Ngày cập nhật: 06/07/2026
Thế giới an toàn thông tin đang chứng kiến một bước ngoặt đáng kể với sự xuất hiện của các hình thức tấn công ransomware ngày càng tinh vi và tự động hóa cao. Tháng 07/2026 ghi nhận nhiều diễn biến phức tạp, từ ransomware được điều khiển hoàn toàn bởi trí tuệ nhân tạo (AI) cho đến các khung mã độc đa năng và việc khai thác triệt để các lỗ hổng phần mềm quan trọng. Bài viết này sẽ đi sâu phân tích kỹ thuật ba mối đe dọa nổi bật nhất, cung cấp cái nhìn chuyên sâu về cơ chế hoạt động và tầm ảnh hưởng của chúng.
Sự Xuất Hiện Của Ransomware Tự Động Hoàn Toàn: JadePuffer và Mối Đe Dọa AI
Một trong những cảnh báo đáng chú ý nhất trong tháng này là sự ra đời của JadePuffer, mà công ty bảo mật đám mây Sysdig tuyên bố là chiến dịch ransomware đầu tiên trên thế giới được điều phối hoàn toàn bởi một mô hình ngôn ngữ lớn (LLM – Large Language Model). Đây không chỉ là một mã độc sử dụng AI để cải thiện hiệu suất, mà chính AI agent đóng vai trò trung tâm trong việc lập kế hoạch, thực thi và tự sửa lỗi trong toàn bộ chuỗi tấn công.
Phân tích kỹ thuật của JadePuffer:
- Mục tiêu và Lỗ hổng: JadePuffer nhắm mục tiêu vào các phiên bản Langflow tiếp xúc với internet, khai thác lỗ hổng CVE-2025-3248. Lỗ hổng này cho phép kẻ tấn công giành quyền truy cập ban đầu.
- Tự động hóa và Tự sửa lỗi: Điểm đặc biệt của JadePuffer là khả năng tự động thực hiện một kịch bản tấn công tống tiền cơ sở dữ liệu một cách thích ứng và hoàn toàn tự động. Hệ thống AI agent thể hiện khả năng tự sửa lỗi đáng kinh ngạc, tự động thử lại các bước thất bại và khắc phục lỗi đăng nhập chỉ trong 31 giây sau lần thử đầu tiên không thành công.
- Chuỗi tấn công đa giai đoạn: Cuộc tấn công của JadePuffer bao gồm nhiều giai đoạn phức tạp: khai thác lỗ hổng, trinh sát mạng, thu thập thông tin đăng nhập (bao gồm LLM APIs, thông tin đăng nhập đám mây và cơ sở dữ liệu), đánh cắp dữ liệu cục bộ, di chuyển ngang trong mạng, liệt kê các đối tượng trong kho lưu trữ MinIO, tạo quyền duy trì thông qua việc tạo các tác vụ cron job, và cuối cùng là truy cập vào máy chủ cơ sở dữ liệu MySQL sản xuất của nạn nhân.
Sự xuất hiện của JadePuffer đánh dấu một kỷ nguyên mới trong các cuộc tấn công mạng, nơi AI không chỉ là công cụ hỗ trợ mà là thực thể điều khiển chính, tạo ra một mối đe dọa chưa từng có về khả năng thích ứng và tự động hóa.
Khung Mã Độc Avalon và Ransomware CrownX: Sự Tinh Vi Trong Tấn Công Chuỗi Cung Ứng
Cùng với sự phát triển của AI trong tấn công, các khung mã độc truyền thống cũng trở nên phức tạp hơn bao giờ hết. Avalon malware framework, kết hợp với CrownX ransomware, là một ví dụ điển hình về mối đe dọa mô-đun tiên tiến, tích hợp các khả năng được hỗ trợ bởi AI để thực hiện một chuỗi tấn công được dàn dựng bài bản.
Cơ chế hoạt động của Avalon Framework:
- Chiến dịch lừa đảo đa giai đoạn (Multi-stage phishing): Avalon được phân phối thông qua các chiến dịch lừa đảo tinh vi, bắt đầu bằng email giả mạo tài liệu pháp lý. Các email này dẫn nạn nhân đến các kho lưu trữ được bảo vệ bằng mật khẩu trên Proton Drive, chứa các tệp ảnh ISO.
- Kỹ thuật thực thi tinh vi: Khi tệp ISO được gắn kết, nó hiển thị một lối tắt Windows Shortcut (.lnk) được ngụy trang như một tài liệu. Lối tắt này sẽ khởi chạy một dự án MSBuild để tải một assembly .NET được nhúng.
