Lumma Stealer + Sectop RAT (ArechClient2): Chuỗi Tấn Công Hai Giai Đoạn Qua Phần Mềm Crack Giả Mạo
Tóm tắt
Ngày 17/04/2026, SANS Internet Storm Center ghi nhận một chiến dịch phân phối Lumma Stealer kết hợp Sectop RAT (còn gọi là ArechClient2) nhắm vào người dùng tìm kiếm phần mềm crack. Kẻ tấn công dùng trang giả mạo MEGA để phát tán file 7-zip được bảo vệ bằng mật khẩu, bên trong là một EXE được "thổi phồng" lên 806 MB nhờ đệm null-byte — thủ thuật cổ điển nhưng vẫn qua mặt phần lớn antivirus dựa trên kích thước file. Khi nạn nhân chạy EXE, Lumma Stealer lập tức thu thập thông tin xác thực, cookie, ví tiền điện tử, rồi tải về một DLL thứ cấp để cài Sectop RAT — mở persistent backdoor dưới dạng truy cập từ xa dài hạn. Với tổ chức doanh nghiệp, hậu quả không dừng lại ở mất tài khoản cá nhân: session cookie bị đánh cắp cho phép bypass MFA, credential bị tái sử dụng để pivot vào hạ tầng nội bộ, còn RAT tạo foothold cho lateral movement về sau.
Hành động ưu tiên: Chặn toàn bộ domain/IP C2 trong danh sách IOC, triển khai rule phát hiện rundll32 load DLL từ %APPDATA%\Local\Temp, và chạy retrospective hunt trên log endpoint ít nhất 30 ngày gần nhất.
1. Bối cảnh chiến dịch
Lumma Stealer — Không phải mới nhưng vẫn nguy hiểm
Lumma Stealer (còn gọi là LummaC2) là infostealer viết bằng C, hoạt động theo mô hình Malware-as-a-Service (MaaS) trên các diễn đàn tiếng Nga từ ít nhất tháng 8/2022. Tác giả của nó được cho là threat actor "Shamel" với alias "Lumma", chủ yếu nhắm vào ví tiền điện tử, extension 2FA trên trình duyệt, và cuối cùng đánh cắp toàn bộ thông tin nhạy cảm trên máy nạn nhân.
Microsoft Threat Intelligence theo dõi nhóm phát triển Lumma dưới tên Storm-2477. Các affiliate trả phí cho Storm-2477 để truy cập panel build binary và quản lý C2, sau đó tự triển khai chiến dịch riêng. Điều này giải thích tại sao chiến thuật phân phối Lumma liên tục biến đổi: mỗi affiliate có thể tùy chỉnh vector tấn công, trong khi core stealer vẫn giống nhau.
Tháng 5/2025, Microsoft và Europol phối hợp triệt phá hạ tầng Lumma, thu hồi hơn 2.300 domain C2. Tuy nhiên, chỉ vài tuần sau đó, số lượng tài khoản bị nhắm mục tiêu đã quay trở lại mức bình thường — cho thấy Lumma đã nhanh chóng tái thiết lập hoạt động. Chiến dịch tháng 4/2026 trong bài này là minh chứng rõ ràng: dù bị đánh sập cơ sở hạ tầng, mô hình MaaS cho phép các affiliate tiếp tục hoạt động gần như không gián đoạn.
Sectop RAT (ArechClient2) — Công cụ persistent access ít được chú ý hơn
Sectop RAT, còn biết đến với tên ArechClient2, là một Remote Access Trojan .NET được phát tán chủ yếu dưới dạng DLL và load qua rundll32.exe. Trong nhiều chiến dịch được ghi nhận từ 2024–2026, Sectop RAT thường xuất hiện như payload giai đoạn hai sau khi infostealer hoàn thành nhiệm vụ thu thập dữ liệu ban đầu. Sự kết hợp này phản ánh xu hướng threat actor ngày càng muốn duy trì persistent access thay vì chỉ thực hiện smash-and-grab đơn thuần.
