WAN Zero-Day bị khai thác — Một lỗ hổng bảo mật nghiêm trọng mới được công bố trong Cisco Catalyst SD-WAN Controller (trước đây là vSmart) và Catalyst SD-WAN Manager (trước đây là vManage) đã bị khai thác tích cực trong thực tế, như một phần của hoạt động độc hại có từ năm 2023. Lỗ hổng, được theo dõi dưới mã CVE-2026-20127 (điểm CVSS: 10.0), cho phép kẻ tấn công từ xa không xác thực vượt qua xác thực và giành quyền quản trị trên hệ thống bị ảnh hưởng bằng cách gửi một yêu cầu được tạo riêng. Cisco đã ghi nhận Australian Signals Directorate's Australian Cyber Security Centre (ASD-ACSC) đã báo cáo lỗ hổng này. Nhà sản xuất thiết bị mạng này đang theo dõi việc khai thác và các hoạt động sau xâm nhập dưới biệt danh UAT-8616, mô tả nhóm này là "tác nhân đe dọa không gian mạng cực kỳ tinh vi".

Kiểm soát các AI Agent của bạn trước khi chúng kiểm soát bạn

Airia là lớp quản trị và điều phối cho AI doanh nghiệp. Giám sát độ lệch, thực thi chính sách, tối ưu hóa chi phí suy luận và tạo bằng chứng sẵn sàng kiểm toán — để AI của bạn mở rộng quy mô một cách an toàn, tuân thủ và có lợi nhuận.

