THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 12–2025

1         CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS

Trong tháng 12/2025, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:

Thông tin chi tiết các chiến dịch:

1.1      Chiến dịch tấn công nhắm mục tiêu vào khu vực Đông Nam Á

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về hoạt động tấn công quy mô lớn diễn ra từ năm 2024 đến nay, do nhóm GoldFactory triển khai nhắm vào người dùng tại khu vực Đông Nam Á, trong đó Việt Nam, Thái Lan và Indonesia là các mục tiêu chính.

Chiến dịch tập trung vào gian lận tài chính qua ứng dụng ngân hàng bằng cách phát tán APK ngoài Google Play thông qua các trang lừa đảo, giả danh cơ quan nhà nước hoặc dịch vụ công. Chuỗi lây nhiễm bao gồm nhiều giai đoạn, sử dụng Trojan trung gian và các kỹ thuật hook nhằm can thiệp sâu vào ứng dụng ngân hàng để đánh cắp thông tin và thực hiện giao dịch trái phép.

Chuỗi tấn công

Giai đoạn đầu sử dụng các trang web giả mạo, tin nhắn hoặc cuộc gọi lừa đảo để dẫn dụ người dùng cài đặt ứng dụng Android ngoài Google Play. Các APK được ngụy trang thành ứng dụng công hoặc dịch vụ hành chính.

Giao diện của APK ứng dụng công giả mạo

Sau khi cài đặt, các Trojan trung gian như Gigabud, Remo hoặc MMRat sẽ được kích hoạt để thiết lập quyền hạn, thu thập dữ liệu thiết bị và duy trì kết nối với máy chủ điều khiển. Trojan trung gian tải và cài đặt phiên bản ứng dụng ngân hàng đã bị chỉnh sửa. Các mẫu mã độc này tích hợp kỹ thuật hook như Frida Gadget, DobbyHook hoặc PineHook để can thiệp API hệ thống, vượt qua cơ chế chống gian lận, giả mạo chữ ký ứng dụng và theo dõi hành vi người dùng. Mục tiêu chính là thu thập thông tin đăng nhập, OTP và chuẩn bị môi trường cho giao dịch gian lận.

Sau khi xác định được ngân hàng nạn nhân sử dụng, nhóm tấn công triển khai giai đoạn mở rộng bao gồm theo dõi thao tác giao diện, can thiệp bộ nhớ và tự động thao tác trong ứng dụng. Một số biến thể Trojan còn điều khiển Accessibility để thực hiện giao dịch thay cho người dùng mà không cần tương tác thủ công.

Biến thể mới Gigaflower cho thấy xu hướng chuyển sang mô hình điều khiển thiết bị từ xa. Mã độc bổ sung các chức năng như truyền phát màn hình thời gian thực qua WebRTC, đọc thông tin từ CCCD Việt Nam, trích xuất mã QR và phân tích giao diện ứng dụng ngân hàng bằng Accessibility. Mã độc hỗ trợ tích hợp nhiều lệnh điều khiển hơn, cho phép điều khiển toàn bộ quá trình từ phía máy chủ.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.2      Chiến dịch tấn công sử dụng mã độc Shai Hulud 2.0

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về Shai Hulud 2.0 – một biến thể mới của dòng mã độc Shai Hulud. Shai Hulud 2.0 là mã độc hai giai đoạn, lây lan qua các gói NPM bị chỉnh sửa độc hại. Mã độc khai thác token NPM và GitHub để tái xuất bản các gói hợp pháp kèm payload, tạo thành chuỗi lây nhiễm tự động. Hơn 800 gói NPM đã bị nhiễm, với nạn nhân tại nhiều quốc gia, hầu hết ghi nhận tại Nga, Ấn Độ, Việt Nam, Brazil, Trung Quốc, Thổ Nhĩ Kỳ và Pháp.

Các quốc gia chịu ảnh hưởng lớn nhất từ chiến dịch

Chuỗi tấn công

Mã độc Shai Hulud 2.0 sử dụng hai hướng xâm nhập chính. Kẻ tấn công gửi email lừa đảo giả mạo cảnh báo bảo mật NPM để đánh cắp thông tin đăng nhập hoặc chèn mã độc vào các gói NPM có script tiền cài đặt tự động thực thi khi lập trình viên cài đặt gói.

Sau khi xâm nhập, mã độc thu thập token GitHub, NPM, AWS, Azure và Google Cloud từ biến môi trường, cấu hình CLI và tệp lưu trữ, cài và chạy TruffleHog để quét toàn bộ hệ thống nhằm thu thập thông tin. Tất cả dữ liệu được mã hóa và tải lên kho GitHub do kẻ tấn công tạo bằng chính token của nạn nhân. Mã độc tiếp tục kiểm tra .npmrc để lấy token NPM, xác minh tính hợp lệ, liệt kê các gói nạn nhân quản lý và chèn payload trước khi tăng phiên bản và xuất bản lại.

Để duy trì quyền truy cập, Shai-Hulud 2.0 đăng ký máy nạn nhân làm self-hosted GitHub Actions runner và sử dụng GitHub Discussions làm kênh điều khiển từ xa. Mã độc cài workflow độc hại tại .github/workflows/discussion.yaml, cho phép kẻ tấn công thực thi lệnh tùy ý trên hệ thống.