2. Kill Chain / Attack Flow
[Nạn nhân] → Search "Adobe Premiere Pro crack 2026"
│
▼
[SEO Poisoning / Malvertising]
incolorand[.]com → Redirect đến trang giả mạo MEGA
│
▼
[Fake MEGA Page] — mega-nz.goldeneagletransport[.]com
│ Hiển thị hướng dẫn tải file "Adobe Premiere Pro 2026"
▼
[Download 7-zip] — arch.primedatahost3[.]cfd
│ adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z
│ Password: 6919 | Size: ~3.8 MB (compressed)
▼
[Extract] → appFile.exe (806 MB — inflated với null-bytes)
│
▼
[Execution Stage 1 — Lumma Stealer]
│ Thu thập: browser credentials, cookies, crypto wallets
│ C2 beacon đến: cankgmr[.]cyou, carytui[.]vu, decrnoj[.]club, ...
▼
[Download Stage 2] — enotsosun[.]pw/NetGui.dll
│ Lưu tại: C:\Users\[username]\AppData\Local\Temp\16XBPQ29ZBG94TYNOA.dll
▼
[Execution Stage 2 — Sectop RAT]
│ rundll32 [path]\16XBPQ29ZBG94TYNOA.dll,LoadForm
│ C2: 91.92.241[.]102:9000 (HTTP) + 91.92.241[.]102:443 (custom encrypted)
▼
[Persistent Backdoor — Remote Access]
3. Phân tích kỹ thuật chi tiết
3.1 Giai đoạn phân phối: SEO Poisoning + Fake Download Site
Kẻ tấn công giả mạo trang tải file MEGA, cung cấp hướng dẫn tải phần mềm crack Adobe Premiere Pro 2026. File 7-zip được bảo vệ bằng mật khẩu với size chỉ ~3.8 MB, nhưng sau khi giải nén cho ra EXE lên tới 806 MB.
Chuỗi URL được thiết kế tỉ mỉ:
# Bước 1: Landing page (giả SEO/ad click)
hxxps[:]//incolorand[.]com/how-visual-patch-enhances-ui-consistency-across-releases/
?utm_term=Adobe%20Premiere%20Pro%20(2026)%20Full%20v26.0.2
# Bước 2: Trang giả mạo MEGA
hxxps[:]//mega-nz.goldeneagletransport[.]com/Adobe_Premiere_Pro_(2026)_Full_v26.0.2_...zip
# Bước 3: Actual file download
hxxps[:]//arch.primedatahost3[.]cfd/auth/media/JvWcFd5vUoYTrImvtWQAASTh/...zip
Kiến trúc 3 lớp này không phải tình cờ — mỗi lớp phục vụ mục đích riêng: lớp đầu lọc traffic theo UTM parameter (cho phép kẻ tấn công biết nguồn nạn nhân đến từ đâu), lớp hai tạo social trust qua giao diện MEGA giả, lớp ba là hosting thực sự với domain ngắn hạn dễ rotate.
3.2 Kỹ thuật evasion: Inflated EXE + Password-Protected Archive
Đây là điểm kỹ thuật đáng chú ý nhất của chiến dịch này:
Inflated EXE (Null-byte padding):
File thực (deflated): 7,114,156 bytes (~7 MB)
File được phân phối: 806,127,604 bytes (~806 MB)
Phần padding: ~799 MB null-bytes (0x00)
Mục đích kép:
Vượt qua giới hạn scan size: Nhiều antivirus và sandbox từ chối hoặc bỏ qua file >100 MB do giới hạn tài nguyên.
Social engineering: Với nạn nhân, một EXE 806 MB nghe có vẻ "hợp lý" cho phần mềm video editing cao cấp. Password-protected archive: Mật khẩu
6919được cung cấp trực tiếp trên trang giả mạo. Điều này không che giấu nội dung khỏi người dùng, nhưng ngăn antivirus gateway và email scanner tự động giải nén và scan file — vì chúng không có mật khẩu.
3.3 Giai đoạn 1: Lumma Stealer — Thu thập thông tin
SHA256 (deflated): 353ddce78d58aef2083ca0ac271af93659cf0039b0b29d0d169fc015bd3610bc
Lumma Stealer sau khi execute sẽ:
Thu thập saved passwords và session cookies từ Chromium-based browsers (Chrome, Edge, Brave...) và Firefox
Đánh cắp crypto wallet data (extensions như MetaMask, Exodus...)
Lấy thông tin 2FA authenticator extensions
Exfiltrate sang C2 domains (xem IOC section) Core binary của Lumma được obfuscate bằng LLVM Control Flow Flattening, Control Flow Obfuscation, và customized stack decryption. Các critical API được implement qua low-level syscalls và Heaven's Gate technology để bypass EDR hooking.