Yêu cầu bản Demo ➝

🔔 Tin tức hàng đầu

• Anthropic cáo buộc 3 công ty AI Trung Quốc thực hiện các cuộc tấn công chắt lọc (Distillation Attacks) — Anthropic đã cáo buộc ba công ty AI của Trung Quốc tham gia vào các chiến dịch tấn công chắt lọc "quy mô công nghiệp" nhằm trích xuất thông tin từ mô hình của mình, trở thành công ty công nghệ Mỹ mới nhất đưa ra những tuyên bố như vậy sau khi OpenAI cũng đưa ra những khiếu nại tương tự. DeepSeek, Moonshot AI và MiniMax được cho là đã làm ngập Claude bằng một lượng lớn các lời nhắc (prompts) được tạo đặc biệt để thu thập phản hồi nhằm đào tạo các mô hình độc quyền của riêng họ. Tháng trước, OpenAI đã gửi một lá thư ngỏ tới các nhà lập pháp Hoa Kỳ, tuyên bố đã quan sát thấy hoạt động "cho thấy những nỗ lực liên tục của DeepSeek nhằm chắt lọc các mô hình tiên tiến của OpenAI và các phòng thí nghiệm tiên tiến khác của Hoa Kỳ, bao gồm thông qua các phương pháp mới, được che giấu". Tiết lộ này đã làm dấy lên một cuộc tranh luận về các nguồn dữ liệu đào tạo và kỹ thuật chắt lọc, với một số người chỉ trích công ty vì đã đào tạo hệ thống của mình bằng tài liệu có bản quyền mà không được phép. Giám đốc điều hành xAI Elon Musk cho biết: "Anthropic có tội trong việc đánh cắp dữ liệu đào tạo ở quy mô lớn và đã phải trả hàng tỷ đô la để giải quyết vụ trộm của họ."
• Google làm gián đoạn chiến dịch UNC2814 GRIDTIDE — Google tiết lộ rằng họ đã làm việc với các đối tác trong ngành để làm gián đoạn cơ sở hạ tầng của một nhóm gián điệp mạng nghi ngờ có liên hệ với Trung Quốc, được theo dõi dưới tên UNC2814, đã xâm phạm ít nhất 53 tổ chức trên 42 quốc gia. Gã khổng lồ công nghệ mô tả UNC2814 là một tác nhân hoạt động mạnh mẽ, khó nắm bắt, có lịch sử nhắm mục tiêu vào các chính phủ quốc tế và các tổ chức viễn thông toàn cầu trên khắp châu Phi, châu Á và châu Mỹ. Trọng tâm trong hoạt động của nhóm tin tặc là một backdoor mới có tên GRIDTIDE lạm dụng Google Sheets API làm kênh liên lạc để che giấu lưu lượng C2 và tạo điều kiện chuyển giao dữ liệu thô và lệnh shell. Các nhóm gián điệp mạng của Trung Quốc đã liên tục ưu tiên lĩnh vực viễn thông làm mục tiêu chính xác vì quyền truy cập mà mạng lưới của họ cung cấp vào dữ liệu nhạy cảm và cơ sở hạ tầng chặn hợp pháp.
• Hàng nghìn Google Cloud API Keys công khai bị lộ với quyền truy cập Gemini — Nghiên cứu mới đã phát hiện ra rằng Google Cloud API keys, thường được chỉ định làm định danh dự án cho mục đích thanh toán, có thể bị lạm dụng để xác thực vào các điểm cuối Gemini nhạy cảm và truy cập dữ liệu riêng tư. Vấn đề xảy ra khi người dùng bật Gemini API trên một dự án Google Cloud (tức là Generative Language API), khiến các API keys hiện có trong dự án đó, bao gồm cả những khóa có thể truy cập thông qua mã JavaScript của trang web, có được quyền truy cập bí mật vào các điểm cuối Gemini mà không có bất kỳ cảnh báo hoặc thông báo nào. Truffle Security cho biết, với một khóa hợp lệ, kẻ tấn công có thể truy cập các tệp đã tải lên, dữ liệu được lưu trong bộ nhớ cache và thậm chí gây ra phí sử dụng LLM. Vấn đề này đã được Google khắc phục.
• UAT-10027 nhắm mục tiêu vào các lĩnh vực Giáo dục và Chăm sóc sức khỏe của Hoa Kỳ — Một nhóm hoạt động đe dọa chưa được ghi nhận trước đây, được gọi là UAT-10027, đã được cho là đang thực hiện một chiến dịch độc hại liên tục nhắm mục tiêu vào các lĩnh vực giáo dục và chăm sóc sức khỏe ở Hoa Kỳ kể từ ít nhất là tháng 12 năm 2025. Mục tiêu cuối cùng của các cuộc tấn công là phát tán một backdoor chưa từng thấy có tên mã Dohdoor. Cisco Talos cho biết: "Dohdoor sử dụng kỹ thuật DNS-over-HTTPS (DoH) để liên lạc lệnh và kiểm soát (C2) và có khả năng tải xuống và thực thi các tệp nhị phân payload khác một cách phản chiếu". Phân tích chiến dịch cho đến nay chưa thấy bằng chứng về việc đánh cắp dữ liệu. Mặc dù chưa có payload cuối cùng nào được quan sát ngoài thứ có vẻ là Cobalt Strike Beacon để backdoor vào môi trường của nạn nhân, nhưng người ta tin rằng các hành động của UAT-10027 có khả năng bị thúc đẩy bởi lợi ích tài chính dựa trên mô hình nạn nhân.
• Các lỗ hổng trong mã Claude cho phép thực thi mã từ xa và đánh cắp API Key — Các lỗ hổng bảo mật trong Anthropic Claude Code có thể đã cho phép kẻ tấn công thực thi mã từ xa trên máy của người dùng và đánh cắp API keys bằng cách tiêm các cấu hình độc hại vào các kho lưu trữ, sau đó chờ đợi một nhà phát triển không nghi ngờ nhân bản và mở một dự án không đáng tin cậy. Các lỗ hổng này đã được khắc phục từ tháng 9 năm 2025 đến tháng 1 năm 2026. Check Point cho biết: "Khả năng thực thi các lệnh tùy ý thông qua các tệp cấu hình do kho lưu trữ kiểm soát đã tạo ra những rủi ro chuỗi cung ứng nghiêm trọng, trong đó một commit độc hại duy nhất có thể làm tổn hại đến bất kỳ nhà phát triển nào làm việc với kho lưu trữ bị ảnh hưởng". "Việc tích hợp AI vào quy trình làm việc phát triển mang lại những lợi ích năng suất to lớn, nhưng cũng tạo ra các bề mặt tấn công mới không có trong các công cụ truyền thống."

‎️‍🔥 Các CVE nổi bật

Các lỗ hổng mới xuất hiện hàng ngày và kẻ tấn công di chuyển nhanh chóng. Xem xét và vá lỗi sớm giúp hệ thống của bạn kiên cường.

