💡 Theo đánh giá của RetroLab, chiến dịch này cho thấy sự chuyên nghiệp hóa của tội phạm mạng khi kết hợp cả kỹ thuật SEO truyền thống lẫn trí tuệ nhân tạo để mở rộng phạm vi tấn công. Đội ngũ RetroLab nhận thấy người dùng cần đặc biệt cảnh giác với các liên kết tải phần mềm từ chatbot AI, đồng thời chỉ nên tải ứng dụng từ nguồn chính thức của nhà phát triển.
Microsoft vừa công bố một chiến dịch tấn công mạng tinh vi, trong đó tin tặc sử dụng kỹ thuật đầu độc SEO (SEO poisoning) và trong một số trường hợp, cả các đề xuất từ chatbot AI để phát tán mã độc đào tiền mã hóa (cryptojacking) nhắm vào những người dùng sở hữu card đồ họa cao cấp. Theo báo cáo từ nhóm Microsoft Defender Experts và Microsoft Defender Security Research Team, chiến dịch này đặc biệt nhắm vào game thủ, những người đam mê phần cứng, người dùng AI và các overclocker – những đối tượng thường xuyên sở hữu GPU mạnh mẽ.

Chiến dịch tinh vi nhắm vào game thủ
Các ứng dụng phổ biến bị giả mạo bao gồm CrystalDiskInfo, HWMonitor, Display Driver Uninstaller (DDU), FurMark, K-Lite Codec Pack và PDFgear. Nạn nhân tìm kiếm phần mềm trên các công cụ tìm kiếm truyền thống – và trong một số trường hợp, thông qua các đề xuất từ chatbot AI – đã bị chuyển hướng đến các trang web do tin tặc kiểm soát, nơi chứa các tệp ZIP độc hại.
Microsoft nhận định rằng tin tặc không quan tâm đến việc tối đa hóa số lượng lây nhiễm, mà tập trung vào việc xâm nhập các hệ thống có GPU rời mạnh mẽ, phù hợp để khai thác tiền mã hóa có lợi nhuận. Sau khi cài đặt, mã độc triển khai phần mềm truy cập từ xa ScreenConnect – một công cụ quản lý từ xa hợp pháp – trước khi âm thầm tải các payload đào GPU như lolMiner, gminer và SRBMiner-MULTI.
Kỹ thuật lây nhiễm và né tránh
Chuỗi tấn công dựa nhiều vào các kỹ thuật tàng hình thường thấy ở các chiến dịch mã độc cao cấp. Các tệp ZIP tải về chứa cả trình cài đặt phần mềm hợp pháp lẫn các DLL độc hại được tự động tải thông qua kỹ thuật DLL sideloading. Từ đó, mã độc thiết lập sáu cơ chế duy trì hoạt động riêng biệt, thêm ngoại lệ cho Microsoft Defender, kiểm tra sự hiện diện của máy ảo và các công cụ phân tích bảo mật, đồng thời sử dụng kỹ thuật process hollowing để tiêm mã khai thác vào các tiện ích .NET được Microsoft ký số như MSBuild.exe, InstallUtil.exe và RegAsm.exe.
Một điểm đáng chú ý là mã độc được thiết kế để tránh bị phát hiện bởi những người dùng PC quan tâm đến hiệu năng. Microsoft cho biết phần mềm đào theo dõi mức sử dụng GPU, thời gian hệ thống rảnh rỗi, hoạt động chơi game và tải công việc stream, tự động tắt hoạt động đào bất cứ khi nào phát hiện GPU hoạt động mạnh. Điều này làm giảm các dấu hiệu cảnh báo rõ ràng như giảm khung hình đột ngột, quá nhiệt hoặc quạt GPU kêu to.
Để né tránh phân tích sâu, mã độc thực hiện kiểm tra chống phân tích mở rộng trước khi kích hoạt. Nó quét hệ thống để tìm các dấu hiệu của máy ảo, công cụ gỡ lỗi, nền tảng reverse engineering, trình phân tích gói và các tiện ích pháp y như Wireshark, ProcMon, x64dbg, dnSpy, IDA và Ghidra. Nếu phát hiện bất kỳ công cụ nào như vậy, mã độc tự kết thúc.
