Gen Threat Labs has identified an active SilverFox campaign deploying ValleyRAT through an eight-stage infection chain targeting Windows systems. The attack begins with DLL side-loading via trojanized installers, uses steganography to hide payloads in PNG images, and employs the Donut loader for in-memory shellcode execution. A Go-based RAT communicates over WebSocket and QUIC, injects an AV-killer into svchost, and ultimately installs a kernel-level rootkit supporting over 65 command codes. The malware also steals cryptocurrency wallet addresses via clipboard hijacking, targets Telegram data, and uses polymorphic recompilation with daily file path rotation to evade static detection. CISOs are advised to monitor for DLL side-loading, hunt post-exploitation patterns like unusual named pipes and QUIC traffic, and treat confirmed rootkit infections as high-severity events requiring full reimaging.
Nguồn: https://securityboulevard.com/2026/07/silverfox-hackers-use-go-rat-av-killer-and-kernel-rootkit-in-valleyrat-campaign. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Google, FBI và IRS đã triệt phá botnet NetNut, một mạng proxy dân cư chiếm dụng hơn 2 triệu thiết bị thông minh (smart TV, hộp streaming, Android). NetNut được Alarum Technologies (công ty Israel niêm yết Nasdaq) bán dưới dạng dịch vụ thương mại, bị 316 nhóm tội phạm lợi dụng để tấn công password spraying, gian lận quảng cáo, thu thập dữ liệu và chiếm tài khoản. Google vô hiệu hóa hạ tầng tài khoản Google của NetNut, FBI tịch thu hàng trăm tên miền liên quan, trong khi phát hiện 20% ứng dụng Samsung Tizen và 42% ứng dụng LG webOS chứa SDK proxy trái phép. Các thiết bị nhiễm còn mang biến thể DDoS Mirai và liên quan đến botnet Android Badbox 2.0. Google cho biết đây là "sự suy giảm đáng kể" chứ không phải xóa sổ hoàn toàn do các nhà cung cấp proxy chia sẻ tài nguyên.
Lập trình viên nên đọc bài này để hiểu cách các botnet như NetNut lây lan qua các ứng dụng không rõ nguồn gốc trên thiết bị IoT và Android, và cách các công ty như Google và FBI đối phó, giúp cảnh báo về nguy cơ bảo mật trong ứng dụng và hệ thống của riêng bạn.
OpenAI's tính năng nén ngữ cảnh native giảm tới ~86% lượng token đầu vào mà không ảnh hưởng đáng kể đến chất lượng tổng thể trong phân tích malware tự động, dù mô hình hóa đối tượng miền có giảm nhẹ. Bài viết phân biệt rõ memory làm việc (xử lý bởi nén ngữ cảnh) và storage bền vững (lưu trữ artifacts chính xác), đồng thời hướng dẫn sử dụng hai kiểu API nén (server-side và standalone) kèm ví dụ code, nhấn mạnh tầm quan trọng của "context engineering" trong workflow bảo mật agentic lâu dài.
Những lập trình viên phát triển hệ thống an ninh tự động cần đọc để tối ưu hóa hiệu suất và độ chính xác của các agent AI trong phân tích malware bằng cách hiểu cách điều khiển bộ nhớ và ngữ cảnh hiệu quả, từ đó giảm chi phí tính toán và bảo đảm chất lượng kết quả.
Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.
Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.
A walkthrough of a TryHackMe room simulating an AI supply chain compromise, where a malicious ML model was introduced into production and went undetected for 21 days. The investigation covers deployment log analysis, decompiling the production model to find a system() shell execution payload, beacon traffic analysis revealing POST-based data exfiltration, and inspecting a candidate replacement model that also contained a suspicious 'manipulate_output' layer. Key takeaway: ML model files can contain executable payloads, backdoors, and exfiltration logic, and must be treated with the same scrutiny as software supply chains.
Một chiến dịch phối hợp giữa Google, FBI, Lumen Technologies và The Shadowserver Foundation đã vô hiệu hóa NetNut, mạng proxy botnet dân cư lớn toàn cầu, với hơn 2 triệu thiết bị Android (bao gồm TV thông minh và hộp streaming) bị nhiễm malware. Các tác nhân đe dọa sử dụng NetNut để che giấu lưu lượng độc hại sau địa chỉ IP hợp pháp, trong khi Google vô hiệu hạ tầng C2, cảnh báo người dùng qua Google Play Protect và FBI tịch thu tên miền netnut.com.
Lập trình viên nên đọc bài này để hiểu cách các botnet như NetNut hoạt động, từ đó tìm hiểu về các kỹ thuật bảo mật và cách phòng ngừa nhiễm malware trong ứng dụng Android, đặc biệt khi phát triển hoặc tích hợp các dịch vụ mạng.
Kaspersky ICS CERT's Q1 2026 threat report shows malicious objects were blocked on 19.6% of ICS computers globally — the lowest figure in three years. Regionally, Africa had the highest rate (27.4%) while Northern Europe had the lowest (9.1%). Southern Europe and Russia saw notable increases across multiple threat categories including spyware, internet threats, and email-delivered malware. Biometric systems consistently ranked as the most-targeted industry, with 26.4% of computers affected and email threats exceeding internet threats in that sector. Ransomware hit a record low of 0.14%, while malicious scripts and phishing pages remained the top threat category at 6.56%. Malware from 10,052 distinct families was blocked across industrial automation systems during the quarter. Key regional hotspots include Southeast Asia for internet-sourced threats and viruses, and Central Asia/South Caucasus for ransomware in oil, gas, and manufacturing.

Women in CyberSecurity (WiCyS) has launched the Just Hacking Program, a technical training initiative targeting practical cybersecurity skills gaps identified through workforce research. The program launches with three courses: AI-assisted cyber defense operations (using Anthropic's Claude for blue team work, starting July 6), script-based malware analysis (late August), and web application penetration testing covering OWASP Top 10 (October). Curriculum was shaped by a Skillrex assessment of WiCyS members across 60 competencies. Research also found WiCyS members have a 32% lower attrition rate than Fortune 500 benchmarks, and that high-impact training practices could save over $125,000 per employee through faster hiring and longer retention. Courses are open to WiCyS members in good standing and require roughly 5–7 hours per week.