# GigaWiper: Khi một backdoor "lai ghép" ba dòng mã độc thành một cỗ máy phá hoại theo yêu cầu

## Tổng Quan

Ngày 09/07/2026, **Microsoft Threat Intelligence** công bố phân tích chi tiết ở cấp độ mã nguồn về **GigaWiper** — một backdoor viết bằng ngôn ngữ **Go (Golang)** có khả năng phá hoại hệ thống ở mức độ đĩa vật lý. Điều khiến GigaWiper trở nên đặc biệt không nằm ở một kỹ thuật đơn lẻ, mà ở kiến trúc của nó: đây không phải một wiper thuần túy, mà là sản phẩm "khâu vá" từ **ít nhất ba họ mã độc riêng biệt** — một wiper đĩa vật lý, một module mã hóa bắt nguồn từ ransomware **Crucio**, và một wiper an toàn nhiều lượt tái hiện lại logic của **FlockWiper** — gộp lại thành các *lệnh backdoor gọi theo yêu cầu* trong cùng một implant.

Rủi ro cốt lõi của mô hình này là **tính linh hoạt kép**: kẻ tấn công có thể lặng lẽ duy trì quyền kiểm soát và do thám trong nhiều tháng, rồi chỉ bằng một câu lệnh, chuyển ngay sang chế độ hủy diệt — xóa sạch ổ đĩa, mã hóa dữ liệu không thể khôi phục, gây màn hình xanh chết chóc (BSOD) và xóa dấu vết. Microsoft nhấn mạnh đây là **một bước chuyển đáng chú ý của dòng mã độc wiper**, vốn trước nay thường chỉ được thiết kế thuần túy để hủy diệt chứ không kết hợp cả gián điệp và tống tiền.

Hoạt động phá hoại được Microsoft ghi nhận lần đầu từ **tháng 10/2025** và kéo dài hơn tám tháng. GigaWiper cũng được **Google Threat Intelligence Group (GTIG)** và **Binary Defense** theo dõi dưới định danh **BLUERABBIT**; Binary Defense ghi nhận các tệp tương ứng lần đầu vào tháng 03/2026.

* * *

## Đôi Nét Về Threat Actor

### Định danh và Attribution

Microsoft **không đưa ra quy kết chính thức về nhà nước tài trợ** trong bài phân tích của mình. Thay vào đó, hãng liên kết GigaWiper với **cùng một nhà phát triển đã tạo ra Crucio và FlockWiper**, dựa trên bằng chứng ở cấp độ mã nguồn (trình bày chi tiết ở phần sau). Tuy nhiên, sợi dây liên hệ tới Crucio mở ra một hướng attribution đáng lưu ý.

| **Thuộc tính** | **Chi tiết** |
| --- | --- |
| **Tên công cụ** | GigaWiper (Microsoft) / BLUERABBIT (GTIG, Binary Defense) |
| **Ngôn ngữ phát triển** | Go (Golang) — các mẫu là PE chưa bị strip (unstripped) |
| **Thời điểm ghi nhận** | Hoạt động phá hoại: tháng 10/2025 (Microsoft); tệp BLUERABBIT: tháng 3/2026 (Binary Defense) |
| **Họ mã độc thành phần** | Wiper đĩa vật lý độc lập + Crucio (ransomware) + FlockWiper (secure wiper) |
| **Cơ sở attribution** | Cùng nhà phát triển của Crucio và FlockWiper `[Microsoft]` |
| **Động cơ** | Phá hoại (destruction) kết hợp gián điệp (espionage) và ngụy trang tống tiền (fake ransomware) |

### Sợi dây liên hệ tới Crucio và CyberAv3ngers

Module mã hóa của GigaWiper (Command 3) dùng chung một hàm mang tên `BigBangExtortMain` với ransomware **Crucio**. Crucio đã được **Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA)** ghi nhận trong khuyến cáo **AA23-335A** tháng 12/2023.

* * *

## Phân Tích Kĩ Thuật

Microsoft ghi nhận **hai loại mẫu** GigaWiper trong các môi trường bị xâm phạm, cả hai đều là PE viết bằng Golang chưa bị strip:

1.  **Wiper độc lập** (standalone wiper binary)
    
2.  **Backdoor đầy đủ chức năng** — trong đó toàn bộ mã của wiper độc lập được nhúng vào như **một lệnh** của backdoor.
    