Shai Hulud 2.0 còn áp dụng kỹ thuật leo thang và né tránh bằng cách kiểm tra khả năng chạy sudo không mật khẩu, lợi dụng Docker để sửa sudoers, thay đổi DNS sang máy chủ do kẻ tấn công kiểm soát và xóa quy tắc tường lửa nhằm mở toàn bộ lưu lượng đi. Nếu không thể lấy được token GitHub hoặc NPM, mã độc kích hoạt cơ chế xóa dữ liệu trong thư mục người dùng trên Windows và Linux, gây nguy cơ mất dữ liệu vĩnh viễn, ngoại trừ một số hạn chế về mặt kỹ thuật trên macOS.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.3      Chiến dịch gián điệp nhắm vào khu vực Đông Nam Á và Nhật Bản

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về hoạt động gián điệp mạng do một nhóm APT mới, được đặt tên là LongNosedGoblin, triển khai nhắm vào các cơ quan chính phủ tại khu vực Đông Nam Á và Nhật Bản.

Chiến dịch này được xác định diễn ra ít nhất từ tháng 9 năm 2023 và tiếp tục duy trì trong suốt giai đoạn 2024-2025. Mục tiêu chính của chiến dịch là thu thập thông tin nội bộ và giám sát hoạt động của các tổ chức nhà nước.

Chuỗi tấn công

Chuỗi thực thi của NosyDoor

Giai đoạn xâm nhập và triển khai ban đầu được thực hiện thông qua Group Policy, phát tán các tệp PE độc hại ngụy trang file cấu hình hoặc chính sách hệ thống như History.ini hoặc Registry.pol.

Trên các hệ thống được chọn, nhóm tấn công triển khai backdoor NosyDoor. Chuỗi thực thi của NosyDoor gồm ba giai đoạn, trong đó đáng chú ý là việc lợi dụng ứng dụng hợp pháp UevAppMonitor.exe để thực hiện AppDomainManager injection. Kỹ thuật này cho phép tải và thực thi mã độc trong ngữ cảnh tiến trình hợp lệ, đồng thời vô hiệu hóa AMSI để né tránh cơ chế quét mã độc.

Sau khi cài đặt thành công, NosyDoor thu thập thông tin hệ thống chi tiết và giao tiếp với máy chủ điều khiển thông qua OneDrive. Backdoor này hỗ trợ nhiều lệnh điều khiển như thực thi lệnh shell, tải và trích xuất tệp, duyệt hệ thống tệp và nạp thêm module mở rộng.

Song song với NosyDoor, LongNosedGoblin triển khai thêm các công cụ hỗ trợ thu thập dữ liệu chuyên sâu:

• NosyHistorian thu thập lịch sử duyệt web từ Google Chrome, Microsoft Edge và Mozilla Firefox của tất cả người dùng trên hệ thống để đánh giá giá trị mục tiêu và lựa chọn một tập nạn nhân cụ thể cho giai đoạn xâm nhập sâu hơn.
• NosyStealer được sử dụng để đánh cắp dữ liệu trình duyệt từ Edge và Chrome, với chuỗi thực thi nhiều tầng, sử dụng Donut shellcode và kỹ thuật tiêm mã vào tiến trình để chạy hoàn toàn trong bộ nhớ. Dữ liệu thu thập được nén, mã hóa và đưa lên Google Drive.

Chuỗi thực thi của NosyStealer

• NosyDownloader đóng vai trò tải và thực thi chuỗi lệnh PowerShell được mã hóa và nén nhiều lớp. Công cụ này được sử dụng để triển khai NosyLogger, ReverseSocks5 và các công cụ khác.
• NosyLogger là một keylogger ghi lại phím bấm, tiêu đề cửa sổ và nội dung clipboard, sau đó mã hóa và lưu cục bộ nhằm thu thập hoặc trích xuất sau.

Nhóm tấn công cũng sử dụng proxy Reverse SOCKS5 để thiết lập kênh truy cập từ xa vào mạng nội bộ, cùng với công cụ argument runner nhằm khởi chạy FFmpeg để ghi lại màn hình và âm thanh, mở rộng khả năng giám sát hoạt động người dùng.

MITRE ATT&CK

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.4      Ink Dragon nhắm mục tiêu vào cơ quan chính phủ Đông Nam Á, Châu Phi và tiếp tục mở rộng phạm vi

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm gián điệp  Ink Dragon hay còn có tên gọi khác là CL-STA-0049, Earth Alux, hoặc REF7707 nhắm mục tiêu vào cơ sở hạ tầng chính phủ, viễn thông … tập trung vào khu vực Đông Nam Á và Nam Mỹ, gần đây tiếp tục mở rộng phạm vi sang Châu Âu và các khu vực khác. Nhóm tấn công triển khai module ShadowPad IIS Listener nhằm biến máy chủ bị chiếm quyền thành relay node, có khả năng nhận, chuyển tiếp và proxy lệnh điều khiển. Điều này cho phép kẻ tấn công định tuyến lưu lượng C2 qua nhiều mạng nạn nhân khác nhau, che giấu hạ tầng điều khiển thực sự và tái sử dụng các tài sản đã bị chiếm quyền để phục vụ các chiến dịch tiếp theo.

