ARToken & EvilTokens: The AI-Augmented Device Code Phishing PhaaS Hijacking Microsoft 365 and Automating BEC FraudJul 19, 2026·10 min read
ARToken & EvilTokens: PhaaS device code phishing "AI-augmented" đánh chiếm Microsoft 365 và tự động hóa lừa đảo BECJul 19, 2026·12 min read
RedHook Android RAT: Bước tiến mới trong kỹ thuật chiếm quyền thiết bị AndroidTóm Tắt Chiến Dịch Báo cáo từ Group-IB Threat Intelligence công bố ngày 9 tháng 7 năm 2026 xác nhận sự tái xuất của mã độc RedHook — một Trojan truy cập từ xa (RAT) trên Android với những cải tiến manJul 19, 2026·16 min read
QuimaRAT: RAT Java đa nền tảng (Windows/macOS/Linux) bán dưới dạng MaaS, 70+ module và lớp vỏ "offensive security"Jul 19, 2026·9 min read
Lỗ hổng thực thi mã từ xa bị khai thác tích cực trên Microsoft SharePoint ServerJul 19, 2026·7 min read
Lỗ hổng leo thang đặc quyền root trên Linux Kernel và Android với tỷ lệ khai thác thành công 99%Vừa qua, nhà nghiên cứu bảo mật Jaeyoung Chung thuộc CompSec Lab đã công bố lỗ hổng leo thang đặc quyền cục bộ (LPE) mang tên "Bad Epoll" (CVE-2026-46242) trong epoll subsystem của Linux kernel. Lỗ hổJul 19, 2026·7 min read
Lỗ hổng leo thang đặc quyền root không để lại dấu vết trên LinuxVừa qua, nhóm nghiên cứu bảo mật JFrog Security Research đã công bố phân tích kỹ thuật chi tiết cùng mã khai thác proof-of-concept (PoC) hoạt động đầy đủ cho lỗ hổng leo thang đặc quyền cục bộ (LPE) mJul 19, 2026·8 min read
Navy Ghost: Khi một lệnh pip install trở thành cánh cửa cho hackerTổng quan Một chiến dịch lâu dài được đặt tên Operation Navy Ghost phát hành 8 package Python độc hại giả danh là fork của Pyrogram (thư viện phổ biến để xây dựng Telegram bot) trên PyPI từ tháng 11/2Jul 19, 2026·17 min read
Microsoft Teams Vishing : Giả làm IT để chiếm quyền máy tínhTổng quan Một chiến dịch vô cùng tinh vi vừa được phát hiện trong đó kẻ tấn công giả danh "System Administrator" gọi vào Microsoft Teams của nạn nhân để dụ cài EtherRAT, một remote access trojan lấy đJul 19, 2026·15 min read
Ghostcommit: Hiding Prompt Injection Inside PNG Images to Trick AI Agents Into Stealing a Repository's SecretsOverview On July 11, 2026, Ghostcommit — an attack technique published as a Proof-of-Concept by the ASSET Research Group (University of Missouri-Kansas City), led by Associate Professor Sudipta ChattoJul 14, 2026·14 min read
Ghostcommit: Giấu prompt injection trong ảnh PNG để lừa AI agent đánh cắp bí mật của repositoryTổng Quan Ngày 11/07/2026, Ghostcommit — một kỹ thuật tấn công do ASSET Research Group (Đại học Missouri-Kansas City), dẫn đầu bởi Phó Giáo sư Sudipta Chattopadhyay, công bố dưới dạng Proof-of-ConceptJul 14, 2026·16 min read