### Thành phần 1: Wiper đĩa vật lý độc lập

Thay vì xóa từng tệp, wiper này hoạt động **ở mức đĩa vật lý**. Chuỗi hành vi của nó:

1.  **Liệt kê đĩa qua WMI:** Sử dụng truy vấn Windows Management Instrumentation để lấy định danh thiết bị và metadata của từng ổ đĩa.
    
    ![](https://cdn.hashnode.com/uploads/covers/669e2578c18c3baa1b4fc070/8ca758aa-9122-4015-bcc5-aeeb6a5fc413.png align="center")
    
2.  **Xác định ổ chứa Windows:** Gọi hàm `main.FindWindowsDrive` để tìm ổ chứa bản cài đặt Windows (ví dụ `\\.\PHYSICALDRIVE0`).
    
3.  **Phá bảng phân vùng của các ổ khác:** Với mỗi ổ không phải Windows, gọi `main.unallocateDrive` — sử dụng `DeviceIoControl` cùng `IOCTL_DISK_CREATE_DISK` để khởi tạo lại metadata phân vùng, xóa sạch các entry trong bảng phân vùng. Nếu thành công, in ra console dòng `Partitions removed successfully.`
    
4.  **Ghi đè dữ liệu:** Gọi `main.writeRandToDrive` ghi đè từng ổ theo từng khối kích thước `0xA00000`. **Chi tiết kỹ thuật đáng chú ý:** byte đầu tiên của mỗi buffer được ngẫu nhiên hóa bằng `crypto/rand.Read`, phần còn lại là các byte 0. Nếu tạo số ngẫu nhiên thất bại, dùng giá trị byte `1`. Kiểu ghi đè này **có thể nhằm né các cơ chế phát hiện tìm kiếm hành vi zero-hóa toàn đĩa** một cách lộ liễu.
    
5.  **Khởi động lại ngay lập tức:** Gọi chức năng shutdown của Windows với tùy chọn restart và độ trễ bằng 0.
    

Trong backdoor, chính chức năng này được cài đặt dưới dạng hàm `rabbit_tools_tool_wipe_main.WipeMain` — trùng cả luồng mã lẫn tên hàm với bản độc lập.

![](https://cdn.hashnode.com/uploads/covers/669e2578c18c3baa1b4fc070/dce8921e-f5ba-4777-9619-4b0abaadd285.png align="center")

### Thành phần 2: Backdoor — Persistence và C2

**Duy trì hiện diện (Persistence):**

![](https://cdn.hashnode.com/uploads/covers/669e2578c18c3baa1b4fc070/7ef784f8-51db-4961-a2c4-771fa081472e.png align="center")

*   Tạo và sử dụng khóa registry `HKCU\SOFTWARE\OneDrive\Environment` để đếm số lần thực thi.
    
*   Ở lần chạy đầu, tạo một **Scheduled Task ngụy trang tên** `OneDrive Update`, cấu hình chạy gần như **mỗi phút** cộng với một lần khi hệ thống khởi động.
    

**Kênh liên lạc (C2) — kép:**

*   **RabbitMQ qua giao thức AMQP:** nhận lệnh từ máy chủ C2.
    
*   **Redis:** cập nhật trạng thái và kết quả thực thi lệnh.
    
*   Cấu hình được mã hóa cứng (hard-coded), giải mã bằng **AES với khóa cố định**. Một mẫu quan sát được dùng `185.182.193[.]21:5544` làm máy chủ RabbitMQ C2 và `185.182.193[.]21:7542` làm máy chủ Redis.
    
*   Backdoor khai báo một **fanout exchange tên "All"** (mọi lệnh gửi vào đây được phát broadcast tới toàn bộ client bị nhiễm) và một **topic exchange tên "Topic"** (cho phép gửi lệnh nhắm mục tiêu, không broadcast).
    