Dưới đây là các lỗ hổng nghiêm trọng nhất trong tuần này cần kiểm tra trước tiên — CVE-2025-40538, CVE-2025-40539, CVE-2025-40540, CVE-2025-40541 (SolarWinds Serv-U), CVE-2026-20127, CVE-2026-20122, CVE-2026-20126, CVE-2026-20128 (Cisco Catalyst SD-WAN), CVE-2026-25755 (jsPDF), CVE-2025-12543 (HPE Telco Service Activator), CVE-2026-22719, CVE-2026-22720, CVE-2026-22721 (Broadcom VMware Aria Operations), CVE-2026-3061, CVE-2026-3062, CVE-2026-3063 (Google Chrome), CVE-2025-10010 (CryptoPro Secure Disk for BitLocker), CVE-2025-13942, CVE-2025-13943, CVE-2026-1459 (Zyxel), CVE-2025-71210, CVE-2025-71211 (Trend Micro Apex One), CVE-2026-0542 (ServiceNow AI Platform), CVE-2026-24061 (telnetd), CVE-2026-21902 (Juniper Networks Junos OS), CVE-2025-29631, CVE-2025-1242 (Gardyn Home Kit), CVE-2025-15576 (FreeBSD), CVE-2026-26365 (Akamai), CVE-2026-27739 (Angular), và SVE-2025-50109 (Samsung Tizen OS).

🎥 Hội thảo trực tuyến về An ninh mạng

• Tự động hóa kiểm tra an ninh thực tế để chứng minh những gì thực sự hiệu quả → Hội thảo trực tuyến này giải thích tại sao việc đánh giá an ninh một lần không còn đủ và chỉ ra cách các tổ chức có thể tự động hóa việc kiểm tra liên tục, thực tế các biện pháp phòng thủ của mình để phát hiện các lỗ hổng và đo lường mức độ hiệu quả của các biện pháp kiểm soát chống lại các kỹ thuật tấn công thực tế.
• Khi các AI Agent trở thành bề mặt tấn công mới của bạn → Hội thảo trực tuyến này giải thích rằng khi các công cụ AI biến thành các agent tự động có thể duyệt, gọi API và truy cập các hệ thống nội bộ, rủi ro bảo mật sẽ mở rộng ra ngoài mô hình đến toàn bộ môi trường mà chúng hoạt động, đòi hỏi kiểm soát truy cập nghiêm ngặt hơn, giám sát và các biện pháp bảo vệ cấp hệ thống thay vì chỉ kiểm tra mô hình.
• Kỷ nguyên lượng tử đang đến: Chuẩn bị cho sự kết thúc của mã hóa hiện nay → Hội thảo trực tuyến này giải thích cách các máy tính lượng tử trong tương lai có thể phá vỡ mã hóa hiện nay, tại sao các cuộc tấn công "thu hoạch ngay bây giờ, giải mã sau" là một rủi ro thực sự và các bước thực tế mà các tổ chức có thể thực hiện ngay bây giờ để bắt đầu chuyển sang mã hóa hậu lượng tử.