Vai trò của AI chatbot
Có lẽ khía cạnh bất thường nhất của chiến dịch là việc Microsoft quan sát thấy một số tên miền độc hại có thể xuất hiện thông qua tương tác với chatbot AI. Theo công ty, người dùng yêu cầu đề xuất tải phần mềm từ các trợ lý dựa trên mô hình ngôn ngữ lớn (LLM) trong một số trường hợp đã nhận được liên kết đến các tên miền do tin tặc kiểm soát được nhúng trong phản hồi. Microsoft nhấn mạnh rằng ví dụ này chỉ mang tính minh họa và “không chỉ ra một vấn đề mang tính hệ thống với bất kỳ dịch vụ AI cụ thể nào”, nhưng lưu ý rằng hoạt động này có vẻ phù hợp với các kỹ thuật đầu độc tìm kiếm hỗ trợ AI mới nổi.
Theo phân tích của Microsoft, chiến dịch đã hoạt động từ ít nhất tháng 3 năm 2026 và liên quan đến hơn 150 tên miền độc hại giả mạo các cổng tải phần mềm đáng tin cậy. Nhiều bản tải về được lưu trữ trên các tên miền phụ của gleeze.com, cơ sở hạ tầng liên kết với dịch vụ DNS động Dynu – vốn thường xuyên bị lạm dụng trong các chiến dịch phishing và mã độc trước đây.
Quá trình lây nhiễm ban đầu đơn giản một cách đáng ngạc nhiên. Nạn nhân tải về các tệp ZIP chứa cả tệp thực thi ứng dụng hợp pháp lẫn một DLL độc hại có tên autorun.dll. Khi ứng dụng hợp pháp được khởi chạy, Windows tự động tải DLL độc hại từ cùng thư mục thông qua DLL sideloading – một kỹ thuật lạm dụng Windows lâu đời không cần khai thác lỗ hổng phần mềm và thường không để lại dấu hiệu xâm nhập rõ ràng.
Sau đó, mã độc âm thầm cài đặt ScreenConnect, một nền tảng quản lý từ xa doanh nghiệp hợp pháp còn được gọi là ConnectWise Control. Microsoft nhấn mạnh rằng bản thân ScreenConnect không độc hại, mà đang bị tin tặc lạm dụng theo cách tương tự như việc các tác nhân đe dọa ngày càng lạm dụng các công cụ quản lý và giám sát từ xa (RMM) hợp pháp để trốn tránh sự giám sát bảo mật.
Khi đã thiết lập truy cập từ xa, tin tặc triển khai một tệp nhị phân có tên SimpleRunPE.exe, mà Microsoft tin rằng có thể một phần bắt nguồn từ một dự án proof-of-concept process hollowing công khai trên GitHub. Mã độc tự sao chép vào các thư mục Windows ẩn với tên RuntimeHost.exe, tạo các tác vụ lập lịch và mục khởi động để duy trì hoạt động, và liên tục thêm lại các ngoại lệ Microsoft Defender ngay cả khi người dùng hoặc quản trị viên cố gắng xóa chúng.
Kết luận và khuyến cáo
Chiến dịch này làm nổi bật một xu hướng đáng lo ngại: tin tặc không chỉ nhắm vào các công cụ tìm kiếm mà còn cả các hệ thống phát hiện hỗ trợ AI. Trong khi SEO poisoning truyền thống đã tồn tại nhiều năm, việc sử dụng ngày càng nhiều chatbot AI và trợ lý LLM để đề xuất phần mềm có thể tạo ra một bề mặt tấn công mới, nơi các trang web độc hại có thêm tầm nhìn thông qua các phản hồi được tạo ra. Người dùng cần hết sức thận trọng, vì ngay cả những tiện ích quen thuộc được tải về từ các trang web có vẻ đáng tin cậy cũng có thể ẩn chứa payload mã độc, đặc biệt khi tải qua các mirror bên thứ ba hoặc liên kết do AI cung cấp thay vì từ trang chính thức của nhà phát triển.






