Theo thời gian, những điểm yếu của giao thức xác thực NTLM đã bị phơi bày rõ ràng. Trong những năm gần đây, các lỗ hổng bảo mật mới và các phương thức tấn công ngày càng tinh vi tiếp tục định hình bối cảnh bảo mật. Microsoft đã đưa ra các biện pháp giảm thiểu và dần phát triển Kerberos, phiên bản kế nhiệm của NTLM. Tuy nhiên, ngày nay NTLM vẫn được tích hợp trong các hệ điều hành hiện đại, tồn tại trên khắp các mạng doanh nghiệp, ứng dụng cũ và cơ sở hạ tầng nội bộ dựa vào các cơ chế xác thực lỗi thời của nó, điều này tạo cơ hội cho những kẻ tấn công tiếp tục khai thác cả những lỗ hổng tồn tại từ lâu và mới được phát hiện. Dựa trên báo cáo của Kaspersky, bài báo sẽ xem xét kỹ hơn số lượng ngày càng gia tăng các lỗ hổng liên quan đến NTLM trong năm qua, cũng như các chiến dịch tội phạm mạng tích cực lợi dụng chúng trên nhiều khu vực khác nhau trên thế giới.

Tsundere là một mạng botnet mới xuất hiện, được Kaspersky phát hiện vào khoảng giữa năm 2025. So sánh mối đe dọa này với các phân tích trước đó của hãng bảo mật này từ tháng 10/2024 cho thấy sự tương đồng về mã, cũng như việc sử dụng cùng một phương pháp truy xuất máy chủ điều khiển và ra lệnh (C2) cũng như ví điện tử. Trong trường hợp đó, tin tặc đã tạo các gói Node.js độc hại và sử dụng npm để phân phối payload. Các gói được đặt tên tương tự như các gói phổ biến và sử dụng kỹ thuật typosquatting. Những kẻ tấn công nhắm mục tiêu vào các thư viện như Puppeteer, Bignum.js và nhiều gói tiền điện tử khác nhau, dẫn đến việc phát hiện 287 gói phần mềm độc hại. Cuộc tấn công chuỗi cung ứng này ảnh hưởng đến người dùng Windows, Linux và macOS, nhưng nó không tồn tại lâu vì các gói đã bị xóa và tác nhân đe dọa đã từ bỏ phương pháp lây nhiễm này sau khi bị phát hiện. Dựa trên báo cáo của Kaspersky, bài viết này sẽ cùng khám phá về mạng botnet mới nổi này.

Một biến thể mới của phần mềm độc hại Konfety trên Android xuất hiện với cấu trúc ZIP không đúng định dạng cùng với các phương pháp che giấu khác, điều này cho phép phần mềm độc hại này trốn tránh việc phân tích và phát hiện bởi các chuyên gia cũng như các giải pháp bảo mật.

Công ty an ninh mạng Securonix (Mỹ) đã phát hiện ra một chiến dịch phát tán phần mềm độc hại lợi dụng Cloudflare Tunnel, nhằm lưu trữ dữ liệu trên các tên miền phụ do kẻ tấn công kiểm soát.

Nhóm tin tặc APT41 của Trung Quốc sử dụng phần mềm độc hại mới có tên là ToughProgress, nhằm mục đích khai thác Google Calendar để liên lạc với máy chủ điều khiển và ra lệnh (C2) kẻ tấn công kiểm soát, che giấu hoạt động độc hại đằng sau một dịch vụ đám mây đáng tin cậy.

Theo báo cáo mới đây từ công ty an ninh mạng Mandiant (Mỹ), trong năm qua, một tác nhân đe dọa đã lợi dụng sự phổ biến của các công cụ trí tuệ nhân tạo (AI) để đánh lừa người dùng truy cập vào các trang web tạo nội dung giả mạo, từ đó lây nhiễm phần mềm độc hại vào hệ thống của họ.

Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.

Một kỹ thuật lừa đảo mới với tên gọi là “File Archiver In The Browser” (Trình lưu trữ tệp trong trình duyệt) lạm dụng các tên miền ZIP bằng cách hiển thị các cửa sổ WinRAR hoặc Windows File Explorer giả mạo trong trình duyệt để đánh lừa người dùng khởi chạy các tệp độc hại.

Theo thống kê của hãng bảo mật Kaspersky, các tập tin nén dữ liệu, tệp tin văn bản và ISO thường được đính kèm trong các email độc hại.