### Thành phần 3: Bộ lệnh điều khiển (Command 1–20)

Đây là phần cho thấy rõ nhất tính "đa nhân cách" của GigaWiper. Backdoor hỗ trợ tối đa 20 mã lệnh:

| **Command** | **Chức năng** | **Ghi chú** |
| --- | --- | --- |
| **1** | Gọi `WipeMain` — wiper đĩa vật lý | Trùng khớp với wiper độc lập |
| **2** | Gây **BSOD** và ngăn máy khởi động | Vô hiệu hóa Windows Recovery, chiếm quyền sở hữu và xóa các tệp boot/kernel then chốt |
| **3** | Gọi `RanMain` + `BigBangExtortMain` — **mã hóa kiểu ransomware** | Khóa và IV ngẫu nhiên, **không lưu ở đâu** → không thể giải mã. Đổi đuôi tệp thành `.candy`, đặt ảnh nền cảnh báo. **Nguồn gốc: Crucio** |
| **4** | Tải tệp lên kho lưu trữ từ xa bằng **MinIO Client (**`mc.exe`**)** | Nhận tham số: IP/Port, alias, user/pass, bucket, đường dẫn nguồn |
| **5** | Tiện ích **mã hóa/giải mã tệp hàng loạt** (AES-256-CBC) | Có chế độ enc/dec; nếu không cấp khóa sẽ sinh ngẫu nhiên và lưu vào `key.txt` |
| **6** | Chạy PE từ map (chưa thấy populated) | Log `Exec cmd wipe-file` gợi ý đây là chức năng wiper |
| **7** | **PowerShell shell** + các "special command" | Nối \`;" |
| **8** | **Quản lý route RabbitMQ** | Bind/unbind routing key để nhận lệnh nhắm mục tiêu |
| **9** | Chụp màn hình mỗi màn hình đang hoạt động | Lưu PNG theo `.\<timestamp>\<index>.png` |
| **10** | **Quay màn hình** khi người dùng không idle và máy được mở khóa | Lưu vào `C:\ProgramData\output` (always-run) |
| **11** | Chạy PE từ map (chưa thấy populated) | Log `Exec cmd keylog` gợi ý keylogger |
| **12** | Gọi `WipeCMain` — **wiper an toàn nhiều lượt** cho ổ Windows | Ghi đè nhiều pass với các mẫu byte xen kẽ (0x00, 0xFF, ngẫu nhiên). **Nguồn gốc: FlockWiper** |
| **13** | Chạy PE từ map, chạy với quyền admin | Log `Exec cmd wipe32` gợi ý một wiper khác |
| **14** | (Chưa được cài đặt) | — |
| **15** | **Thu thập thông tin hệ thống** (`GRATClientInfo`) | IP, Machine GUID, CPU, OS, cấu hình mạng, firmware, user, **thông tin phần mềm diệt virus** |
| **16** | **Quản lý tiến trình** | create/resume/suspend/list/kill/processInfo |
| **17** | **Quản lý dịch vụ** | create/delete/restart/query/start/list/stop |
| **18** | **Quản lý Registry** (phiên tương tác) | show/navigate/back/createKey/deleteKey/setValue... |
| **19** | **Xóa nhật ký sự kiện Windows** | Xóa System/Setup/Application/ForwardedEvents/Security qua `wevtutil.exe`; nếu thất bại thì xóa trực tiếp `Security.evtx` |
| **20** | **Điều khiển từ xa kiểu VNC** | Streaming màn hình, điều khiển chuột/bàn phím qua TCP; tạo firewall rule **ngụy trang tên rule hợp pháp của Windows** (`Microsoft.Windows.CloudExperienceHost`) |

* * *

## GigaWiper Được "Lắp Ráp" Như Thế Nào

Điểm mấu chốt trong phân tích của Microsoft: **ba lệnh phá hoại (1, 3, 12) đều bắt nguồn từ ba họ mã độc riêng biệt** mà chính threat actor này từng dùng, được khâu lại thành các lệnh trong cùng một implant.

### Bằng chứng liên kết với Crucio (Command 3)

*   Hàm `BigBangExtortMain` **mang tên trùng khớp** với một hàm trong ransomware Crucio (ghi nhận trong khuyến cáo CISA AA23-335A, 12/2023).
    
*   Command 3 **dựa rất nhiều vào mã của Crucio** về luồng thực thi và cách đặt tên hàm.
    
*   → Microsoft đánh giá **cùng một threat actor đã phát triển cả hai họ mã độc**.
    

### Bằng chứng liên kết với FlockWiper (Command 12)

*   `WipeCMain` **về cơ bản trùng khớp** với wiper mà Microsoft theo dõi dưới tên FlockWiper. FlockWiper viết bằng **C**, còn GigaWiper **tái cài đặt logic đó bằng Go** với bổ sung tính năng ghi đè nhiều lượt.
    