📰 Tin tức An ninh mạng Khắp Thế giới

• UNC6384 phát tán biến thể PlugX mới — IIJ-SECT và LAB52 đã trình bày chi tiết hoạt động mới từ nhóm gián điệp mạng Trung Quốc UNC6384. Các cuộc tấn công tuân theo một phương thức hoạt động đã biết là sử dụng STATICPLUGIN, một trình tải xuống được ký điện tử, để phân phối các phiên bản PlugX cập nhật bằng cách DLL side-loading. Các payload độc hại được phân phối qua email phishing với mồi nhử mời họp hoặc thông qua các bản cập nhật phần mềm giả mạo.
• OpenAI hành động chống lại các tài khoản ChatGPT bị sử dụng cho mục đích độc hại — OpenAI cho biết họ đã gỡ bỏ các tài khoản ChatGPT được sử dụng cho các hoạt động gây ảnh hưởng, phishing và phát triển malware. Điều này bao gồm một hoạt động tình báo Trung Quốc có thể có trong đó một cá nhân liên quan đến cơ quan thực thi pháp luật Trung Quốc đã sử dụng công cụ AI để thực hiện các hoạt động gây ảnh hưởng bí mật chống lại các đối thủ trong nước và nước ngoài. Công ty cũng đã hành động chống lại các nhóm thực hiện trinh sát về công dân Hoa Kỳ và các địa điểm tòa nhà liên bang, lừa đảo tình cảm trực tuyến và các hoạt động gây ảnh hưởng của Nga trên khắp châu Phi bằng cách tạo các bài đăng trên mạng xã hội và các bài bình luận dài. OpenAI cho biết về hoạt động lừa đảo đang diễn ra ở Campuchia: "Điều bất thường là mạng lưới lừa đảo này đã kết hợp việc đặt lệnh ChatGPT thủ công và một chatbot AI tự động để cố gắng gài bẫy mục tiêu". Một số vụ lừa đảo này nhắm mục tiêu vào những người tìm kiếm tình yêu ở Indonesia. Các vụ lừa đảo khác sử dụng ChatGPT để tạo nội dung giả mạo các công ty luật hư cấu, cũng như mạo danh các luật sư thực tế và cơ quan thực thi pháp luật Hoa Kỳ như một phần của kế hoạch lừa đảo phục hồi nhắm mục tiêu vào nạn nhân lừa đảo.
• AI-Induced Lateral Movement — Nghiên cứu mới từ Orca Security đã nhấn mạnh cách AI có thể trở thành "chiều thứ ba" trong thế giới lateral movement, sau mạng và danh tính, cho phép kẻ tấn công mở rộng phạm vi tiếp cận của chúng. Orca cho biết: "Bằng cách tiêm prompt injections vào các trường bị bỏ qua được các AI agent lấy, tin tặc có thể lừa LLM, lạm dụng các công cụ Agentic và thực hiện các sự cố bảo mật nghiêm trọng". "LLM không thực sự hiểu sự khác biệt giữa dữ liệu và hướng dẫn, và khi đầu ra của công cụ được đưa trở lại mô hình, nó có thể được hiểu là một thứ để hành động. Điều này mở ra một cửa sổ cho các hoạt động AI-induced Lateral Movement (AILM)."
• Nga mở cuộc điều tra CEO Telegram — Chính quyền Nga đã mở cuộc điều tra hình sự đối với người sáng lập và CEO Telegram Pavel Durov. Ông bị cáo buộc thúc đẩy và tạo điều kiện cho hoạt động khủng bố trên nền tảng nhắn tin bằng cách không đáp ứng các yêu cầu gỡ bỏ của cơ quan thực thi pháp luật. Các quan chức Nga đã cáo buộc Durov chọn "con đường bạo lực và cho phép" bằng cách không hợp tác với các cơ quan thực thi pháp luật của họ, theo Rossiyskaya Gazeta. Động thái này diễn ra sau khi Nga bắt đầu hạn chế quyền truy cập vào Telegram trong nước để ủng hộ MAX. Tháng trước, Durov gọi đây là "một nỗ lực buộc công dân của họ chuyển sang một ứng dụng do nhà nước kiểm soát được xây dựng để giám sát và kiểm duyệt chính trị."
• Ứng dụng cầu nguyện bị hack gửi tin nhắn đầu hàng — Theo báo cáo từ The Wall Street Journal và WIRED, những tin tặc không xác định đã chiếm quyền kiểm soát một ứng dụng cầu nguyện của Iran trong một cuộc tấn công chung của Hoa Kỳ-Israel để gửi tin nhắn kêu gọi quân đội Iran hạ vũ khí và hứa hẹn ân xá nếu họ đầu hàng. Các tin nhắn được gửi dưới dạng thông báo đẩy tới ứng dụng BadeSaba Calendar. Hiện vẫn chưa rõ ai đứng sau vụ hack. Ứng dụng này đã được tải xuống hơn 5 triệu lần từ Google Play Store. Sau cuộc chiến Hoa Kỳ-Israel với Iran, chính phủ đã chặn tất cả quyền truy cập internet trong nước.
• Smart TV bị biến thành công cụ quét nội dung AI — Một số nhà sản xuất ứng dụng smart TV đang triển khai một SDK mới có tên Bright SDK cho phép người dùng xem ít quảng cáo hơn nhưng cũng âm thầm biến TV của họ thành một nút trong mạng proxy toàn cầu để thu thập và quét web. Bright Data, công ty đứng sau SDK này, tuyên bố vận hành hơn 150 triệu địa chỉ IP proxy dân cư trên 195 quốc gia.
