RTX RAT

Một sự cố bảo mật liên quan đến CPUID đã khiến người dùng tiếp xúc với phần mềm độc hại thông qua trang web chính thức của họ, cpuid.com. Trong khoảng thời gian chưa đầy 24 giờ, các đối tượng tấn công đã thao túng thành công các liên kết tải xuống để phát tán các phiên bản bị nhiễm của các công cụ giám sát phần cứng được sử dụng rộng rãi.

Vụ xâm nhập xảy ra trong khoảng thời gian từ 15:00 UTC ngày 9 tháng 4 đến 10:00 UTC ngày 10 tháng 4, trong đó các liên kết cài đặt hợp pháp bị thay thế liên tục bằng các liên kết chuyển hướng độc hại. Điều quan trọng là, CPUID đã xác nhận rằng các tệp nhị phân đã được ký gốc của họ vẫn còn nguyên vẹn, vì vụ xâm nhập bắt nguồn từ một tính năng phụ, về cơ bản là một API phụ, khiến trang web hiển thị ngẫu nhiên các liên kết độc hại thay vì thay đổi phần mềm cốt lõi.

Hạ tầng độc hại: Các tên miền giả mạo đứng sau vụ tấn công

Các cuộc điều tra của các nhà nghiên cứu an ninh mạng đã xác định được một số tên miền được sử dụng để lưu trữ và phân phối các phần mềm độc hại chứa mã độc Trojan. Các trang web bất hợp pháp này đóng vai trò trung tâm trong việc chuyển hướng người dùng không nghi ngờ đến các trang web tải xuống bị xâm phạm:

• cahayailmukreatif.web[.]id
• pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
• transitopalermo[.]com
• Vatrobran[.]hr

Các tên miền này là một phần của cơ sở hạ tầng rộng lớn hơn được thiết kế để hỗ trợ việc phân phối phần mềm độc hại và các hoạt động điều khiển từ xa.

Cơ chế phân phối lén lút: Lạm dụng tải DLL bên ngoài

Nhóm tấn công đã sử dụng một kỹ thuật né tránh nổi tiếng gọi là tải DLL từ bên ngoài (DLL side-loading). Các gói phần mềm độc hại được phân phối dưới dạng cả tệp lưu trữ ZIP và trình cài đặt độc lập, mỗi tệp chứa hai thành phần: một tệp thực thi hợp pháp, đã được ký và một thư viện liên kết động (DLL) giả mạo có tên 'CRYPTBASE.dll'.

Bằng cách lợi dụng sự tin tưởng đặt vào các tập tin nhị phân đã được ký điện tử, tập tin DLL độc hại đã được tải trong quá trình thực thi, cho phép xâm nhập bí mật. Trước khi thực hiện các hành động tiếp theo, phần mềm độc hại đã tiến hành kiểm tra chống sandbox để tránh bị phát hiện trong môi trường phân tích. Sau khi vượt qua các kiểm tra này, nó đã liên hệ với máy chủ bên ngoài để lấy thêm các payload.

Triển khai STX RAT: Một công cụ hậu khai thác đa năng

Mục tiêu cuối cùng của chiến dịch là triển khai STX RAT, một loại trojan truy cập từ xa mạnh mẽ được trang bị khả năng điện toán mạng ảo ẩn (HVNC) và chức năng đánh cắp dữ liệu quy mô lớn.

Phần mềm độc hại này cho phép kẻ tấn công duy trì quyền kiểm soát liên tục đối với các hệ thống bị nhiễm và thực hiện nhiều hoạt động sau khi khai thác, bao gồm:

• Thực thi trực tiếp trong bộ nhớ các tập lệnh EXE, DLL, PowerShell và shellcode.
• Máy chủ proxy ngược và đường hầm mạng
• Tương tác và giám sát máy tính từ xa

Những khả năng như vậy khiến STX RAT trở nên đặc biệt nguy hiểm trong cả môi trường cá nhân và doanh nghiệp.

Sự trùng lặp chiến dịch: Liên kết đến các cuộc tấn công FileZilla trước đó

Phân tích cho thấy cơ sở hạ tầng Chỉ huy và Kiểm soát (C2) được sử dụng trong sự cố này trước đây đã được liên kết với một chiến dịch riêng biệt liên quan đến các trình cài đặt FileZilla bị nhiễm mã độc Trojan. Việc tái sử dụng cùng cấu hình máy chủ và tên miền liên lạc cho thấy rõ sự chồng chéo về mặt hoạt động giữa hai chiến dịch.

Việc lặp lại các chiến thuật, kỹ thuật và cơ sở hạ tầng này đã cung cấp những chỉ báo có giá trị cho việc phát hiện và xác định nguồn gốc.

Chiến dịch dài hạn: Lịch trình chiến dịch 10 tháng

Điều tra sâu hơn cho thấy vụ xâm nhập CPUID là một phần của chiến dịch rộng lớn hơn bắt đầu từ tháng 7 năm 2025. Mẫu phần mềm độc hại sớm nhất được biết đến, được xác định là 'superbad.exe', đã được quan sát thấy đang liên lạc với máy chủ điều khiển tại địa chỉ IP 95.216.51.236.

Các chuyên gia an ninh đánh giá rằng kẻ tấn công có khả năng nói tiếng Nga và có thể có động cơ tài chính hoặc hoạt động như một nhà môi giới truy cập ban đầu, một thực thể chuyên giành được chỗ đứng trong các hệ thống và bán quyền truy cập đó cho các tội phạm mạng khác.

Đánh giá tác động: Phạm vi toàn cầu với nhiều đối tượng nạn nhân khác nhau

Vụ tấn công đã ảnh hưởng đến hơn 150 nạn nhân được xác nhận, chủ yếu là người dùng cá nhân. Tuy nhiên, các tổ chức thuộc nhiều ngành khác nhau cũng đã bị xâm phạm, bao gồm các lĩnh vực bán lẻ, sản xuất, tư vấn, viễn thông và nông nghiệp.

Về mặt địa lý, phần lớn các ca nhiễm bệnh được xác định ở Brazil, Nga và Trung Quốc, cho thấy một chiến lược nhắm mục tiêu rộng rãi và mang tính cơ hội.

Những điểm yếu trong hoạt động: Các lỗi dẫn đến việc bị phát hiện

Mặc dù quy mô chiến dịch rất lớn, nhưng một số sự cố về an ninh vận hành đã làm suy yếu đáng kể hiệu quả của tin tặc. Việc tái sử dụng các chuỗi lây nhiễm, tải trọng STX RAT và tên miền điều khiển từ xa giống hệt nhau từ các chiến dịch trước đó đã giúp việc theo dõi và đối chiếu hoạt động trở nên dễ dàng hơn.

Những thiếu sót này cho thấy trình độ tinh vi tương đối thấp trong việc phát triển và triển khai phần mềm độc hại. Do đó, các chuyên gia phòng thủ đã có thể phát hiện ra cuộc tấn công "watering hole" một cách nhanh chóng sau khi nó bắt đầu, hạn chế tác động tổng thể và thời gian bị phơi nhiễm.