Những email tuyển dụng với tiêu đề hấp dẫn, gắn mác các thương hiệu quen thuộc như OPPO, Samsung hay Duolingo vốn không còn xa lạ. Nhưng trong chiến dịch mà Trend Micro và Symantec vừa công bố, chính những lời mời việc làm tưởng chừng vô hại ấy lại trở thành điểm khởi đầu cho một chuỗi lây nhiễm mã độc được xây dựng bài bản, tinh vi và mang đậm dấu ấn của trí tuệ nhân tạo.
PureRAT.png

Chiến dịch được phát hiện từ tháng 12/2025, cho thấy một nhóm tin tặc có liên hệ với Việt Nam đang khai thác AI để hạ thấp rào cản kỹ thuật, biến những kịch bản lừa đảo phức tạp thành các công cụ mà ngay cả kẻ tấn công ít kinh nghiệm cũng có thể vận hành.​

Từ lời mời tuyển dụng đến điểm xâm nhập doanh nghiệp​

Chuỗi tấn công bắt đầu rất “đời”. Các email giả mạo thư mời tuyển dụng được gửi đi với nội dung đánh trúng tâm lý người tìm việc, đặc biệt là các vị trí làm việc từ xa. Ban đầu, nhóm tin tặc đính kèm trực tiếp các file ZIP hoặc RAR độc hại. Khi chiến dịch tiến triển, chúng chuyển sang sử dụng Dropbox để lưu trữ payload, chỉ gửi đường dẫn tải nhằm né tránh các bộ lọc email truyền thống.

Tên file được đặt giống hệt tài liệu tuyển dụng hợp pháp, từ mô tả công việc cho đến bài đánh giá kỹ năng. Với kỳ vọng tìm được cơ hội mới, nhiều nạn nhân mở các tệp này ngay trên máy tính công việc, vô tình trao cho kẻ tấn công điểm bám ban đầu trong môi trường doanh nghiệp.

Cách đánh rải thảm này cho thấy mục tiêu của nhóm tin tặc không phải gián điệp có chủ đích, mà là chiếm quyền truy cập càng nhiều hệ thống càng tốt, sau đó khai thác hoặc bán lại trên thị trường ngầm.​

Chuỗi lây nhiễm nhiều lớp và dấu ấn AI từng dòng script

Khi file nén được mở, mã độc không lập tức bộc lộ. Nhóm tin tặc sử dụng kỹ thuật DLL side-loading, lợi dụng các phần mềm hợp pháp như Haihaisoft PDF Reader, các phiên bản cũ của Microsoft Excel hoặc Foxit PDF Reader để thực thi mã độc.


Các file thực thi được ngụy trang dưới những cái tên quen thuộc như “Salary and Benefits Package.EXE” hay “adobereader.exe”. Đi kèm theo đó là các DLL độc hại mang tên gần như không gây nghi ngờ, từ oledlg.dll đến version.dll. Chính các DLL này là mắt xích kích hoạt những batch script tiếp theo trong chuỗi tấn công.

Điểm khiến các nhà nghiên cứu đặc biệt chú ý nằm ở chính các batch script này. Chúng được viết với cấu trúc rõ ràng, chia từng bước, có chú thích tiếng Việt đầy đủ, mô tả chi tiết từng hành động của mã độc.

Một kịch bản điển hình tạo thư mục ẩn trong %LOCALAPPDATA%\Google Chrome, đổi tên các tài liệu có sẵn thành “huna.zip” và “huna.exe”, giải nén bằng mật khẩu “huna@dev(.)vn”, rồi thực thi payload Python zvchost.exe tải từ máy chủ từ xa. Sau khi thiết lập persistence thông qua khoá Run với tên “ChromeUpdate”, script mở một file PDF mồi để đánh lạc hướng người dùng trước khi khôi phục lại các tài liệu ban đầu.

Đáng chú ý, một số script chứa comment bằng tiếng Việt kèm biểu tượng cảm xúc, ví dụ “✅ Kiểm tra tồn tại” và “ CHẠY VỚI WORKING DIRECTORY ĐÚNG”. Đây được xem là dấu hiệu bất thường trong mã độc truyền thống, nhưng lại phù hợp với đặc trưng của mã được sinh tự động hoặc có sự hỗ trợ từ công cụ AI.


Ở các biến thể mới hơn, cách viết chú thích tiếp tục được tinh giản nhưng vẫn mang phong cách “hướng dẫn từng bước” rất điển hình của mã được tạo bởi AI. Các loader Python dùng để nạp payload HVNC cũng được chia rõ từng giai đoạn, kèm theo ghi chú nội bộ như lời nhắc người vận hành phải dán shellcode vào đúng vị trí. Payload cuối cùng được inject vào tiến trình InstallUtil.exe ở trạng thái suspended, hoàn tất quá trình chiếm quyền điều khiển.​
Hạ tầng linh hoạt và dấu bài toán phòng vệ
Song song với việc tinh chỉnh mã độc, nhóm tin tặc liên tục xoay vòng hạ tầng. Các địa chỉ IP được hardcode, kho GitLab, Dropbox và nhiều domain khác nhau được sử dụng luân phiên để phân phối payload.

Dù vậy, chiến dịch vẫn để lộ nhiều dấu vết cho thấy mối liên hệ với Việt Nam. Từ mật khẩu giải nén có đuôi @dev.vn, các chuỗi ký tự gợi nhắc đến Hoàn Kiếm, cho đến tài khoản GitLab “kimxhwan”, tất cả cho thấy khả năng cao đây là một nhóm tin tặc hoạt động từ trong nước. Chuỗi “Huna” lặp lại trong tên file và mật khẩu nhiều khả năng là bí danh của kẻ đứng sau chiến dịch.

Theo Symantec, nhóm này liên tục cải tiến công cụ, xâu chuỗi các payload như PureRAT và HVNC nhằm tối đa hoá giá trị của mỗi điểm xâm nhập. Mục tiêu cuối cùng không chỉ là lây nhiễm, mà là tạo ra các quyền truy cập đủ giá trị để khai thác hoặc rao bán trên các diễn đàn ngầm.


Symantec đã công bố danh sách các dấu hiệu xâm nhập để hỗ trợ phát hiện sớm chiến dịch, trong đó có mã hash của batch script, DLL và payload độc hại, cùng các file mồi được ngụy trang như tài liệu hợp pháp. Doanh nghiệp được khuyến nghị tăng cường giám sát hệ thống, chú ý các thư mục phát sinh hoạt động bất thường, hạn chế tải file từ dịch vụ lưu trữ công cộng và cảnh giác với những script có phong cách chú thích quá chi tiết.

Thực tế cho thấy, thách thức lớn nhất của chiến dịch này không nằm ở việc thiếu dấu hiệu nhận biết hay công cụ phát hiện, mà ở ranh giới mờ giữa hành vi hợp pháp và hành vi độc hại. Khi mã độc được ngụy trang thành tài liệu tuyển dụng, vận hành qua những phần mềm quen thuộc và thực hiện các thao tác tưởng như bình thường, khả năng phát hiện sớm không còn phụ thuộc vào chữ ký kỹ thuật, mà nằm ở năng lực đọc ngữ cảnh và hiểu hành vi của hệ thống.

Theo Cyber Press