Sau khi hoàn thành exfiltration, Lumma tải payload giai đoạn hai.
3.4 Giai đoạn 2: Sectop RAT (ArechClient2) — Persistent Backdoor
URL tải payload: hxxps[:]//enotsosun[.]pw/NetGui.dll
Lưu tại: C:\Users\[username]\AppData\Local\Temp\16XBPQ29ZBG94TYNOA.dll
Execution: rundll32 [path]\16XBPQ29ZBG94TYNOA.dll,LoadForm
SHA256: d9b576eb6827f38e33eda037d2cda4261307511303254a8509eeb28048433b2f
Sectop RAT giao tiếp với C2 qua 2 kênh song song:
| Kênh | Endpoint | Mục đích |
|---|---|---|
| HTTP | hxxp[:]//91.92.241[.]102:9000/wmglb |
Check-in / beaconing |
| HTTP | hxxp[:]//91.92.241[.]102:9000/wbinjget?q=66B553A8B94CE37C16F4EBC863D51FCC |
Lấy lệnh từ C2 |
| TCP | tcp[:]//91.92.241[.]102:443 |
Encrypted traffic (không phải TLS chuẩn) |
Đáng chú ý: port 443 được sử dụng nhưng KHÔNG phải HTTPS/TLS chuẩn — đây là custom encrypted protocol, giúp RAT blend vào traffic HTTPS thông thường ở layer network nhưng sẽ bị phát hiện nếu inspect deeper (JA3/JA4 mismatch, certificate absence).
Sectop RAT duy trì persistence trên host bị nhiễm, cung cấp cho kẻ tấn công khả năng:
Remote command execution
File upload/download
Screen capture
Mở rộng tấn công sang lateral movement về sau
4. Indicators of Compromise (IOC)
⚠️ Lưu ý: Tất cả domain/IP đã được defang. Thêm vào blocklist/SIEM ở dạng re-fang.
File Artifacts
# 7-zip archive (ban đầu)
SHA256: c7489e3bf546c5f2d958ac833cc7dbca4368dfba03a792849bc99c48a6b2a14f
Tên: adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z
Size: 3,888,051 bytes
Password: 6919
# Lumma Stealer EXE (inflated, chưa deflate)
SHA256: 4849f76dafbef516df91fecfc23a72afffaf77ade51f805eae5ad552bed88923
Tên: appFile.exe
Size: 806,127,604 bytes (~806 MB)
# Lumma Stealer EXE (deflated — dùng cho detection)
SHA256: 353ddce78d58aef2083ca0ac271af93659cf0039b0b29d0d169fc015bd3610bc
Size: 7,114,156 bytes
# Sectop RAT DLL
SHA256: d9b576eb6827f38e33eda037d2cda4261307511303254a8509eeb28048433b2f
Tên: NetGui.dll → lưu thành [random].dll trong %TEMP%
Size: 16,450,560 bytes
Network Indicators — Lumma Stealer C2
cankgmr[.]cyou
carytui[.]vu
decrnoj[.]club
genugsq[.]best
longmbx[.]click
mushxhb[.]best
pomflgf[.]vu
strikql[.]shop
ulmudhw[.]shop
Network Indicators — Payload Hosting & Sectop RAT C2
# Payload download
hxxps[:]//enotsosun[.]pw/NetGui.dll
# Sectop RAT C2
91.92.241[.]102 (IP)
91.92.241[.]102:9000 (HTTP C2)
91.92.241[.]102:443 (Custom encrypted — KHÔNG phải HTTPS)
Distribution Infrastructure
incolorand[.]com (landing/redirect)
mega-nz.goldeneagletransport[.]com (fake MEGA page)
arch.primedatahost3[.]cfd (file hosting)
Host-based Indicators
# File path Sectop RAT
C:\Users\[username]\AppData\Local\Temp\[16-char-random].dll
# Process chain đáng ngờ
[malware EXE] → rundll32.exe [temp_path]\[random].dll,LoadForm
# Registry persistence (cần kiểm tra)
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
5. MITRE ATT&CK Mapping
| Phase | Technique ID | Tên kỹ thuật | Mô tả |
|---|---|---|---|
| Initial Access | T1566 | Phishing | Giả mạo trang tải phần mềm |
| Initial Access | T1659 | Content Injection | SEO poisoning / inject link tải malware |
| Execution | T1204.002 | User Execution: Malicious File | Người dùng tự chạy EXE |
| Execution | T1218.011 | System Binary Proxy: Rundll32 | Load Sectop RAT DLL qua rundll32 |
| Defense Evasion | T1027 | Obfuscated Files or Information | EXE inflated với null-bytes |
| Defense Evasion | T1027.015 | Archive via Utility | 7-zip password-protected |
| Defense Evasion | T1036 | Masquerading | Giả danh Adobe Premiere installer |
| Credential Access | T1555.003 | Credentials from Web Browsers | Thu thập saved credentials |
| Credential Access | T1539 | Steal Web Session Cookie | Cookie/session theft |
| Collection | T1005 | Data from Local System | Thu thập file, wallet data |
| Command & Control | T1571 | Non-Standard Port | Port 443 dùng custom protocol |
| Command & Control | T1573 | Encrypted Channel | Custom encryption trên kết nối TCP |
| Persistence | T1547.001 | Registry Run Keys | Persistence cho Sectop RAT |
| Exfiltration | T1041 | Exfiltration Over C2 Channel | Data gửi qua Lumma C2 domains |
6. Nhận định chuyên gia
Tại sao chiến dịch này vẫn hoạt động hiệu quả?