• Phát hiện nhiều họ malware Stealer — Nhiều họ information stealer đã được phát hiện trong thực tế. Điều này bao gồm Arkanix, CharlieKirk GRABBER, ComSuon, DarkCloud, MawaStealer và MioLab (NovaStealer). Phân tích của Kaspersky về Arkanix đã tiết lộ rằng nó có khả năng được phát triển như một thử nghiệm có hỗ trợ LLM, rút ngắn thời gian và chi phí phát triển. Trong khi Arkanix được quảng bá trên các diễn đàn ngầm vào tháng 10 năm 2025, malware-as-a-service (MaaS) dường như đã bị gỡ xuống vào cuối năm 2025. Những phát hiện này cho thấy nhu cầu liên tục đối với malware stealer "off-the-key", tạo ra một hệ sinh thái cho phép các tác nhân đe dọa khác mua nhật ký stealer để có được quyền truy cập ban đầu vào các mục tiêu. Hudson Rock cho biết: "Các nhật ký Infostealer thô được lọc kỹ lưỡng theo tên miền công ty, đóng gói và bán cho các nhà môi giới truy cập ban đầu và những kẻ tấn công đặc biệt tìm kiếm các điểm vào dễ dàng vào các mạng công ty có giá trị cao". Varonis nói thêm rằng sự phát triển này đã được bổ sung bởi các mạng ngầm biến thành các thị trường tội phạm mạng, hoàn chỉnh với hệ thống danh tiếng, ký quỹ và các nhà cung cấp chuyên biệt. Nhà nghiên cứu bảo mật Daniel Kelley cho biết: "Một nhà điều hành chạy infostealer trên hàng nghìn máy. Một người khác trích xuất và sắp xếp thông tin đăng nhập. Một người thứ ba bán quyền truy cập được chọn lọc. Một người thứ tư triển khai ransomware. Mỗi người tập trung vào những gì họ làm tốt nhất và hệ sinh thái đã trở nên hiệu quả một cách tàn nhẫn."
• Công dân Chile bị dẫn độ sang Hoa Kỳ để đối mặt với tội lừa đảo tài chính — Alex Rodrigo Valenzuela Monje (hay VAL4K), 24 tuổi, công dân Chile, đã bị dẫn độ sang Hoa Kỳ vì vai trò bị cáo buộc của anh ta trong việc điều hành một hoạt động tội phạm mạng liên quan đến việc buôn bán dữ liệu thẻ thanh toán. Bị cáo bị buộc tội buôn bán số thẻ tín dụng và thông tin bị đánh cắp cho hơn 26.500 thẻ tín dụng. Bộ Tư pháp Hoa Kỳ cho biết: "Từ ít nhất tháng 5 năm 2021 đến tháng 8 năm 2023, Valenzuela Monje đã điều hành một cửa hàng thẻ trực tuyến bất hợp pháp, bán các bản sao thiết bị truy cập trái phép thông qua các kênh Telegram". "Anh ta bị cáo buộc điều hành các kênh được gọi là MacacoCC Collective và Novato Carding, cung cấp dữ liệu thẻ thanh toán cho hầu hết các thẻ thanh toán của Hoa Kỳ."
• Phát hiện cơ sở hạ tầng FUNNULL mới — QiAnXin đã cảnh báo về cơ sở hạ tầng mới liên quan đến FUNNULL, một mạng lưới phân phối nội dung (CDN) có trụ sở tại Philippines bị Bộ Tài chính Hoa Kỳ trừng phạt vào năm ngoái vì tạo điều kiện cho các hoạt động lừa đảo mạng. QiAnXin XLab cho biết: "Trước đây, phương pháp chính của họ là làm nhiễm độc các dịch vụ CDN công cộng hiện có; giờ đây họ đã phát triển để tự phát triển các bộ công cụ tấn công phía máy chủ hoàn chỉnh (RingH23), tích cực xâm nhập các nút CDN, thể hiện sự cải thiện đáng kể về khả năng kiểm soát và tinh vi kỹ thuật". Hai kênh lây nhiễm chuỗi cung ứng độc lập đã được xác định: việc xâm phạm maccms.la để phân phối một backdoor PHP độc hại thông qua kênh cập nhật của nó, và việc xâm phạm nút quản lý GoEdge CDN để cấy ghép một module lây nhiễm, và triển khai bộ công cụ tấn công RingH23 độc quyền cho tất cả các nút biên thông qua các lệnh từ xa SSH. Chiến dịch đã xâm phạm 10.748 địa chỉ IP duy nhất, chủ yếu là các trang web phát trực tuyến video.
• Số lượng quét thiết bị SonicWall tăng đột biến — GreyNoise cho biết họ đã phát hiện một sự gia tăng đột biến trong các cuộc quét thiết bị SonicWall bắt nguồn từ cơ sở hạ tầng của một nhà cung cấp proxy đã biết. Hoạt động này bắt đầu vào ngày 22 tháng 2 năm 2026 và quét các SSL VPN SonicWall bị lộ. Tổng cộng 84.142 phiên quét nhắm mục tiêu vào cơ sở hạ tầng SonicWall SonicOS đã được quan sát từ ngày 22 đến ngày 25 tháng 2 năm 2026. Các cuộc quét đến từ 4.305 địa chỉ IP duy nhất trên 20 hệ thống tự trị. GreyNoise cho biết: "Chín mươi hai phần trăm các phiên đã thăm dò một điểm cuối API duy nhất để xác định xem SSL VPN có được bật hay không — điều kiện tiên quyết trước các cuộc tấn công bằng thông tin đăng nhập". "Một dịch vụ proxy thương mại đã cung cấp 32% khối lượng chiến dịch thông qua 4.102 IP thoát luân phiên trong hai đợt bùng nổ phẫu thuật tổng cộng 16 giờ."