*   FlockWiper được tải lên VirusTotal lần đầu **tháng 06/2025**, tức vài tháng trước khi GigaWiper xuất hiện.
    
*   **Chuỗi "GRAT":** Các mẫu FlockWiper chứa đường dẫn PDB tham chiếu chuỗi `GRAT` (ví dụ `A:\GRAT\CWipeNew\Release\CWipeNew.pdb`). Chuỗi này cũng xuất hiện dày đặc trong tên hàm của GigaWiper. Đáng chú ý, các binary FlockWiper **không** chứa chức năng "GRAT" nào — điều này gợi ý sự tồn tại của **một framework hoặc component lớn hơn chưa được phục hồi**.
    

* * *

## Tóm Tắt Rủi Ro Chiến Dịch

| **Chiều Rủi ro** | **Mức độ** | **Lý do** |
| --- | --- | --- |
| **Khả năng Phá hủy (Destructiveness)** | Nghiêm trọng | Ba cơ chế xóa dữ liệu độc lập + mã hóa không thể khôi phục; xóa cả bảng phân vùng và ổ Windows |
| **Khả năng Khôi phục (Recoverability)** | Rất thấp | Khóa mã hóa ngẫu nhiên **không bao giờ được lưu**; ghi đè nhiều pass theo chuẩn secure-erase |
| **Tính linh hoạt (Flexibility)** | Rất cao | Cùng một implant vừa do thám âm thầm, vừa phá hoại theo yêu cầu — chuyển chế độ chỉ bằng một câu lệnh |
| **Khả năng Ẩn mình (Stealth)** | Cao | Ghi đè byte đầu ngẫu nhiên để né phát hiện; xóa event log; ngụy trang Scheduled Task ("OneDrive Update") và firewall rule |
| **Độ Bền của Xâm phạm (Persistence)** | Cao | Scheduled Task chạy mỗi phút + khi khởi động; C2 kép RabbitMQ/Redis |
| **Phạm vi Ảnh hưởng (Blast Radius)** | Cao | Fanout exchange "All" cho phép broadcast lệnh phá hoại tới **toàn bộ** máy bị nhiễm cùng lúc |

* * *

## IOC & Artifacts

### Host-based Indicators

*   **Scheduled Task ngụy trang:** tên `OneDrive Update`, cấu hình chạy mỗi phút + khi khởi động.
    
*   **Khóa registry:** `HKCU\SOFTWARE\OneDrive\Environment` (bộ đếm số lần thực thi).
    
*   **Tệp bị mã hóa:** đuôi `.candy`; ảnh nền bị đổi thành `./image_danger.jpg`.
    
*   **Thư mục output:** `C:\ProgramData\output` (bản ghi màn hình từ Command 10).
    
*   **Firewall rule ngụy trang:** đặt tên theo `Microsoft.Windows.CloudExperienceHost`.
    
*   **Console string đặc trưng:** `Partitions removed successfully.`, `Pass 1/2/3 Time took:`, chuỗi bất thường `kharbvnmhkjbkjb` (in ra khi xóa event log).
    

### Network Indicators (C2)

| **Indicator** | **Type** | **Mô tả** |
| --- | --- | --- |
| `185.182.193[.]21` | IP | GigaWiper C2 (RabbitMQ `:5544`, Redis `:7542`) |
| `212.8.248[.]104` | IP | GigaWiper C2 |

### Malicious files (SHA-256)

| **Hash** | **Loại** |
| --- | --- |
| `633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001` | GigaWiper backdoor |
| `ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913` | GigaWiper backdoor |
| `f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd657a05bfd` | GigaWiper backdoor |
| `9706a192e2c1a1faaf0a521daf31c2af60ff4590e3f47bbb4abc227f42af0683` | GigaWiper backdoor |
| `3c30deb6556a94cfb84ae51798f4aecfae8c7358e55fdb321c5f2376579631cd` | GigaWiper standalone wiper |
| `440b5385d3838e3f6bc21220caa83b65cd5f3618daea676f271c3671650ce9a3` | Crucio |
| `12c39f052f030a77c0cd531df86ad3477f46d1287b8b98b625d1dcf89385d721` | FlockWiper |
| `db41e0da7ab3305be8d9720769c6950b4dc1c1984ef857d3310eb873a0fc7674` | FlockWiper |

