Một số tác nhân tống tiền đang sử dụng phần mềm độc hại có tên Skitnet như một phần trong nỗ lực khai thác sau đó để đánh cắp dữ liệu nhạy cảm và thiết lập quyền kiểm soát từ xa đối với các máy chủ bị xâm phạm.
“Skitnet đã được bán trên các diễn đàn ngầm như RAMP kể từ tháng 4 năm 2024″, công ty an ninh mạng PRODAFT của Thụy Sĩ nói với The Hacker News. “Tuy nhiên, kể từ đầu năm 2025, chúng tôi đã quan sát thấy nhiều nhà điều hành ransomware sử dụng nó trong các cuộc tấn công trong thế giới thực”.
“Ví dụ, vào tháng 4 năm 2025, Black Basta đã tận dụng Skitnet trong các chiến dịch lừa đảo theo chủ đề Teams nhắm vào môi trường doanh nghiệp. Với các tính năng ẩn và kiến trúc linh hoạt, Skitnet dường như đang nhanh chóng thu hút sự chú ý trong hệ sinh thái ransomware.”
Skitnet, còn được gọi là Bossnet, là phần mềm độc hại nhiều giai đoạn do một tác nhân đe dọa được công ty theo dõi dưới tên LARVA-306 phát triển. Một khía cạnh đáng chú ý của công cụ độc hại này là nó sử dụng các ngôn ngữ lập trình như Rust và Nim để khởi chạy một shell ngược qua DNS và trốn tránh bị phát hiện.
Nó cũng kết hợp các cơ chế duy trì, công cụ truy cập từ xa, lệnh để đánh cắp dữ liệu và thậm chí tải xuống tệp nhị phân trình tải .NET có thể được sử dụng để phục vụ các tải trọng bổ sung, khiến nó trở thành mối đe dọa đa năng.
Được quảng cáo lần đầu vào ngày 19 tháng 4 năm 2024, Skitnet được cung cấp cho khách hàng tiềm năng dưới dạng “gói nhỏ gọn” bao gồm thành phần máy chủ và phần mềm độc hại. Tệp thực thi ban đầu là tệp nhị phân Rust giải mã và chạy một tải trọng nhúng được biên dịch trong Nim.
“Chức năng chính của tệp nhị phân Nim này là thiết lập kết nối shell ngược với máy chủ C2 [command-and-control] thông qua giải quyết DNS”, PRODAFT cho biết. “Để tránh bị phát hiện, nó sử dụng hàm GetProcAddress để giải quyết động các địa chỉ hàm API thay vì sử dụng các bảng nhập truyền thống”.
Mã nhị phân dựa trên Nim tiếp tục khởi động nhiều luồng để gửi yêu cầu DNS cứ sau 10 giây, đọc phản hồi DNS và trích xuất lệnh để thực thi trên máy chủ và truyền kết quả thực thi lệnh trở lại máy chủ. Các lệnh được phát hành thông qua bảng điều khiển C2 được sử dụng để quản lý các máy chủ bị nhiễm.
Một số lệnh PowerShell được hỗ trợ được liệt kê dưới đây –
- Khởi động, đảm bảo tính bền bỉ bằng cách tạo các phím tắt trong thư mục Khởi động của thiết bị nạn nhân
- Màn hình, chụp ảnh màn hình máy tính của nạn nhân
- Anydesk/Rutserv, triển khai phần mềm máy tính từ xa hợp pháp như AnyDesk hoặc Remote Utilities (“rutserv.exe”)
- Shell, để chạy các tập lệnh PowerShell được lưu trữ trên máy chủ từ xa và gửi kết quả trở lại máy chủ C2
- AV, nơi tập hợp danh sách các sản phẩm bảo mật đã cài đặt
“Skitnet là phần mềm độc hại nhiều giai đoạn tận dụng nhiều ngôn ngữ lập trình và kỹ thuật mã hóa”, PRODAFT cho biết. “Bằng cách sử dụng Rust để giải mã tải trọng và lập bản đồ thủ công, sau đó là lớp vỏ ngược dựa trên Nim giao tiếp qua DNS, phần mềm độc hại cố gắng trốn tránh các biện pháp bảo mật truyền thống”.
Tiết lộ này được đưa ra khi Zscaler ThreatLabz nêu chi tiết một trình tải phần mềm độc hại khác có tên TransferLoader đang được sử dụng để phát tán một loại ransomware có tên Morpheus nhắm vào một công ty luật của Mỹ.
Hoạt động ít nhất từ tháng 2 năm 2025, TransferLoader kết hợp ba thành phần, một trình tải xuống, một cửa hậu và một trình tải chuyên dụng cho cửa hậu, cho phép kẻ tấn công thực hiện các lệnh tùy ý trên hệ thống bị xâm phạm.
Trong khi trình tải xuống được thiết kế để lấy và thực thi một tải trọng từ máy chủ C2 và đồng thời chạy một tệp PDF giả mạo, thì cửa hậu chịu trách nhiệm chạy các lệnh do máy chủ đưa ra cũng như cập nhật cấu hình của chính nó.