• Google gỡ bỏ 115 ứng dụng Android liên quan đến gian lận quảng cáo — Một hoạt động gian lận quảng cáo mới có tên Genisys đã chiếm đoạt các thiết bị Android để chạy hoạt động độc hại trong nền. Hoạt động này đã lợi dụng một tập hợp 115 ứng dụng mà âm thầm mở các trang web trong các cửa sổ trình duyệt ẩn để tạo doanh thu hiển thị quảng cáo cho những người tạo ra chúng. Hơn 500 tên miền đã được tạo bằng các công cụ AI để phân phát quảng cáo. Integral Ads cho biết: "Chúng xuất hiện dưới dạng các blog chung, các trang tin tức và các thuộc tính thông tin được sản xuất trên quy mô lớn, được xây dựng không phải để thu hút khán giả thực mà để nhận và kiếm tiền từ lưu lượng truy cập gian lận". Các ứng dụng này sau đó đã bị Google gỡ bỏ. Những phát hiện này được xây dựng dựa trên một kế hoạch gian lận quảng cáo di động khác có tên Arcade trong đó các ứng dụng di động tạo ra hoạt động trình duyệt trong ứng dụng ẩn để tải các trang web trong nền và chuyển đổi hoạt động gốc di động thành lưu lượng truy cập web.
• Zerobot khai thác lỗ hổng trong n8n và bộ định tuyến Tenda — Một botnet IoT dựa trên Mirai có tên Zerobot đã được quan sát thấy đang khai thác các lỗ hổng trong nền tảng tự động hóa AI n8n (CVE-2025-68613) và bộ định tuyến Tenda (CVE-2025-7544) để mở rộng phạm vi của nó. Hoạt động này lần đầu tiên được phát hiện vào tháng 1 năm 2026. Akamai cho biết: "Việc nhắm mục tiêu vào lỗ hổng n8n đặc biệt thú vị: Botnet thường khai thác các thiết bị Internet of Things (IoT), chẳng hạn như camera an ninh, DVR và bộ định tuyến, nhưng n8n thuộc một danh mục hoàn toàn khác". "Mặc dù đây không phải là hành vi hoàn toàn mới đối với botnet, nhưng loại nhắm mục tiêu này gây ra mối nguy hiểm lớn hơn cho các tổ chức bằng cách phơi bày nhiều cơ sở hạ tầng quan trọng hơn để bị xâm phạm vì lỗ hổng n8n có thể cho phép lateral movement cho một tác nhân đe dọa."
• Phát hiện nhiều chiến dịch ClickFix — Các nhà săn lùng mối đe dọa đã tiết lộ nhiều chiến dịch ClickFix, bao gồm một chiến dịch dẫn đến một cuộc tấn công "hands-on-keyboard" đã triển khai ransomware Termite. Cuộc tấn công này đã được quy cho một nhóm được gọi là Velvet Tempest (DEV-0504). Một chiến dịch ClickFix khác, có tên mã OCRFix, đã sử dụng các trang web mạo danh công cụ Tesseract OCR làm bệ phóng để phân phối malware sử dụng EtherHiding để truy xuất máy chủ C2, gửi thông tin hệ thống và chờ đợi các hướng dẫn thêm. Một chiến dịch thứ ba đã được tìm thấy sử dụng các kho lưu trữ GitHub giả mạo mạo danh các công ty phần mềm và tận dụng ClickFix để social-engineer nạn nhân cài đặt infostealer, chẳng hạn như SHub Stealer v2.0.
• Chi tiết kế hoạch Phishing GTFire — Một chiến dịch phishing có tên GTFire đang lạm dụng Google Firebase để lưu trữ các trang phishing và Google Translate để che giấu các URL độc hại và vượt qua các bộ lọc bảo mật email và web. Group-IB cho biết: "Bằng cách kết nối các dịch vụ này với nhau, những kẻ tấn công tạo ra các liên kết phishing có vẻ lành tính, tận dụng danh tiếng của Google và chuyển hướng nạn nhân một cách linh hoạt đến các trang đăng nhập mạo danh thương hiệu". "Khi thông tin đăng nhập được gửi và thu thập, nạn nhân thường được chuyển hướng trở lại trang web hợp pháp của tổ chức mục tiêu, giảm sự nghi ngờ và trì hoãn phản ứng sự cố." Chiến dịch này ước tính đã thu thập hàng nghìn thông tin đăng nhập bị đánh cắp liên quan đến hơn một nghìn tổ chức, trải rộng trên hơn một trăm quốc gia và hàng trăm ngành công nghiệp. Tác nhân đe dọa đằng sau hoạt động này đã hoạt động từ ít nhất ngày 1 tháng 1 năm 2022. Mexico, Hoa Kỳ, Tây Ban Nha, Ấn Độ và Argentina là những mục tiêu nổi bật.