Người dùng tìm kiếm phần mềm crack liên tục chấp nhận rủi ro cao hơn, tắt nhiều biện pháp bảo vệ hơn, và bỏ qua nhiều dấu hiệu cảnh báo hơn so với bất kỳ kịch bản nào khác. Threat actor biết điều này, và các family như Lumma tiếp tục khai thác nó.
Nhóm phân tích chúng tôi nhận thấy chuỗi tấn công này kết hợp nhiều lớp evasion đơn giản nhưng hiệu quả: password-protected archive ngăn gateway scan, inflated EXE qua mặt size-based detection, fake MEGA page tạo trust, và custom encrypted C2 trên port 443 làm rối network monitoring cơ bản. Không một kỹ thuật nào trong số này là mới — nhưng sự kết hợp lại đủ để bypass phần lớn endpoint security ở mức cấu hình mặc định.
Lumma + RAT: Chiến thuật tiến hóa
Sự kết hợp Lumma Stealer + RAT phản ánh bước tiến của threat actor từ "hit-and-run" sang "long game". Thay vì chỉ đánh cắp credential và biến mất, kẻ tấn công giờ muốn duy trì persistent access để:
Bán quyền truy cập cho initial access broker (IAB) phục vụ ransomware group
Theo dõi dài hạn tài khoản mục tiêu có giá trị cao
Sử dụng máy nạn nhân như một nút trong botnet Trend Micro ghi nhận pattern tương tự trong chiến dịch Lumma qua GitHub, nơi Lumma kéo theo SectopRAT, Vidar, và Cobeacon như payload phụ — cho thấy đây là TTPs được tái sử dụng có hệ thống, không phải sự kiện đơn lẻ.
Mức độ liên quan tại Việt Nam
Mô hình phân phối qua phần mềm crack đặc biệt phổ biến tại Việt Nam, nơi tỷ lệ sử dụng phần mềm không bản quyền vẫn ở mức cao. Lumma đã được ghi nhận nhắm vào người dùng tại nhiều quốc gia Đông Nam Á. Với người dùng cá nhân, rủi ro chính là mất tài khoản (email, ngân hàng, game, crypto). Với doanh nghiệp có nhân viên sử dụng thiết bị cá nhân truy cập hệ thống nội bộ (BYOD), một ca nhiễm Lumma có thể dẫn đến session hijacking vào VPN hoặc SSO, bypass MFA, và từ đó mở cửa cho lateral movement.
7. Khuyến nghị
Immediate (0–24 giờ)
1. Chặn tại firewall/proxy:
- Toàn bộ domain C2 Lumma trong IOC section
- IP: 91.92.241[.]102 (mọi port)
- Domain: enotsosun[.]pw, goldeneagletransport[.]com, primedatahost3[.]cfd
2. Hunt trên EDR/SIEM:
- Tìm process: rundll32.exe với parent khác thường
- Tìm file: *.dll trong %APPDATA%\Local\Temp\ được load bởi rundll32
- Tìm hash: match với IOC list
3. Check outbound traffic logs:
- Kết nối đến .cyou, .vu, .club, .best, .click, .shop domains
- TCP connections đến port 9000 và port 443 không phải HTTPS
Short-term (1–7 ngày)
4. Triển khai detection rules (xem Detection Logic section bên dưới)
5. User awareness: Thông báo nội bộ về rủi ro phần mềm crack,
đặc biệt là file 7-zip yêu cầu mật khẩu từ trang lạ
6. Kiểm tra policy BYOD: Thiết bị cá nhân có đang truy cập
hệ thống nội bộ không? Có yêu cầu MDM enrollment không?
