Huntress researchers detail a highly repeatable attack cluster observed across the first half of 2026, where threat actors exploit CVE-2025-5777 (CitrixBleed 2) — a pre-authentication memory-overread in Citrix NetScaler ADC/Gateway — to steal live session tokens and bypass MFA. After gaining access, attackers use a novel Windows registry symbolic link (REG_LINK) local privilege escalation technique abusing the AppMgmt service and Group Policy to achieve SYSTEM-level execution. They then create backdoor admin accounts, install ScreenConnect or Zoho Assist for persistence, conduct lateral movement using Impacket and Mimikatz, and ultimately deploy DragonForce ransomware. The post includes a full 7-step kill chain, forensic evidence of session hijacking, detailed LPE mechanism analysis, indicators of compromise, and remediation guidance including patching, log forwarding, session termination, and environment auditing.
Nguồn: https://www.huntress.com/blog/citrixbleed-2-dragonforce-ransomware. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Một nhóm nghiên cứu của Sysdig phát hiện chiến dịch ransomware JadePuffer do AI agent (LLM) điều khiển hoàn toàn, khai thác lỗ hổng CVE-2025-3248 trong Langflow để xâm nhập, sau đó tự động thực hiện các bước tấn công như trinh sát, đánh cắp thông tin đăng nhập, di chuyển ngang, thiết lập persistence, leo thang đặc quyền và mã hóa dữ liệu 1.342 mục cấu hình Nacos bằng MySQL's AES_ENCRYPT(). Khóa mã hóa không được lưu hay truyền đi, còn địa chỉ Bitcoin trong lời đe dọa có vẻ là dữ liệu huấn luyện.
Lập trình viên nên đọc bài này để hiểu cách các nhóm tấn công hiện đại đang tích hợp trí tuệ nhân tạo vào các chiến lược tấn công phức tạp, từ khai thác lỗ hổng đến tự động hóa các bước tấn công toàn diện, và cách bảo vệ hệ thống trước những "nhóm tấn công đại lý" (agentic threat actors) mới nổi.
Các nhà nghiên cứu của Sysdig đã ghi nhận JadePuffer, chiến dịch ransomware đầu tiên được thực thi hoàn toàn bởi một tác nhân LLM mà không cần sự can thiệp của con người. Kẻ tấn công khai thác CVE-2025-3248 (lỗ hổng RCE không cần xác thực trong Langflow) để xâm nhập máy chủ MySQL sản xuất, đánh cắp dữ liệu, xóa cơ sở dữ liệu và để lại lời đe dọa tống tiền, với khả năng phục hồi nhanh chóng sau thất bại.
Lập trình viên nên đọc bài này để hiểu cách một hệ thống AI tự động hóa tấn công phức tạp, từ khai thác lỗ hổng đến phá hủy dữ liệu, và nhận thức về nguy cơ mới khi các công cụ tự động hóa của AI được sử dụng trong cybercrime.
Năm 2026, những mối đe dọa mạng nguy hiểm bao gồm lừa đảo bằng AI, giọng nói deepfake, ransomware tống tiền kép, rủi ro từ cấu hình sai trên cloud, tấn công thiết bị di động, tái sử dụng mật khẩu, kỹ thuật xã hội tinh vi và tấn công chuỗi cung ứng. Để phòng tránh, người dùng nên sử dụng quản lý mật khẩu, bật xác thực đa yếu tố (MFA), cập nhật thiết bị thường xuyên và cẩn trọng khi nhấp vào liên kết.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống và ứng dụng của mình trước những mối đe dọa mới nổi từ AI, ransomware và các tấn công phức tạp, từ đó xây dựng các giải pháp bảo mật hiệu quả và phòng ngừa trước các cuộc tấn công trong tương lai.