Truy cập ban đầu, Ink Dragon chủ yếu khai thác ASP.NET ViewState deserialization thông qua các machine key bị công khai, cho phép giả mạo tham số __VIEWSTATE và dẫn đến thực thi mã từ xa. Ngoài ra, nhóm còn lạm dụng lỗ hổng ToolShell trên SharePoint on-premises, kết hợp bypass xác thực và deserialization không an toàn để triển khai web shell và giành thực thi mã từ xa.

Sau khi xâm nhập triển khai ShadowPad, thu thập thông tin xác thực của IIS worker và thiết lập RDP proxy để di chuyển ngang trong hệ thống, tận dụng RDP, các chức năng tích hợp sẵn của ShadowPad và các thông tin đăng nhập bị tái sử dụng. Khi chiếm được tài khoản domain admin, kẻ tấn công đạt được quyền kiểm soát toàn bộ domain. Khi đã kiểm soát domain, Ink Dragon triển khai FinalDraft backdoor trên các máy quan trọng và tiếp tục cài đặt thêm ShadowPad IIS listener trên các máy chủ công khai, cho phép các nạn nhân mới kết nối vào hạ tầng của kẻ tấn công khi chiến dịch tiếp tục mở rộng.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.5      Bloody Wolf nhắm mục tiêu sang các quốc gia khu vực Trung Á

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm tấn công Bloody Wolf  nhắm mục tiêu sang các quốc gia khu vực Trung Á. Nhóm tấn công giả mạo các cơ quan chính phủ, đặc biệt là Bộ Tư pháp nhằm lừa nạn nhân. Nhóm này bắt đầu bằng việc sử dụng phần mềm độc hại thương mại STRRAT, nhưng sau đó đã chuyển sang triển khai một công cụ quản trị từ xa hợp pháp – NetSupport Manager (NetSupport RAT) trong các chiến dịch gần đây nhằm che giấu hoạt động và trốn tránh phát hiện.

Chiến dịch điển hình của Bloody Wolf  bắt đầu bằng email spear-phishing chứa tệp PDF giả mạo từ Bộ Tư pháp của quốc gia mục tiêu. Những PDF này được soạn rất giống với tài liệu chính thức và thường được viết bằng ngôn ngữ địa phương (tuy nhiên tiếng Nga vẫn được dùng nhiều nhất) nhằm tăng tính tin cậy. Bên trong PDF là các đường dẫn tới các file Java Archive (JAR) độc hại do nhóm tạo bằng trình tạo JAR tùy chỉnh, không bị obfuscate và được thiết kế để né tránh phát hiện bởi phần mềm bảo mật.

Khi nạn nhân mở file JAR, sau khi được hướng dẫn cài đặt Java Runtime, chương trình sẽ tải xuống các thành phần bổ sung và cuối cùng triển khai NetSupport RAT từ một máy chủ do kẻ tấn công kiểm soát, đồng thời hiển thị các hộp thoại lỗi giả để đánh lừa người dùng rằng không có gì sai xảy ra.

Bloody Wolf không chỉ tải RAT mà còn thiết lập persistence bằng ba cơ chế cùng lúc:

• Tạo file .BAT trong thư mục %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup với command sau:

@echo off

cd /d “C:\Users\Bruno\Documents\[Something]”

start “” “[net support executable].exe”

• Thêm giá trị vào registry với command sau:

cmd.exe /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [something] /t REG_SZ /d “[path to net support executable]”

• Tạo Scheduled Task với command sau:

cmd.exe /c schtasks /TN “[Something]” /TR “[path to netsupport executable]” /SC ONLOGON /RL LIMITED /F /RU “%USERNAME%”

Một điểm kỹ thuật đáng chú ý trong giai đoạn Bloody Wolf mở rộng hoạt động sang Uzbekistan là việc cơ sở hạ tầng phân phối được triển khai cơ chế giới hạn theo địa lý (geo-fencing): các yêu cầu từ bên ngoài lãnh thổ sẽ bị chuyển hướng tới trang hợp pháp data[.]egov[.]uz, trong khi các yêu cầu trong nước tự động kích hoạt việc tải xuống một tệp lưu trữ Java độc hại từ các URL được nhúng trong tệp PDF. Sau khi thực thi, phần mềm độc hại hiển thị một thông báo lỗi giả mạo và bắt đầu tải xuống các thành phần NetSupport RAT bổ sung từ miền do kẻ tấn công kiểm soát.

MITRE ATT&CK

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

Khuyến nghị:

• Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

2         MALWARE

Tháng 12/2025, đội ngũ NCS ghi nhận các phân tích đáng chú ý về mẫu mã độc sau:

2.1      Phân tích ransomware 01flip

Threat Intelligence NCS ghi nhận bài đăng trên không gian mạng mô tả về một họ mã độc tống tiền mới có tên 01flip. Đây là ransomware được viết hoàn toàn bằng ngôn ngữ Rust, hỗ trợ đa nền tảng (Windows và Linux) thông qua khả năng cross-compilation.