* * *

## MITRE ATT&CK Mapping

| **Tactic** | **Technique ID** | **Technique Name** | **Mô tả trong chiến dịch** |
| --- | --- | --- | --- |
| **Persistence** | T1053.005 | Scheduled Task/Job: Scheduled Task | Task `OneDrive Update` chạy mỗi phút và khi khởi động |
| **Persistence** | T1547 | Boot or Logon Autostart Execution | Kết hợp khóa registry `HKCU\...\OneDrive\Environment` |
| **Command and Control** | T1071 | Application Layer Protocol | C2 qua RabbitMQ (AMQP) và Redis |
| **Collection** | T1113 | Screen Capture | Command 9 (chụp) và Command 10 (quay màn hình) |
| **Collection** | T1082 | System Information Discovery | Command 15 thu thập thông tin hệ thống và AV |
| **Defense Evasion** | T1070.001 | Indicator Removal: Clear Windows Event Logs | Command 19 xóa System/Setup/Application/Security log |
| **Defense Evasion** | T1036 | Masquerading | Ngụy trang Scheduled Task và firewall rule theo tên hợp pháp |
| **Impact** | T1561.001 | Disk Wipe: Disk Content Wipe | Command 1 ghi đè nội dung đĩa thô |
| **Impact** | T1561.002 | Disk Wipe: Disk Structure Wipe | Xóa bảng phân vùng qua `IOCTL_DISK_CREATE_DISK` |
| **Impact** | T1486 | Data Encrypted for Impact | Command 3 mã hóa kiểu ransomware không thể khôi phục |
| **Impact** | T1529 | System Shutdown/Reboot | Ép reboot ngay sau khi wipe |
| **Impact** | T1499 | Endpoint Denial of Service | Command 2 gây BSOD, chặn khởi động |

* * *

## Nhận Định

Kiến trúc của GigaWiper phản ánh một xu hướng đáng lo trong thế giới mã độc phá hoại: **sự "công nghiệp hóa" và hợp nhất công cụ**. Thay vì phát triển và triển khai riêng lẻ từng wiper, ransomware hay công cụ do thám, threat actor gộp tất cả vào một implant mô-đun duy nhất. Điều này mang lại hai lợi thế vận hành: **giảm dấu chân triển khai** (deployment footprint) và **mở rộng năng lực phá hoại** — kẻ tấn công chỉ cần đưa vào một payload nhưng có trong tay cả kho vũ khí.

**Ranh giới giữa gián điệp, ransomware và phá hoại đang mờ dần.** GigaWiper cho phép kẻ tấn công lặng lẽ chụp màn hình, quay video, thu thập thông tin hệ thống trong nhiều tháng — hoạt động không khác gì một chiến dịch gián điệp — rồi khi cần, kích hoạt lệnh xóa sạch. Đặc biệt nguy hiểm là **module Command 3 giả dạng ransomware nhưng thực chất là wiper**: nó đổi đuôi `.candy`, đặt ảnh nền cảnh báo, tạo cảm giác đây là một vụ tống tiền có thể "trả tiền chuộc để lấy lại dữ liệu" — trong khi thực tế khóa giải mã **không bao giờ tồn tại**. Đây là đòn tâm lý khiến nạn nhân lãng phí thời gian quý báu vào việc thương lượng thay vì khôi phục từ backup.

**Với đội ngũ phòng thủ, hệ quả rất rõ ràng: không thể chỉ dựa vào việc "phân loại" mã độc để ưu tiên xử lý.** Bất kỳ backdoor nào tồn tại lâu trong mạng đều nên được xem là **rủi ro hủy hoại dữ liệu tiềm tàng**, bởi ranh giới giữa "một implant do thám" và "một wiper" giờ đây chỉ là một câu lệnh C2. Fanout exchange "All" còn cho phép kẻ tấn công **phát lệnh phá hoại đồng loạt** tới toàn bộ máy bị nhiễm — biến một sự cố cục bộ thành thảm họa toàn tổ chức trong vài giây.