• Ransomware C77L nhắm mục tiêu vào Nga — Một hoạt động ransomware có tên C77L đã được liên kết với ít nhất 40 cuộc tấn công vào các doanh nghiệp Nga và Belarus kể từ tháng 3 năm 2025. Nhóm này được đánh giá là hoạt động từ Iran. Quyền truy cập ban đầu vào các mạng mục tiêu được thực hiện thông qua mật khẩu yếu cho các điểm cuối RDP và VPN có sẵn công khai. F6 cho biết: "Các mục tiêu tấn công là các hệ thống Windows do sự phổ biến áp đảo của chúng trong cơ sở hạ tầng IT của các doanh nghiệp vừa và nhỏ".
• Malware RESURGE có thể nằm im trên các thiết bị Ivanti bị nhiễm — Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã cập nhật cảnh báo ban đầu của mình cho RESURGE, một phần mềm độc hại được triển khai như một phần của hoạt động khai thác nhắm mục tiêu vào một lỗ hổng bảo mật đã được vá trong các thiết bị Ivanti Connect Secure (ICS). Cơ quan này cho biết "RESURGE có các kỹ thuật né tránh và xác thực cấp mạng tinh vi, tận dụng các phương pháp mật mã tiên tiến và các chứng chỉ TLS giả mạo để tạo điều kiện liên lạc bí mật", đồng thời nói thêm "RESURGE có thể nằm im trên hệ thống cho đến khi một tác nhân từ xa cố gắng kết nối với thiết bị bị xâm phạm".
• 30 thành viên của The Com bị bắt giữ — Một hoạt động thực thi pháp luật phối hợp do Europol dẫn đầu đã bắt giữ 30 cá nhân có liên quan đến một cộng đồng trực tuyến ngầm được gọi là The Com. Hoạt động, được khởi động vào tháng 1 năm 2025, đã được đặt tên mã là Project Compass. 179 thành viên bổ sung cũng được xác định là một phần của cuộc điều tra. The Com là tên được đặt cho một tập thể tội phạm mạng lỏng lẻo đã được liên kết với doxxing trực tuyến, quấy rối, đe dọa bạo lực, tống tiền, bóc lột tình dục, phishing, SIM swapping, ransomware và các tội phạm kỹ thuật số khác. Europol mô tả The Com là một mạng lưới cực đoan phi tập trung.
• Chính phủ Vương quốc Anh giảm 84% thời gian khắc phục tấn công mạng — Chính phủ Vương quốc Anh đã tuyên bố đã giảm 75% số lượng lỗ hổng nghiêm trọng tồn đọng và giảm 87% thời gian khắc phục tấn công mạng. Các điểm yếu bảo mật nghiêm trọng trong các trang web khu vực công được khắc phục nhanh hơn sáu lần, giảm thời gian trung bình từ gần hai tháng xuống chỉ còn hơn một tuần, chính phủ Vương quốc Anh cho biết trong một bản cập nhật được công bố vào ngày 26 tháng 2.
• Ba Lan triệt phá nhóm tội phạm có tổ chức — Cục Trung ương chống tội phạm mạng (CBZC) của Ba Lan đã triệt phá một nhóm có tổ chức đã sử dụng phishing để chiếm quyền kiểm soát tài khoản Facebook và trích xuất mã thanh toán BLIK từ các nạn nhân. Mười một thành viên của một nhóm tội phạm có tổ chức hoạt động ở Ba Lan và Đức từ tháng 5 năm 2022 đến tháng 5 năm 2024 đã được xác định. Sáu nghi phạm đã bị giam giữ trước khi xét xử như một phần của cuộc điều tra, và hơn 100.000 thông tin đăng nhập đã bị thu giữ. CBZC cho biết nhóm này đã sử dụng "các kỹ thuật phishing để lấy thông tin đăng nhập tài khoản Facebook, sau đó truy cập vào chúng và sử dụng tin nhắn tức thời để tống tiền mã BLIK từ những người dùng khác của cổng thông tin".
• Tin tặc khai thác Claude để nhắm mục tiêu vào các trang web chính phủ Mexico — Một tin tặc không rõ danh tính đã khai thác chatbot Claude của Anthropic để thực hiện các cuộc tấn công chống lại các cơ quan chính phủ Mexico, theo một báo cáo của Gambit Security. Công ty cho biết: "Trong vòng một tháng kể từ lần xâm phạm ban đầu, mười cơ quan chính phủ và một tổ chức tài chính đã bị ảnh hưởng, khoảng 195 triệu danh tính bị lộ và khoảng 150GB dữ liệu bị đánh cắp: hồ sơ thuế, hồ sơ đăng ký dân sự, dữ liệu cử tri". "Kẻ tấn công thậm chí còn xây dựng một hệ thống tự động làm giả các chứng chỉ thuế chính phủ chính thức bằng cách sử dụng dữ liệu trực tiếp. Nó được điều phối bởi một tác nhân cá nhân chỉ đạo AI hoạt động như một nhóm điều hành và phân tích cấp quốc gia." Hoạt động này chạy trên hơn 1.000 prompt và thường xuyên chuyển thông tin sang GPT-4.1 của OpenAI để phân tích. Vụ vi phạm bắt đầu vào cuối tháng 12 năm 2025 và tiếp tục trong khoảng một tháng. Anthropic kể từ đó đã làm gián đoạn hoạt động và cấm tất cả các tài khoản liên quan. Các cuộc tấn công chưa được quy cho một nhóm cụ thể.

