CyberThao
Writer
Các chuyên gia an ninh mạng vừa cảnh báo về một backdoor mới mang tên MystRodX, được thiết kế để đánh cắp dữ liệu nhạy cảm và kiểm soát âm thầm các hệ thống bị xâm nhập.
"MystRodX là một backdoor điển hình viết bằng C++, hỗ trợ nhiều chức năng như quản lý tệp, chuyển tiếp cổng, reverse shell và quản lý socket. Điểm khác biệt của nó là khả năng ẩn mình và linh hoạt vượt trội so với các backdoor thông thường," theo báo cáo từ QiAnXin XLab.
Phần mềm độc hại này, còn được biết đến với tên ChronosRAT, lần đầu được nhóm Đơn vị 42 của Palo Alto Networks phát hiện vào tháng trước, gắn liền với cụm hoạt động đe dọa CL-STA-0969. Nhóm này được cho là có mối liên hệ với tổ chức gián điệp mạng Liminal Panda có nguồn gốc Trung Quốc.
Điểm đáng chú ý là chế độ "đánh thức", cho phép MystRodX hoạt động như một backdoor thụ động, chỉ được kích hoạt khi nhận các gói tin DNS hoặc ICMP được thiết kế đặc biệt. Dấu vết cho thấy phần mềm này đã xuất hiện từ ít nhất tháng 1/2024, dựa trên thời gian được cấu hình sẵn.
Không giống các backdoor ẩn giấu nổi tiếng như SYNful Knock (thao túng trường tiêu đề TCP để che lệnh), MystRodX chọn cách đơn giản nhưng hiệu quả: giấu lệnh kích hoạt trực tiếp trong payload của gói ICMP hoặc trong tên miền DNS.
Phần mềm độc hại được phát tán thông qua dropper với nhiều kiểm tra chống phân tích, nhằm phát hiện môi trường máy ảo hoặc debugger trước khi giải mã tải trọng. Sau đó, nó triển khai ba thành phần:
Khi Backdoor Type = 1, MystRodX hoạt động ở chế độ thụ động và chờ tín hiệu đánh thức. Ngược lại, khi Backdoor Type ≠ 1, nó chuyển sang chế độ chủ động, thiết lập kết nối trực tiếp với C2 để nhận và thực thi lệnh.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/researchers-warn-of-mystrodx-backdoor.html
"MystRodX là một backdoor điển hình viết bằng C++, hỗ trợ nhiều chức năng như quản lý tệp, chuyển tiếp cổng, reverse shell và quản lý socket. Điểm khác biệt của nó là khả năng ẩn mình và linh hoạt vượt trội so với các backdoor thông thường," theo báo cáo từ QiAnXin XLab.
Phần mềm độc hại này, còn được biết đến với tên ChronosRAT, lần đầu được nhóm Đơn vị 42 của Palo Alto Networks phát hiện vào tháng trước, gắn liền với cụm hoạt động đe dọa CL-STA-0969. Nhóm này được cho là có mối liên hệ với tổ chức gián điệp mạng Liminal Panda có nguồn gốc Trung Quốc.
Cơ chế hoạt động và khả năng tàng hình
MystRodX được xây dựng với nhiều lớp mã hóa để che giấu mã nguồn và dữ liệu. Nó có thể điều chỉnh phương thức liên lạc qua TCP hoặc HTTP, đồng thời lựa chọn mã hóa văn bản thuần túy hoặc AES để bảo vệ lưu lượng.Điểm đáng chú ý là chế độ "đánh thức", cho phép MystRodX hoạt động như một backdoor thụ động, chỉ được kích hoạt khi nhận các gói tin DNS hoặc ICMP được thiết kế đặc biệt. Dấu vết cho thấy phần mềm này đã xuất hiện từ ít nhất tháng 1/2024, dựa trên thời gian được cấu hình sẵn.
Không giống các backdoor ẩn giấu nổi tiếng như SYNful Knock (thao túng trường tiêu đề TCP để che lệnh), MystRodX chọn cách đơn giản nhưng hiệu quả: giấu lệnh kích hoạt trực tiếp trong payload của gói ICMP hoặc trong tên miền DNS.
Phần mềm độc hại được phát tán thông qua dropper với nhiều kiểm tra chống phân tích, nhằm phát hiện môi trường máy ảo hoặc debugger trước khi giải mã tải trọng. Sau đó, nó triển khai ba thành phần:
- ban ngày: bộ khởi chạy
- chargen: thành phần chính của backdoor MystRodX
- hộp bận rộn
Khi Backdoor Type = 1, MystRodX hoạt động ở chế độ thụ động và chờ tín hiệu đánh thức. Ngược lại, khi Backdoor Type ≠ 1, nó chuyển sang chế độ chủ động, thiết lập kết nối trực tiếp với C2 để nhận và thực thi lệnh.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/researchers-warn-of-mystrodx-backdoor.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