Chiến dịch mang động cơ tài chính và tại thời điểm công bố báo cáo, số lượng nạn nhân được xác nhận còn hạn chế, tuy nhiên đã ghi nhận các tổ chức thuộc hạ tầng quan trọng tại khu vực châu Á – Thái Bình Dương, bao gồm Đông Nam Á. Ngoài ra, các nhà nghiên cứu cũng phát hiện một bài đăng trên diễn đàn darkweb liên quan đến việc rao bán dữ liệu bị đánh cắp từ một tổ chức được cho là nạn nhân của chiến dịch này.

Các phát hiện cho thấy 01flip không hoạt động theo mô hình Ransomware-as-a-Service phổ biến, mà nhiều khả năng được triển khai thủ công sau khi kẻ tấn công đã chiếm quyền kiểm soát hệ thống nạn nhân.

Initial Access

Hoạt động xâm nhập ban đầu ghi nhận từ tháng 4/2025, trong đó kẻ tấn công dò quét và khai thác các lỗ hổng cũ như CVE-2019-11580. Mặc dù chưa xác định chính xác cách kẻ tấn công đạt được truy cập ban đầu, đến tháng 5/2025, kẻ tấn công đã triển khai Sliver (Linux), một framework mã nguồn mở phục vụ điều khiển hậu khai thác.

Sau khi xâm nhập ban đầu, nhóm tấn công thực hiện di chuyển ngang sang các máy Linux khác bằng Sliver TCP Pivot beacon. Sau đó nhiều mẫu 01flip ransomware được triển khai đồng loạt trên cả hệ thống Windows và Linux trong mạng nội bộ.

Phân tích kỹ thuật 01flip ransomware

01flip không được pack hay obfuscate phức tạp. Phân tích phụ thuộc (crates) giữa hai biến thể Windows và Linux cho thấy phần lớn mã nguồn dùng chung, chỉ khác biệt nhỏ ở các thư viện phụ thuộc nền tảng. 01flip thực hiện các hành vi chính:

• Duyệt toàn bộ ổ đĩa khả dụng
• Tạo ransom note RECOVER-YOUR-FILE.TXT tại các thư mục ghi được
• Mã hóa các tệp theo danh sách phần mở rộng mục tiêu
• Đổi tên tệp theo định dạng: <tên_file_gốc>.<ID_duy_nhất>.<0 hoặc 1>.01flip
• Mã hóa dữ liệu bằng AES-128-CBC và RSA-2048
• Tự xóa sau khi hoàn tất

Kỹ thuật né tránh phòng thủ

Mã độc ưu tiên sử dụng system call và API mức thấp trên cả Windows và Linux nhằm giảm dấu hiệu bất thường.

Phần lớn chuỗi trong mã được mã hóa và giải mã tại runtime, bao gồm:

• Nội dung ransom note
• Tên file ransom note
• Danh sách phần mở rộng
• Khóa RSA công khai

Mã hóa dữ liệu

Trước khi mã hóa tệp, 01flip tạo ghi chú đòi tiền chuộc trong tất cả các thư mục có thể ghi. Ghi chú này chứa thông tin liên hệ và dữ liệu mật mã cần thiết để nhận khóa giải mã.

Quá trình mã hóa sử dụng AES để mã hóa dữ liệu tệp. Khóa phiên AES được mã hóa tiếp bằng khóa công khai RSA được nhúng sẵn trong mã độc. 01flip loại trừ một số phần mở rộng tệp khỏi quá trình mã hóa. Các tệp bị mã hóa được đổi tên theo định dạng <tên_file_gốc>.<ID_duy_nhất>.<0 hoặc 1>.01flip.

Xóa dấu vết

Sau khi mã hóa, ransomware tự ghi đè nội dung file thực thi bằng dữ liệu ngẫu nhiên rồi thực hiện xóa:

• Trên Windows, mã độc ghi đè nội dung tệp bằng dữ liệu rỗng thông qua fsutil, sau đó xóa tệp.

• Trên Linux, mã độc ghi đè tệp bằng dữ liệu ngẫu nhiên từ /dev/urandom rồi xóa tệp.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến mã độc

2.2      Phân tích mã độc ValleyRAT (Winos / Winos 4.0)

Threat Intelligence NCS ghi nhận bài đăng trên không gian mạng mô tả về mã độc ValleyRAT, còn được biết đến với tên Winos hoặc Winos4.0. Đây là một backdoor được sử dụng rộng rãi, có kiến trúc plugin hoàn chỉnh và thường xuất hiện trong các chiến dịch gắn với các tác nhân nói tiếng Trung. Bài đăng mô tả dựa trên builder liên quan đến mã độc này.

Kiến trúc builder và hệ thống plugin

ValleyRAT builder là một tệp PE 32-bit, đóng vai trò vừa là công cụ build vừa là panel C2, trong đó các “main plugin” được nhúng trực tiếp vào tài nguyên của file.

Tổng cộng 19 plugin chính được xác định, mỗi plugin có cả biến thể 32-bit và 64-bit, bao phủ hầu hết các chức năng backdoor phổ biến như quản lý file, điều khiển từ xa, keylogging, proxy, thu âm, quay màn hình, DDoS, và quản lý hệ thống.