7. Review browser password policy: Ưu tiên dùng password manager
riêng biệt thay vì lưu trong browser (Lumma target browser store)
Long-term
8. Deploy application control (AppLocker/WDAC):
Chặn EXE và DLL chưa ký chạy từ %TEMP%, %APPDATA%
9. Enable Script Block Logging và PowerShell Constrained Language Mode
10. Triển khai DNS filtering có khả năng block newly registered domains
(NRD) — phần lớn C2 Lumma dùng domain mới đăng ký
11. Cân nhắc sandbox tự động cho file tải về:
File >500 MB → tự động deflate và scan deflated version
8. Detection Logic
Sigma Rule — Sectop RAT DLL Load via Rundll32
title: Sectop RAT DLL Loaded via Rundll32 from Temp Directory
id: a1b2c3d4-e5f6-7890-abcd-ef1234567890
status: experimental
description: Detects rundll32 loading a DLL from Temp directory with LoadForm export
(Sectop RAT / ArechClient2 pattern)
references:
- https://isc.sans.edu/diary/32904
author: Security Research Team
date: 2026/04/26
tags:
- attack.execution
- attack.t1218.011
- attack.persistence
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith: '\rundll32.exe'
CommandLine|contains|all:
- '\AppData\Local\Temp\'
- '.dll'
- 'LoadForm'
condition: selection
falsepositives:
- Unlikely in standard environments
level: high
KQL (Microsoft Sentinel / Defender) — Lumma C2 Domain Detection
// Lumma Stealer C2 Domain Detection
let LummaC2Domains = dynamic([
"cankgmr.cyou", "carytui.vu", "decrnoj.club",
"genugsq.best", "longmbx.click", "mushxhb.best",
"pomflgf.vu", "strikql.shop", "ulmudhw.shop"
]);
union DeviceNetworkEvents, DnsEvents
| where RemoteUrl has_any (LummaC2Domains)
or Name has_any (LummaC2Domains)
| project TimeGenerated, DeviceName, RemoteUrl, RemoteIP, InitiatingProcessFileName
| order by TimeGenerated desc
KQL — Inflated EXE Detection (Large PE File Execution)
// Phát hiện EXE lớn bất thường được execute từ Downloads/Temp
DeviceProcessEvents
| where ProcessCommandLine has_any (".exe")
| join kind=leftouter (
DeviceFileEvents
| where FileSize > 500000000 // >500 MB
| where FileName endswith ".exe"
| project DeviceId, FileName, FileSize, FolderPath
) on DeviceId
| where isnotempty(FileSize)
| project TimeGenerated, DeviceName, FileName, FileSize, ProcessCommandLine
YARA Rule — Null-Byte Padded PE Detection
rule Inflated_PE_NullByte_Padding {
meta:
description = "Detects PE files with large null-byte padding (Lumma Stealer delivery technique)"
author = "Security Research Team"
date = "2026-04-26"
reference = "https://isc.sans.edu/diary/32904"
strings:
$mz = { 4D 5A }
$null_block = { 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 }
condition:
$mz at 0 and
filesize > 500MB and
#null_block > 1000
}
9. Tài liệu tham khảo
Brad Duncan, SANS ISC — Lumma Stealer infection with Sectop RAT (ArechClient2), 17/04/2026
Microsoft Security Blog — Lumma Stealer: Breaking down the delivery techniques and capabilities, 21/05/2025
Trend Micro — Back to Business: Lumma Stealer Returns with Stealthier Methods, 22/07/2025
Trend Micro — Lumma Stealer's GitHub-Based Delivery Explored via MDR, 30/01/2025
Microsoft — Disrupting Lumma Stealer: Microsoft leads global action, 21/05/2025
Malpedia — Lumma Stealer
Malpedia — Sectop RAT
ANY.RUN — Lumma Sample Analysis
ANY.RUN — Sectop RAT DLL Analysis