- Né tránh phát hiện: Mã độc này được thiết kế để thực thi hoàn toàn trong bộ nhớ (in-memory execution), giảm thiểu các dấu vết trên đĩa và tránh bị các giải pháp phát hiện truyền thống. Nó cũng vô hiệu hóa khả năng hiển thị pháp y thông qua kỹ thuật ETW tampering.
- Mục tiêu tấn công: Avalon thu thập thông tin đăng nhập từ nhiều nguồn khác nhau, sử dụng các tiện ích đáng tin cậy để di chuyển ngang trong mạng, phá vỡ khả năng phục hồi và cuối cùng là thực thi ransomware.
Sự kết hợp giữa lừa đảo xã hội tinh vi và kỹ thuật né tránh phát hiện cấp thấp khiến Avalon trở thành một mối đe dọa đáng gờm, đặc biệt nhắm vào các hệ thống Windows và an ninh chuỗi cung ứng.

Các Xu Hướng Khai Thác Mới: Citrix Bleed 2, BYOVD và Tấn Công Chuỗi Cung Ứng
Bên cạnh các mã độc mới, việc khai thác các lỗ hổng phần mềm hiện có vẫn là một con đường phổ biến cho các nhóm ransomware. Báo cáo tháng 07/2026 chỉ ra rằng các nhóm tấn công đang tích cực sử dụng lỗ hổng Citrix Bleed 2 và các kỹ thuật Bring Your Own Vulnerable Driver (BYOVD).
Chi tiết về các xu hướng khai thác:
- Khai thác Citrix Bleed 2 (CVE-2025-5777): Nhóm ransomware Anubis đang tích cực khai thác lỗ hổng nghiêm trọng này trong Citrix NetScaler ADC và Gateway. Với điểm CVSS 9.3, lỗ hổng này cho phép kẻ tấn công bỏ qua xác thực khi thiết bị được cấu hình như một Gateway hoặc máy chủ ảo AAA, từ đó giành quyền truy cập ban đầu vào mạng mục tiêu.
- Sử dụng công cụ RMM hợp pháp: Các đối tác của Anubis thường sử dụng các công cụ quản lý và giám sát từ xa (RMM – Remote Management and Monitoring) hợp pháp như ScreenConnect, Zoho Assist và MeshAgent để di chuyển ngang và hòa lẫn vào hoạt động IT bình thường, gây khó khăn cho việc phát hiện.
- Kỹ thuật BYOVD: Các nhóm ransomware khác, như The Gentlemen RaaS, đang chuyển sang sử dụng kỹ thuật BYOVD. Kỹ thuật này liên quan đến việc đưa các driver dễ bị tổn thương hợp pháp nhưng đã cũ vào hệ thống để đạt được khả năng né tránh phòng thủ và thực thi lệnh từ xa với đặc quyền cao.
- Tầm quan trọng của thông tin đăng nhập chuỗi cung ứng: Báo cáo cũng nhấn mạnh việc khai thác các lỗ hổng đã biết và thông tin đăng nhập bị đánh cắp trong chuỗi cung ứng. Điều này cho thấy kẻ tấn công ngày càng tập trung vào các mắt xích yếu trong hệ sinh thái của một tổ chức.
Những xu hướng này cho thấy sự linh hoạt và khả năng thích ứng của các nhóm ransomware, không ngừng tìm kiếm các phương pháp mới để vượt qua các biện pháp bảo mật hiện có.

Kết luận:
Tháng 07/2026 đã mang đến những cảnh báo rõ ràng về sự thay đổi trong bức tranh an toàn thông tin. Từ ransomware tự động hoàn toàn do AI điều khiển như JadePuffer, các khung mã độc đa năng và tinh vi như Avalon Framework, cho đến việc khai thác các lỗ hổng hệ thống quan trọng như Citrix Bleed 2 và kỹ thuật BYOVD, tất cả đều đòi hỏi các tổ chức phải có một chiến lược phòng thủ đa lớp và chủ động. Việc liên tục cập nhật kiến thức về các mối đe dọa mới, vá lỗi kịp thời, tăng cường giám sát mạng và đào tạo nhân sự về an toàn thông tin là những yếu tố then chốt để đối phó với một môi trường không gian mạng ngày càng phức tạp và nguy hiểm.
Nguồn tham khảo
- Infosecurity Magazine: Researchers Claim First Fully Agentic Ransomware: JadePuffer
- Rescana: Avalon Malware Framework: Advanced Modular Threat Leveraging CrownX Ransomware Targets Windows Systems and Supply Chain Security
- The Hacker News: Ransomware Groups Turn to Citrix Bleed 2, BYOVD, and Supply Chain Credentials