Module rootkit của ValleyRAT được nhúng bên trong plugin ban đầu có tên 驱动插件 (EN: Driver Plugin.dll). Plugin này được biên dịch với cả hai biến thể 32-bit và 64-bit, đóng vai trò là client ở user-mode và trình cài đặt cho rootkit.

Cài đặt Driver và cấu hình ban đầu

Khi thực thi lệnh cài đặt driver DropAndInstallRootkit(), client sẽ ghi driver xuống đĩa và cài đặt như một dịch vụ kernel có tên kernelquick, đồng thời tạo khóa registry HKLM\SYSTEM\CurrentControlSet\Services\kernelquick. Dịch vụ này được đăng ký với loại SERVICE_KERNEL_DRIVER và chế độ demand start.

Ngoài chế độ cài đặt được mô tả ở trên, client còn có thể kích hoạt “Stealth Mode”. Trong trường hợp này, hàm DropAndInstallRootkit() được bổ sung thêm các routine: GetProcID_dwm(), CreateProcessMalseclogon().

Chế độ này chủ yếu nhằm làm gián đoạn kết nối mạng trong quá trình cài đặt và sử dụng kỹ thuật giả mạo dựa trên MalSeclogon để giảm khả năng bị phát hiện.

Để làm gián đoạn kết nối mạng, client khởi chạy các lệnh như:
cmd /c start /min ipconfig /release và cmd /c start /min ipconfig /renew. Kỹ thuật MalSeclogon sau đó được sử dụng để thực thi các lệnh này dưới ngữ cảnh giả mạo với PPID spoofing:

• GetProcID_dwm() xác định PID của dwm.exe bằng cách sử dụng FILE_INFORMATION_CLASS::FileProcessIdsUsingFileInformation.

• Client tạm thời sửa đổi trường TEB → ClientId.UniqueProcess để giả mạo PPID thành dwm.exe.
• Các đối tượng token được đánh cắp từ tiến trình dwm.exe và được sử dụng để gọi lệnh thông qua:
  • CreateProcessWithTokenW (chính)
  • CreateProcessWithLogonW (dự phòng, vẫn duy trì PPID spoofing nhưng không có impersonation)

Sau khi các lệnh được thực thi, client khôi phục lại giá trị UniqueProcess ban đầu. Việc cài đặt driver thông qua DropAndInstallRootkit() diễn ra trong khoảng thời gian gián đoạn mạng.

Kết quả là một chuỗi cài đặt được thực thi dưới một tiến trình Windows tin cậy. Process tree dưới đây cho thấy hành vi khi Stealth Mode được sử dụng:

Client cũng hỗ trợ tiêm shellcode do người vận hành cung cấp, bằng cách lưu trữ shellcode này trong HKLM\SOFTWARE\IpDates.

Khi nhận lệnh, rootkit sẽ truy xuất shellcode user-mode này và thực hiện tiêm dựa trên APC:

• Vào dwm.exe trong quá trình kích hoạt ban đầu
• Vào bất kỳ process ID nào được cung cấp thông qua IOCTL

Các thay đổi so với Hidden rootkit

Driver 64-bit được nhúng dựa trên dự án mã nguồn mở công khai Hidden. ValleyRAT đã sửa đổi đáng kể codebase gốc, bao gồm các thay đổi tái cấu trúc, cải thiện khả năng tương thích với các phiên bản Windows mới, và bổ sung hoàn toàn các chức năng mới.

Chức năng được giữ nguyên từ rootkit Hidden gốc:

• Ẩn registry (khóa và giá trị)
• Ẩn tệp và thư mục
• Bảo vệ tiến trình (thiết lập quyền truy cập hạn chế đối với tiến trình)
• Danh sách loại trừ tiến trình (loại trừ các tiến trình cụ thể khỏi cơ chế bảo vệ)

Chức năng được bổ sung:

• UMInjection() – tiêm shellcode user-mode dựa trên APC
• ForceDeleteFile() – buộc xóa tệp tùy ý ở mức kernel
• SetDriverStartType_SystemStart() – tăng cường persistence bằng cách chuyển kiểu khởi động dịch vụ

UMInjection()

UMInjection() có cơ chế tiêm shellcode dựa trên APC từ kernel-mode sang user-mode. Hàm này được gọi trong quá trình khởi tạo driver, tạo một system thread để thực thi UMInjectionRoutine().

UMInjectionRoutine():

• Truy xuất shellcode đã lưu từ HKLM\SOFTWARE\IpDates
• Xác định dwm.exe (mục tiêu được hardcode)
• Truyền PID của tiến trình này cho UMInject()

UMInject() cũng có thể được kích hoạt trực tiếp thông qua IOCTL 0x222144 để nhắm mục tiêu bất kỳ tiến trình nào. Hàm này xác định một thread phù hợp, đưa một kernel-mode APC vào hàng đợi, và kích hoạt UMInjectExecShellcode() – hàm cấp phát bộ nhớ user-mode, ghi shellcode và đưa một user-mode APC vào hàng đợi để thực thi shellcode.

