Chiến dịch phát tán PureRAT qua bẫy tuyển dụng có nhiều dấu vết liên quan tới Việt Nam

Những email tuyển dụng với tiêu đề hấp dẫn, gắn mác các thương hiệu quen thuộc như OPPO, Samsung hay Duolingo vốn không còn xa lạ. Nhưng trong chiến dịch mà Trend Micro và Symantec vừa công bố, chính những lời mời việc làm tưởng chừng vô hại ấy lại trở thành điểm khởi đầu cho một chuỗi lây nhiễm mã độc được xây dựng bài bản, tinh vi và mang đậm dấu ấn của trí tuệ nhân tạo.
​

Chiến dịch được phát hiện từ tháng 12/2025, cho thấy một nhóm tin tặc có liên hệ với Việt Nam đang khai thác AI để hạ thấp rào cản kỹ thuật, biến những kịch bản lừa đảo phức tạp thành các công cụ mà ngay cả kẻ tấn công ít kinh nghiệm cũng có thể vận hành.​

Chuỗi tấn công bắt đầu rất “đời”. Các email giả mạo thư mời tuyển dụng được gửi đi với nội dung đánh trúng tâm lý người tìm việc, đặc biệt là các vị trí làm việc từ xa. Ban đầu, nhóm tin tặc đính kèm trực tiếp các file ZIP hoặc RAR độc hại. Khi chiến dịch tiến triển, chúng chuyển sang sử dụng Dropbox để lưu trữ payload, chỉ gửi đường dẫn tải nhằm né tránh các bộ lọc email truyền thống.

Tên file được đặt giống hệt tài liệu tuyển dụng hợp pháp, từ mô tả công việc cho đến bài đánh giá kỹ năng. Với kỳ vọng tìm được cơ hội mới, nhiều nạn nhân mở các tệp này ngay trên máy tính công việc, vô tình trao cho kẻ tấn công điểm bám ban đầu trong môi trường doanh nghiệp.

Cách đánh rải thảm này cho thấy mục tiêu của nhóm tin tặc không phải gián điệp có chủ đích, mà là chiếm quyền truy cập càng nhiều hệ thống càng tốt, sau đó khai thác hoặc bán lại trên thị trường ngầm.​

Các file thực thi được ngụy trang dưới những cái tên quen thuộc như “Salary and Benefits Package.EXE” hay “adobereader.exe”. Đi kèm theo đó là các DLL độc hại mang tên gần như không gây nghi ngờ, từ oledlg.dll đến version.dll. Chính các DLL này là mắt xích kích hoạt những batch script tiếp theo trong chuỗi tấn công.

Điểm khiến các nhà nghiên cứu đặc biệt chú ý nằm ở chính các batch script này. Chúng được viết với cấu trúc rõ ràng, chia từng bước, có chú thích tiếng Việt đầy đủ, mô tả chi tiết từng hành động của mã độc.

Một kịch bản điển hình tạo thư mục ẩn trong %LOCALAPPDATA%\Google Chrome, đổi tên các tài liệu có sẵn thành “huna.zip” và “huna.exe”, giải nén bằng mật khẩu “huna@dev(.)vn”, rồi thực thi payload Python zvchost.exe tải từ máy chủ từ xa. Sau khi thiết lập persistence thông qua khoá Run với tên “ChromeUpdate”, script mở một file PDF mồi để đánh lạc hướng người dùng trước khi khôi phục lại các tài liệu ban đầu.
​

Ở các biến thể mới hơn, cách viết chú thích tiếp tục được tinh giản nhưng vẫn mang phong cách “hướng dẫn từng bước” rất điển hình của mã được tạo bởi AI. Các loader Python dùng để nạp payload HVNC cũng được chia rõ từng giai đoạn, kèm theo ghi chú nội bộ như lời nhắc người vận hành phải dán shellcode vào đúng vị trí. Payload cuối cùng được inject vào tiến trình InstallUtil.exe ở trạng thái suspended, hoàn tất quá trình chiếm quyền điều khiển.​

Hạ tầng linh hoạt và dấu bài toán phòng vệ​

Song song với việc tinh chỉnh mã độc, nhóm tin tặc liên tục xoay vòng hạ tầng. Các địa chỉ IP được hardcode, kho GitLab, Dropbox và nhiều domain khác nhau được sử dụng luân phiên để phân phối payload.

Dù vậy, chiến dịch vẫn để lộ nhiều dấu vết cho thấy mối liên hệ với Việt Nam. Từ mật khẩu giải nén có đuôi @dev.vn, các chuỗi ký tự gợi nhắc đến Hoàn Kiếm, cho đến tài khoản GitLab “kimxhwan”, tất cả cho thấy khả năng cao đây là một nhóm tin tặc hoạt động từ trong nước. Chuỗi “Huna” lặp lại trong tên file và mật khẩu nhiều khả năng là bí danh của kẻ đứng sau chiến dịch.
​

Symantec đã công bố danh sách các dấu hiệu xâm nhập để hỗ trợ phát hiện sớm chiến dịch, trong đó có mã hash của batch script, DLL và payload độc hại, cùng các file mồi được ngụy trang như tài liệu hợp pháp. Doanh nghiệp được khuyến nghị tăng cường giám sát hệ thống, chú ý các thư mục phát sinh hoạt động bất thường, hạn chế tải file từ dịch vụ lưu trữ công cộng và cảnh giác với những script có phong cách chú thích quá chi tiết.
​