Đối với các tổ chức tại Việt Nam, đặc biệt là những đơn vị vận hành hạ tầng trọng yếu (năng lượng, nước, viễn thông), sợi dây liên hệ gián tiếp tới các nhóm nhắm vào cơ sở hạ tầng công nghiệp là một lời cảnh tỉnh: **với wiper, phòng ngừa và khả năng khôi phục quan trọng hơn nhiều so với phản ứng sau sự cố** — bởi khi lệnh xóa đã chạy, không còn gì để phản ứng.

* * *

## Khuyến Nghị

### Khẩn cấp (0–24h)

1.  **Săn tìm IOC ngay:** Chặn hai IP C2 (`185.182.193[.]21`, `212.8.248[.]104`) tại tường lửa/proxy; quét toàn bộ endpoint theo danh sách SHA-256 ở trên.
    
2.  **Rà soát Scheduled Task giả mạo:** Tìm task tên `OneDrive Update` trỏ tới binary bất thường (không nằm trong thư mục cài OneDrive chính chủ); kiểm tra khóa registry `HKCU\SOFTWARE\OneDrive\Environment`.
    
3.  **Kiểm tra lưu lượng RabbitMQ/Redis bất thường:** Cảnh báo mọi kết nối AMQP/Redis ra ngoài từ endpoint không có nhu cầu nghiệp vụ.
    

### Ngắn hạn (1–7 ngày)

1.  **Bật Tamper Protection toàn tenant** để ngăn kẻ tấn công tắt dịch vụ bảo mật hoặc thêm loại trừ AV; với Intune/MDE, bật `DisableLocalAdminMerge`.
    
2.  **Bật cloud-delivered protection và EDR in block mode** để chặn các artifact độc hại kể cả khi AV bên thứ ba bỏ sót.
    
3.  **Xây dựng luật phát hiện trên EDR/SIEM:**
    
    *   Tiến trình gọi `DeviceIoControl` với `IOCTL_DISK_CREATE_DISK` hoặc ghi thô vào `\\.\PHYSICALDRIVE*` từ tiến trình không đáng tin.
        
    *   Việc xóa event log hàng loạt qua `wevtutil.exe cl` (System, Setup, Application, Security, ForwardedEvents).
        
    *   Sự xuất hiện của tệp đuôi `.candy` hoặc ảnh `image_danger.jpg` được đặt làm wallpaper.
        
        ![](https://cdn.hashnode.com/uploads/covers/669e2578c18c3baa1b4fc070/f2b532fb-9a62-42d3-82e9-9e98bfa18ae9.png align="center")
        
    *   Tạo firewall rule mới mang tên `Microsoft.Windows.CloudExperienceHost` từ tiến trình lạ.
        

### Dài hạn

1.  **Củng cố chiến lược sao lưu chống wiper:** Duy trì backup **ngoại tuyến (offline), bất biến (immutable)**, tách biệt mạng, và **kiểm thử khôi phục định kỳ** — đây là biện pháp cuối cùng còn hiệu lực khi wiper đã chạy.
    
2.  **Áp dụng Attack Surface Reduction:** Chặn thực thi tệp không đạt ngưỡng prevalence/age/trusted-list; hạn chế thực thi từ thư mục tạm.
    
3.  **Giám sát hành vi C2 phi truyền thống:** Coi RabbitMQ, Redis, MinIO Client (`mc.exe`) là các công cụ cần theo dõi chặt trong môi trường không có nhu cầu sử dụng chính đáng.
    

* * *

## Tham Khảo

*   [GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware — Microsoft Threat Intelligence (09/07/2026)](https://www.microsoft.com/en-us/security/blog/2026/07/09/gigawiper-anatomy-of-a-destructive-backdoor-assembled-from-multiple-malware/)
    
*   [GigaWiper Combines Multiple Malware for System-Level Sabotage — SecurityWeek](https://www.securityweek.com/gigawiper-combines-multiple-malware-for-system-level-sabotage/)
    
*   [New GigaWiper Windows Backdoor Bundles Disk Wiping, Fake Ransomware, and Spyware — The Hacker News](https://thehackernews.com/2026/07/new-gigawiper-windows-backdoor-bundles.html)
    
*   [CISA Advisory AA23-335A: IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors (12/2023)](https://www.cisa.gov/sites/default/files/2023-12/aa23-335a-irgc-affiliated-cyber-actors-exploit-plcs-in-multiple-sectors-1.pdf)
