Kaspersky ICS CERT's Q1 2026 threat report shows malicious objects were blocked on 19.6% of ICS computers globally — the lowest figure in three years. Regionally, Africa had the highest rate (27.4%) while Northern Europe had the lowest (9.1%). Southern Europe and Russia saw notable increases across multiple threat categories including spyware, internet threats, and email-delivered malware. Biometric systems consistently ranked as the most-targeted industry, with 26.4% of computers affected and email threats exceeding internet threats in that sector. Ransomware hit a record low of 0.14%, while malicious scripts and phishing pages remained the top threat category at 6.56%. Malware from 10,052 distinct families was blocked across industrial automation systems during the quarter. Key regional hotspots include Southeast Asia for internet-sourced threats and viruses, and Central Asia/South Caucasus for ransomware in oil, gas, and manufacturing.
Nguồn: https://securelist.com/industrial-threat-report-q1-2026/120643. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Các nhà nghiên cứu của Sysdig đã ghi nhận JadePuffer, chiến dịch ransomware đầu tiên được thực thi hoàn toàn bởi một tác nhân LLM mà không cần sự can thiệp của con người. Kẻ tấn công khai thác CVE-2025-3248 (lỗ hổng RCE không cần xác thực trong Langflow) để xâm nhập máy chủ MySQL sản xuất, đánh cắp dữ liệu, xóa cơ sở dữ liệu và để lại lời đe dọa tống tiền, với khả năng phục hồi nhanh chóng sau thất bại.
Lập trình viên nên đọc bài này để hiểu cách một hệ thống AI tự động hóa tấn công phức tạp, từ khai thác lỗ hổng đến phá hủy dữ liệu, và nhận thức về nguy cơ mới khi các công cụ tự động hóa của AI được sử dụng trong cybercrime.
Năm 2026, những mối đe dọa mạng nguy hiểm bao gồm lừa đảo bằng AI, giọng nói deepfake, ransomware tống tiền kép, rủi ro từ cấu hình sai trên cloud, tấn công thiết bị di động, tái sử dụng mật khẩu, kỹ thuật xã hội tinh vi và tấn công chuỗi cung ứng. Để phòng tránh, người dùng nên sử dụng quản lý mật khẩu, bật xác thực đa yếu tố (MFA), cập nhật thiết bị thường xuyên và cẩn trọng khi nhấp vào liên kết.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống và ứng dụng của mình trước những mối đe dọa mới nổi từ AI, ransomware và các tấn công phức tạp, từ đó xây dựng các giải pháp bảo mật hiệu quả và phòng ngừa trước các cuộc tấn công trong tương lai.
Google, FBI và IRS đã triệt phá botnet NetNut, một mạng proxy dân cư chiếm dụng hơn 2 triệu thiết bị thông minh (smart TV, hộp streaming, Android). NetNut được Alarum Technologies (công ty Israel niêm yết Nasdaq) bán dưới dạng dịch vụ thương mại, bị 316 nhóm tội phạm lợi dụng để tấn công password spraying, gian lận quảng cáo, thu thập dữ liệu và chiếm tài khoản. Google vô hiệu hóa hạ tầng tài khoản Google của NetNut, FBI tịch thu hàng trăm tên miền liên quan, trong khi phát hiện 20% ứng dụng Samsung Tizen và 42% ứng dụng LG webOS chứa SDK proxy trái phép. Các thiết bị nhiễm còn mang biến thể DDoS Mirai và liên quan đến botnet Android Badbox 2.0. Google cho biết đây là "sự suy giảm đáng kể" chứ không phải xóa sổ hoàn toàn do các nhà cung cấp proxy chia sẻ tài nguyên.
Lập trình viên nên đọc bài này để hiểu cách các botnet như NetNut lây lan qua các ứng dụng không rõ nguồn gốc trên thiết bị IoT và Android, và cách các công ty như Google và FBI đối phó, giúp cảnh báo về nguy cơ bảo mật trong ứng dụng và hệ thống của riêng bạn.
OpenAI's tính năng nén ngữ cảnh native giảm tới ~86% lượng token đầu vào mà không ảnh hưởng đáng kể đến chất lượng tổng thể trong phân tích malware tự động, dù mô hình hóa đối tượng miền có giảm nhẹ. Bài viết phân biệt rõ memory làm việc (xử lý bởi nén ngữ cảnh) và storage bền vững (lưu trữ artifacts chính xác), đồng thời hướng dẫn sử dụng hai kiểu API nén (server-side và standalone) kèm ví dụ code, nhấn mạnh tầm quan trọng của "context engineering" trong workflow bảo mật agentic lâu dài.
Những lập trình viên phát triển hệ thống an ninh tự động cần đọc để tối ưu hóa hiệu suất và độ chính xác của các agent AI trong phân tích malware bằng cách hiểu cách điều khiển bộ nhớ và ngữ cảnh hiệu quả, từ đó giảm chi phí tính toán và bảo đảm chất lượng kết quả.
Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.
Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.
Gen Threat Labs has identified an active SilverFox campaign deploying ValleyRAT through an eight-stage infection chain targeting Windows systems. The attack begins with DLL side-loading via trojanized installers, uses steganography to hide payloads in PNG images, and employs the Donut loader for in-memory shellcode execution. A Go-based RAT communicates over WebSocket and QUIC, injects an AV-killer into svchost, and ultimately installs a kernel-level rootkit supporting over 65 command codes. The malware also steals cryptocurrency wallet addresses via clipboard hijacking, targets Telegram data, and uses polymorphic recompilation with daily file path rotation to evade static detection. CISOs are advised to monitor for DLL side-loading, hunt post-exploitation patterns like unusual named pipes and QUIC traffic, and treat confirmed rootkit infections as high-severity events requiring full reimaging.
A new ransomware strain called 'The Gentlemen' has been identified, written in Go and obfuscated with Garble. It employs up to 21 remote execution techniques — including PsExec, scheduled tasks, Windows services, and PowerShell — to self-propagate across networks after compromising a single host. The malware disables Microsoft Defender, wipes forensic logs, deletes Volume Shadow Copies, and removes backup tools before encrypting files using a Curve25519/XChaCha20 hybrid scheme. It has evolved into a ransomware-as-a-service operation with affiliates including penetration testers and initial access brokers. Sectors affected include education, healthcare, transportation, and financial services across multiple continents. Recommended defenses include restricting lateral movement, maintaining offline/immutable backups, and monitoring for propagation indicators like anonymous shares and unexpected PsExec usage.