Mexico's 2025–2030 National Cybersecurity Plan, published by the ATDT in December 2025, outlines a six-phase roadmap to modernize the country's cyber posture. The plan addresses top threats including ransomware, financial malware, hacktivism, state-sponsored attacks, and organized crime. Key milestones include passing a General Cybersecurity Law in 2026, establishing a National Center for Cybersecurity Operations, creating a National Cyber Range by 2027, and integrating AI for cyber defense by 2028. Mexico ranks as a Tier 2 nation in the ITU Global Cybersecurity Index but lags in institutional capacity. The 2026 FIFA World Cup co-hosted by Mexico serves as an immediate stress test for its digital infrastructure. Insikt Group recommends organizations in Mexico adopt international standards like NIST CSF or ISO/IEC 27001, conduct scenario-planning exercises, leverage threat intelligence platforms, and invest in public cyber hygiene education.
A US county, likely Union County, Ohio, paid a $1 million ransom to the Kairos extortion gang after negotiations that began with a $3 million demand. The attackers claimed to have stolen over 2TB of data (~1.6 million files) and provided only an unverifiable promise of deletion in exchange for payment. The case highlights the ongoing debate around ransom payments: the FBI and CISA advise against paying, two US states ban public agencies from doing so, yet victims often feel it is the lesser evil. The county received no independent proof of data deletion, meaning the stolen files could still surface or be used for future extortion.
Năm 2026 ghi nhận hàng loạt vụ tấn công mạng nghiêm trọng như rò rỉ cơ sở dữ liệu An sinh Xã hội (DOGE) lên server không bảo mật, tấn công vào hạ tầng năng lượng và nước của châu Âu do Nga đứng sau, hacker Iran xóa sạch thiết bị nhân viên Stryker, hay vụ Klue làm ảnh hưởng ~200 doanh nghiệp bao gồm LastPass và HackerOne. Ngoài ra, còn có các sự cố như ShinyHunters tấn công nền tảng Canvas của Instructure (30 triệu sinh viên), gián điệp Trung Quốc xâm nhập hệ thống giám sát FBI, chatbot AI của Meta bị lợi dụng để chiếm đoạt tài khoản Instagram, Hasbro gặp sự cố downtime kéo dài, và sự gia tăng lộ lậu dữ liệu hộ chiếu, bằng lái do cấu hình sai.
Bạn nên đọc để hiểu cách các vụ tấn công phức tạp năm 2026—như tấn công chuỗi cung ứng, khai thác AI và ransomware—có thể khai thác lỗ hổng trong hệ thống, ứng dụng và quy trình an ninh của doanh nghiệp, từ đó xây dựng chiến lược phòng thủ và ứng phó hiệu quả.

Weekly threat intelligence roundup covering major ransomware incidents at River Bank & Trust, Indra Group, Nidec, and Aflac. AI-related threats include a browser-native ransomware technique abusing Chrome's File System Access API, shell injection flaws in 11 AI coding agents, and LLM phantom squatting used for phishing. Critical vulnerabilities patched include Oracle E-Business Suite RCE (CVE-2026-46817), Linux kernel privilege escalation (CVE-2026-46242), Citrix NetScaler memory disclosure (CVE-2026-8451), and Progress Kemp LoadMaster command injection (CVE-2026-8037). Threat intelligence highlights include a North Korea-linked supply chain campaign (PolinRider), a ransomware-credential theft partnership, and evolution of ClickFix into an API-driven malware delivery ecosystem.
Ransomware-as-a-Service (RaaS) has transformed ransomware into a scalable criminal supply chain where operators build and maintain malware while affiliates carry out intrusions and initial access brokers sell footholds. This division of labor means the same ransomware family can appear in very different attacks depending on which affiliate is involved. Key entry points include phishing, exposed RDP, stolen credentials, and abused RMM tools. A real-world example traces SonicWall VPN exploitation through lateral movement, persistence, and credential theft before Akira ransomware deployment. Defenders are advised to treat ransomware as an intrusion problem, hardening remote access, enforcing MFA, monitoring identity abuse, and correlating signals across endpoints and logs to catch attacker activity well before encryption begins.