ForceDeleteFile()

ForceDeleteFile() sử dụng các lời gọi IRP kernel trực tiếp. Hàm này có khả năng:

• Mở tệp thông qua IRP_MJ_CREATE tùy chỉnh
• Đặt lại thuộc tính thông qua IRP_MJ_SET_INFORMATION (FileBasicInformation)
• Đánh dấu tệp để xóa thông qua FileDispositionInformation
• Tạm thời tách các đối tượng section để vượt qua khóa tệp, bao gồm cả các executable được ánh xạ bộ nhớ

ForceDeleteFile() được kích hoạt:

• Tự động trong quá trình khởi tạo driver
• Thông qua IOCTL 0x222140 từ client user-mode

SetDriverStartType_SystemStart()

Hàm này cập nhật dịch vụ kernelquick để sử dụng SERVICE_SYSTEM_START, nâng mức persistence từ tải theo yêu cầu lên tải khi hệ thống khởi động.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến mã độc

Khuyến nghị:

• Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

3         LỖ HỔNG BẢO MẬT

3.1      Microsoft Patch Tuesday – December 2025

Trong tháng 12, Microsoft đã phát hành các bản vá cho 56 CVE mới trong các sản phẩm của Windows và Windows components, Office và Office Components, Microsoft Edge (Chromium-based), Exchange Server, Azure, Copilot, PowerShell, và Windows Defender. Trong đó có 03 lỗ hổng được đánh giá mức độ Critical, 53 lỗ hổng được đánh giá là Important.

Các lỗ hổng nổi bật ghi nhận trong tháng:

Khuyến nghị:

• Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống.

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

Khuyến nghị:

• Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

4         PHỤ LỤC

Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 12/2025.