🔧 Công cụ An ninh mạng

• Titus → Đây là một công cụ mã nguồn mở từ Praetorian quét mã, tệp, kho lưu trữ và lưu lượng truy cập để tìm các thông tin đăng nhập bị rò rỉ như API keys và tokens. Nó sử dụng hàng trăm quy tắc mẫu và có thể kiểm tra xem một bí mật được phát hiện có thực sự hoạt động hay không. Bạn có thể chạy nó dưới dạng công cụ dòng lệnh, sử dụng nó bên trong các công cụ khác dưới dạng thư viện Go hoặc sử dụng nó dưới dạng tiện ích mở rộng trong Burp Suite hoặc trình duyệt để phát hiện rò rỉ thông tin đăng nhập trong các quy trình làm việc khác nhau.
• Sirius → Đây là một nền tảng quét lỗ hổng mã nguồn mở trên GitHub tự động kiểm tra bảo mật mạng và hệ thống để tìm ra điểm yếu và rủi ro trong cơ sở hạ tầng. Nó kết hợp dữ liệu bảo mật do cộng đồng đóng góp với các thử nghiệm tự động, chạy trong các container và cung cấp cho người điều hành một cái nhìn thống nhất về các lỗ hổng để ưu tiên khắc phục.

Tuyên bố miễn trừ trách nhiệm: Các công cụ này chỉ được cung cấp cho mục đích nghiên cứu và giáo dục. Chúng không được kiểm tra bảo mật và có thể gây hại nếu bị lạm dụng. Hãy xem xét mã, kiểm tra trong môi trường được kiểm soát và tuân thủ tất cả các luật và chính sách hiện hành.

Kết luận

Xem xét từng sự cố một, chúng có vẻ được kiểm soát. Nhưng khi nhìn nhận cùng nhau, chúng cho thấy rủi ro hiện đang lan rộng khắp các hệ thống kết nối mà các tổ chức dựa vào hàng ngày. Cơ sở hạ tầng, nền tảng AI, dịch vụ đám mây và các công cụ của bên thứ ba được gắn kết chặt chẽ, và sự căng thẳng ở một khu vực thường làm lộ ra khu vực khác.

Điều rút ra là sự rõ ràng, không phải báo động. Kẻ thù đang cải thiện hiệu quả, mở rộng quyền truy cập và hoạt động bên trong các quy trình bình thường. Đọc kỹ từng báo cáo giúp vạch ra sự thay đổi đó và hiểu môi trường rộng lớn hơn đang thay đổi như thế nào.