Một phần mềm độc hại mới được xác định có tên RoadK1ll đang cho phép các tác nhân đe dọa âm thầm di chuyển từ máy chủ bị xâm nhập sang các hệ thống khác trên mạng.

Các tác nhân đe dọa thường sử dụng các framework phần mềm hậu khai thác trong các cuộc tấn công mạng để duy trì quyền kiểm soát các máy chủ bị xâm nhập và di chuyển ngang trong mạng lưới của tổ chức. Mặc dù trước đây chúng ưa chuộng các framework mã nguồn đóng, chẳng hạn như Cobalt Strike và Brute Ratel C4, nhưng các dự án mã nguồn mở như Mythic, Sliver và Havoc đã trở nên phổ biến hơn trong những năm gần đây. Các tác nhân độc hại cũng nhanh chóng áp dụng các framework tương đối mới, chẳng hạn như Adaptix C2. Phân tích cho thấy việc phát triển tập trung chủ yếu vào né tránh sự phát hiện của các giải pháp chống virus và EDR. Dựa trên báo cáo của Kaspersky, bài viết này xem xét các phương pháp phát hiện framework phần mềm Mythic trong cơ sở hạ tầng bằng cách phân tích lưu lượng mạng.

Tsundere là một mạng botnet mới xuất hiện, được Kaspersky phát hiện vào khoảng giữa năm 2025. So sánh mối đe dọa này với các phân tích trước đó của hãng bảo mật này từ tháng 10/2024 cho thấy sự tương đồng về mã, cũng như việc sử dụng cùng một phương pháp truy xuất máy chủ điều khiển và ra lệnh (C2) cũng như ví điện tử. Trong trường hợp đó, tin tặc đã tạo các gói Node.js độc hại và sử dụng npm để phân phối payload. Các gói được đặt tên tương tự như các gói phổ biến và sử dụng kỹ thuật typosquatting. Những kẻ tấn công nhắm mục tiêu vào các thư viện như Puppeteer, Bignum.js và nhiều gói tiền điện tử khác nhau, dẫn đến việc phát hiện 287 gói phần mềm độc hại. Cuộc tấn công chuỗi cung ứng này ảnh hưởng đến người dùng Windows, Linux và macOS, nhưng nó không tồn tại lâu vì các gói đã bị xóa và tác nhân đe dọa đã từ bỏ phương pháp lây nhiễm này sau khi bị phát hiện. Dựa trên báo cáo của Kaspersky, bài viết này sẽ cùng khám phá về mạng botnet mới nổi này.