4.1      Danh sách IoCs liên quan đến các chiến dịch tấn công

4.1.1       Chiến dịch tấn công nhắm mục tiêu vào khu vực Đông Nam Á

Indicators of Compromises

SHA256

d3752e85216f46b76aaf3bc3f219b6bf7745fe0195076e991cf29dcc65f09723

4b6211de6a9b8b780537f4d0dcac7f5ba29af597b4b416d7ad40dbd5e6d3e360

d75ca4b69e3ad9a6f2f4168f5713a049c310fee62ee0bba037ba4c24174d25c4

d47246c9bd4961f692cef6e3d8cdc5aa5f64e16946104cc9c194eb47077fd897

0de69fad50b9e0800ba0120fe2b2f7ebb414e1ae335149a77dae3544b0a46139

68fb18d67bb2314ff70a0fb42e05c40463cceb9657c62682179e62809429ad99

9ada0f54f0eaa0349c63759172848fcb1dd123d892ece8d74002f96d6f095a43

4eb7a289af4ea7c65c4926e4b5e2c9ec3fb4d0b9cc425f704b7d1634c23a03a9

Network

ykkadm[.]icu

ynsftkg[.]top

dgpyynxzb[.]com

b-ty[.]com

www.vvpolo[.]top

baknx[.]xyz

nxbcak[.]xyz

zoyee[.]cn

evnspccskh[.]com

47.236.246[.]131

47.237.9[.]119

13.214.19[.]168

18.140.4[.]4

4.1.2       Chiến dịch tấn công sử dụng mã độc Shai Hulud 2.0

Indicator of Compromise

SHA-256

Cbb9bc5a8496243e02f3cc080efbe3e4a1430ba0671f2e43a202bf45b05479cd

F099c5d9ec417d4445a0328ac0ada9cde79fc37410914103ae9c609cbc0ee068

46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09

768496fbdbbd05657d1cf858591480232313488831ad9a377a698aa1a6547f88

De0e25a3e6c1e1e5998b306b7141b3dc4c0088da9d7bb47c1c00c91e6e4f85d6

SHA1

8de87cf4fbdd1b490991a1ceb9c1198013d268c2

3d7570d14d34b0ba137d502f042b27b0f37a59fa

8b98ab71cc71c8768de27af80a3e0d1bc6c8d809

f2618cf88f9fe8818c4a37384bdb34e3089d4e75

721ace3b28096c901d34920a75c0587564e10fea

4.1.3       Chiến dịch gián điệp nhắm vào khu vực Đông Nam Á và Nhật Bản

Indicator of Compromise

SHA-1

4E3F6E9D0F443F4C42974A0551EEE957B498DA3D

CD745BD2636F607CC4FB9389535BF3579321CA72

154A35DD4117DB760699C2092AFB307E94008506

B1D4A283A9CCC9E34993DD2093A904AFBD88B9B9

77D2A8CB316B7A470E76E163551A00BB16A696C5

F93E449C5520C4718E284375C54BE33711505985

1959E2198D6F81B2604DF7AC1F508AEB7A6FA07E

E0B44715BC4C327C04E63F881ECC087B7ACBD306

43C8AE8561E7E3BF9CD748136C091099E5CBEEEE

D11FC2D6159CB8BA392B145B3EE4ADFA15DB4C83

A0A80AC293645076EBAE393FF0A6A4229E2EDE1C

DDBBAE33E04A49D17DD24D85B637667B4407AE19

60158C509446893B3B57D40DC4B4B3795FCDF369

F5B7440EE25116A49EC5EE82507B353880217AC1

85939C56BFCACD0993E6FB9F7CFD6137601FB7D4

C66F9FEC0F8CBF577840944F61198A75B3E2A58C

4C2FCCE3BAB4144D90C741A6D77ADF209C786B54

161A25CB0B8FA998BF1BDEE31F06F24876453CDF

4D61A9FBBCC4F7A37BE21548B55BB5B9B837F83B

5AE440805719250AAEFEE9B39DACD23D2FB573CD

E93D32C739825519A10A4C52C5F1EE33936E4FDB

212126896D38C1EE57320FB6940FED7A6E30D9EA

CFFE15AA4D0F9E6577CCB509ACE9C588937943F2

6AC22CE60B706E3B9A7927633116911E1087C0D4

2C1959DD85424CEDC96B1BB86A95FCA440CB9E36

46107B1292B830D9BCEBBDA6EEDB32FBC05707B4

581464978C29B2BC79C65766E62011C94D2CBEAB

0D91A0E52212EC44E32C47F7760AF3B473B72798

48D715466857FB0C6CD0249DE6D960FC199438E1

563677CFACD328EA2478836E58A8BD0DF11206A3

AC2264C56121141DAF751A3852CD34F3ACB1D63C

70A615BC580522E1EEE4B61394DC7A247FE47022

E9C5E4AA335DFBD25786234A58CE4C9C551D1A41

EC9CEB599DF3BDFFAD536900D0E6D48E2E5FF12B

IP

118.107.234.26

103.159.132.30

101.99.88.113

118.107.234.29

101.99.88.188

38.54.17.131

4.1.4       Ink Dragon nhắm mục tiêu vào cơ quan chính phủ Đông Nam Á, Châu Phi và tiếp tục mở rộng phạm vi

Indicator of Compromise

2e84ea5cef8a9a8a60c7553b5878a349a037cffeab4c7f40da5d0873ede7ff72 – dongtai module

e2f6e722c26e19b76396c2502cacf2aaceaaa1486865578c665ebf0065641ffa – dongtai module

f9dd0b57a5c133ca0c4cab3cca1ac8debdc4a798b452167a1e5af78653af00c1 – Wingtb.sys

a86e72ca58de6d215a59ae233963eaea27fe47ef0c9f43938e27339df4a86732 – 032Loader

7efe5c1229178c1b48f6750c846575e7f48d17ea817997bd7acba0e5ecf1e577 – 032Loader

D88115113E274071B03A3B4C1DA99EAEA7B8D94ADF833DFD26943AF0A6D78B4D – 032Loader

f094ff83d4b7d06bc17b15db7d7dc0e622778b0eda71e8fc9fdf7db83c460426 – nfdp.dll

36f00887f6c0af63ef3c70a60a540c64040b13a4209b975e96ce239e65548d4a – fdp.dll

ecf0fbd72aac684b03930ad2ff9cdd386e9c13ddf449f27918f337dc8963590e – LalsDumper

2b57deb1f6f7d5448464b88bd96b47c5e2bd6e1c64c1b9214b57c4d35a591279 – LalsDumper

b4a53f117722fb4af0a64d30ec8aa4c4c82f456e3d2a5c5111c63ce261f3b547 – ShadowPad Loader

866fde351251092fb5532e743459ba80968cd5516cce813c8755467f5e8a47a1 – ShadowPad Loader

188ab2d68f17ecf08a7a4cfc6457c79b0a5117b3277352a7371a525416129114 – ShadowPad Loader

809ddcbb64d6f2ccc4a8909068da60e6ea8b3ebd9c09dd826def0e188c7a2da2 – config.ini

f438ca355e6888c4c9cd7287b22cfe5773992ef83f0b16e72fb9ae239d85586c – FinalDraft

c305b3b3f9426d024cdd262497a5d196264397bfed445705759d0a793a58fe6e – Encrypted FinalDraft

