Các tin tặc Triều Tiên đang sử dụng bộ công cụ độc hại mới để di chuyển dữ liệu giữa các hệ thống có kết nối Internet và air-gapped, phát tán qua các ổ đĩa di động và tiến hành giám sát bí mật.

Matanbuchus là một downloader độc hại phát triển bằng C++, đã được cung cấp dưới dạng dịch vụ phần mềm độc hại (MaaS) từ năm 2020. Trong suốt thời gian đó, trình tải này trải qua nhiều giai đoạn phát triển. Vào tháng 7/2025, phiên bản 3.0 của Matanbuchus đã được phát hiện trong thực tế, cung cấp cho các tác nhân đe dọa tùy chọn triển khai thêm các payload và thực hiện các thao tác bàn phím trực tiếp thông qua các lệnh shell. Mặc dù đơn giản, nhưng Matanbuchus gần đây được cho là có liên quan đến các hoạt động mã độc tống tiền. Phần mềm độc hại bao gồm hai thành phần cốt lõi: một mô-đun downloader và một mô-đun main. Dựa trên báo cáo của hãng bảo mật Zscaler, trong bài báo này này sẽ xem xét các tính năng chính của Matanbuchus, trong đó có các phương pháp obfuscation, cơ chế duy trì hoạt động và giao tiếp mạng.

Nhóm tin tặc APT Evasive Panda (còn được biết đến với tên Bronze Highland, Daggerfly và StormBamboo) đã hoạt động từ năm 2012, nhắm mục tiêu vào nhiều ngành công nghiệp với các chiến thuật tinh vi và không ngừng phát triển. Nghiên cứu mới đây của Kaspersky cho thấy các tin tặc này đã tiến hành các chiến dịch nhắm mục tiêu cao độ, bắt đầu từ tháng 11/2022 và kéo dài đến tháng 11/2024, chúng chủ yếu thực hiện các cuộc tấn công AitM nhắm vào các nạn nhân. Các kỹ thuật này bao gồm việc cài đặt mã độc vào các vị trí cụ thể và lưu trữ các phần mã hóa của phần mềm độc hại trên các máy chủ do kẻ tấn công kiểm soát, được giải mã khi nhận được yêu cầu DNS từ các trang web khác nhau.

Phần mềm độc hại botnet RondoDox hiện đang khai thác lỗ hổng thực thi mã từ xa nghiêm trọng (CVE-2025-24893) trong nền tảng XWiki.

Một chiến dịch tấn công mạng gần đây phát tán tệp LNK độc hại qua WhatsApp với URL tiếng Bồ Đào Nha, nhắm mục tiêu cụ thể vào các nạn nhân tại Brazil. Để tránh bị phát hiện, máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công sẽ xác minh từng lượt tải xuống để đảm bảo nó đến từ chính phần mềm độc hại. Toàn bộ chuỗi lây nhiễm này với mục đích cuối cùng là phát tán Trojan ngân hàng mới có tên Maverick, chứa nhiều code trùng lặp với mã độc Coyote. Dựa trên báo cáo của Kaspersky, bài viết sẽ trình bày chi tiết toàn bộ chuỗi tấn công, thuật toán mã hóa và các mục tiêu của chiến dịch, cũng như thảo luận về những điểm tương đồng với các mối đe dọa đã biết.

Hãng bảo mật McAfee (Mỹ) mới đây đã đưa ra cảnh báo về chiến dịch tấn công mới nhằm phát tán Trojan ngân hàng Astaroth, sử dụng GitHub cho các hoạt động của độc hại để duy trì khả năng phục hồi trước nguy cơ phá hủy cơ sở hạ tầng.

Vào tháng 9/2024, Kaspersky đã phát hiện hoạt động tấn công mạng nhắm vào các công ty tài chính (giao dịch và môi giới) thông qua việc phân phối các tệp .scr (trình bảo vệ màn hình) độc hại được ngụy trang thành tài liệu qua Skype Messenger. Kẻ tấn công đã phân phối một Trojan truy cập từ xa (RAT) mới có tên là GodRAT, dựa trên codebase của Gh0st RAT. Để tránh bị phát hiện, kẻ tấn công sử dụng kỹ thuật steganography (ẩn mã) để nhúng shellcode vào tệp hình ảnh. Shellcode này tải xuống GodRAT từ máy chủ điều khiển và ra lệnh do tin tặc kiểm soát (C2).

Công ty an ninh mạng Securonix (Mỹ) đã phát hiện ra một chiến dịch phát tán phần mềm độc hại lợi dụng Cloudflare Tunnel, nhằm lưu trữ dữ liệu trên các tên miền phụ do kẻ tấn công kiểm soát.

Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.