4.1.5       Bloody Wolf nhắm mục tiêu sang các quốc gia khu vực Trung Á

Indicators of Compromise

File Hashes

NetSupport RAT component trong chiến dịch Kyrgyzstan 

NetSupport RAT component trong chiến dịch Uzbekistan

PDF lures and JARs

Hash SHA256

1d0d69f4003ca4f5f36c4c42a8e771bc932afcba2d6b70d82a044939a8dd9081

738be6216caeba1d3d37a8b7c7696e39eeb366e8397a96d23b840e85fd1bcc21

e1bd780d6a872c2ec443ef394c094739279309f986b899033f3e0bf0b55dbf09

07cb8339e7fff0e61f1374693a6ead52e55dd3efb20f3fc7a0ebe78426e5f41c

a0f35e2b969ed2516abd3de9cc6aa0e71e1a2e60151c04aa20c40e82b3035a0c

198fc0ef529f0773cc3dbca06d3763188259cccb475b5d467a0bc12fcf012353

ddb7a4d0c78ee11ce38e9f37d55e9065edf74c0f97ddfbffdffee10dfb87107e

a67ba852d16d9805ea7f0e8a9ac2a4e6cf8c411a246a6e7e2f0f3f51a4cab238

19508523a67dbc143b664e4ef797defec624d9afdec50c54290842a15dbb3053

85bcddbac3a342dcbe58cbd576aa17973fd03665384b01ffebeeaa2da3eed6cc

1acd4592a4eb0c66642cc7b07213e9c9584c6140210779fbc9ebb76a90738d5e

4c0f737cbfec30e0c11f4fef5be68c6486ac01d3bc15465bb18dd1dbece0ff87

195c34912cac6690afdf5134fb69b596d191693ef1d3da6c11fb9ae673093c4d

13d3dad0892925052628b2db0782a9da4eba30909af82c4ecdfe4193bf99231c

445c9684a2d9c3fbd4038f96a58ae7ad287bb5e69f59f66a0e481d98ed94525d

5d840b741d1061d51d9786f8009c37038c395c129bee608616740141f3b202bb

ca5de848bc21cc7aabe98339929cdc4d96b8b86f82c04bada65a00302df25800

db6d165ddd8b2dbe684b59872dde0639d0dae1a4f6569add0b448786142024b9

c48738873fa66da88f9e3acf0855f2049b5a0d2b7c480c9a277a66cb90814b10

d63ea8b4361a1b4f93f145bc813dc7435ff36cf2ced27ece0d48a9e6ac08c2be

41484153083d52e910605f832cc72d82f5b4a9f05d6f9ce02287d6a1246f3bb1

86625437e6947378ae34c0b31a6b1d81dee0bacfef34e5a80e522468802636d4

95d76324d78828b8ea159cb168b5bcd8456534b622444b4332e94b6dd63cff19

ad264a1da3d261dd6450ec172fd9560be2b89f6fa38f844ae004238c19474560

debe65555f1c10e59c09431c605c1d4058df60f86b9831d58794cd72546165a1

dcd5ec06f9afa38b8e3402212f7dd42f4f4c8b723c9a03040228e7969389f5be

ea89ad160b44b3c357a812b62206c44bc0591c11cf1ca11749161d27e9902261

f34110425213e6ebbd9dd9ad796cba9acdb5649d927013b66a31ab144174dcd3

7cf6ca770f31986ed5ec53f5822d4d8a95ec46d1f147ba0af67801f0c224dc4d

ab22445d724c66a7207210155d8d760ae645df6ec4c84ca50c14614ed22982c7

1acd4592a4eb0c66642cc7b07213e9c9584c6140210779fbc9ebb76a90738d5e

bbcf1a1516b51411bb5c422a91068854debba4c0e1b4025d595de9a051aad31d

f26572999b8f1b640924ce0451111cb75b3d7ae8f066201cf912f4ac327f4809

39424c07d0147f8951283b09c4c10359f4e8ec8b1b778706e020bb4f94fe7e5a

521c8ba171a0b5f83f0cb92dd4a0f8837366146f725c5efd12df85b5578f155f

711531dd05fc988ffd821a1de4f609beff090a1f569c855d28c9dc06d7a98d67

195c34912cac6690afdf5134fb69b596d191693ef1d3da6c11fb9ae673093c4d

711531dd05fc988ffd821a1de4f609beff090a1f569c855d28c9dc06d7a98d67

a67ba852d16d9805ea7f0e8a9ac2a4e6cf8c411a246a6e7e2f0f3f51a4cab238

85bcddbac3a342dcbe58cbd576aa17973fd03665384b01ffebeeaa2da3eed6cc

bff79d224cd372ad3c39de2f451ccc890ebaa95e45297820c9051ab0560fe6c2

19508523a67dbc143b664e4ef797defec624d9afdec50c54290842a15dbb3053

212caed4168b857967a2d1f06840a501521e4cef57ba77fb8c1e85ee613f9180

4c0f737cbfec30e0c11f4fef5be68c6486ac01d3bc15465bb18dd1dbece0ff87

bbcf1a1516b51411bb5c422a91068854debba4c0e1b4025d595de9a051aad31d

d63ea8b4361a1b4f93f145bc813dc7435ff36cf2ced27ece0d48a9e6ac08c2be

Network Indicators

minjust-kg[.]com

esf-kg[.]com

audit-kg[.]com

ach-uz[.]com

uzaudit[.]com

soliq-uz[.]com

hisobot-uz[.]com

ttbbaits[.]com

nac-ac[.]com

hgame33[.]com

ravinads[.]com

4.2      Danh sách IoCs liên quan đến mã độc

4.2.1       Phân tích ransomware 01flip

Indicators of Compromise

Malicious Samples

Windows Version of 01flip Ransomware

SHA-256 hash: 6aad1c36ab9c7c44350ebe3a17178b4fd93c2aa296e2af212ab28d711c0889a3

File size: 741,888 bytes

File type: PE32+ executable (GUI) x86-64 (stripped to external PDB), for MS Windows

Linux Version of 01flip Ransomware

SHA-256 hash: e5834b7bdd70ec904470d541713e38fe933e96a4e49f80dbfb25148d9674f957

File size: 948,640 bytes

File type: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), static-pie linked, stripped

Linux Sliver Beacon, TCP Pivot as C2

SHA-256 hash: ba41f0c7ea36cefe7bc9827b3cf27308362a4d07a8c97109704df5d209bce191

File size: 13,414,400 bytes

File type: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped

4.2.2       Phân tích mã độc ValleyRAT (Winos / Winos 4.0)

Indicators of Compromise