Duy Linh
Writer
Hệ sinh thái “kỹ năng” của tác nhân OpenClaw đang bị lợi dụng để phát tán cả Remcos RAT và phần mềm đánh cắp dữ liệu đa nền tảng GhostLoader thông qua một tích hợp DeepSeek giả mạo có tên “DeepSeek-Claw”.
Chiến dịch này cho thấy các quy trình AI có quyền truy cập cục bộ cao có thể bị chiếm quyền điều khiển âm thầm thông qua việc thao túng hướng dẫn cài đặt thay vì khai thác lỗ hổng truyền thống.
OpenClaw, trước đây được biết đến với tên Clawdbot và Moltbot, là một khung mã nguồn mở dành cho các tác nhân AI tự động. Nền tảng này có thể chạy lệnh shell, đọc và ghi tệp cục bộ, đồng thời tự động hóa nhiều tác vụ với quyền truy cập cao.
Kiến trúc kỹ năng dạng mô-đun của OpenClaw cho phép các tiện ích bên thứ ba hoạt động với đầy đủ quyền của tác nhân AI, biến hệ sinh thái này thành một chuỗi cung ứng phần mềm gần như không được kiểm soát trên máy chủ.
Đầu năm 2026, nhiều nhà cung cấp bảo mật đã cảnh báo rằng các kỹ năng độc hại đang biến OpenClaw từ công cụ tự động hóa thành kênh phân phối phần mềm đánh cắp thông tin và RAT đội lốt tiện ích tăng năng suất.
“DeepSeek-Claw” là ví dụ mới nhất của xu hướng này, nhắm trực tiếp vào sự phụ thuộc ngày càng lớn vào các tác nhân AI tự động trong quy trình làm việc của nhà phát triển.
Chuỗi tấn công cho thấy kỹ năng OpenClaw độc hại dẫn đến các đường dẫn thực thi phần mềm độc hại khác nhau như thế nào (Nguồn: Zscaler).
Do các tác nhân OpenClaw thường tự động phân tích tài liệu kỹ năng và thực thi các lệnh được đề xuất, những hướng dẫn này có thể bị AI tự động làm theo hoặc được nhà phát triển thực hiện thủ công mà không phát hiện nguy cơ.
Chuỗi tấn công được phân nhánh theo nền tảng và phương thức cài đặt. Trên Windows, quy trình tự động bằng PowerShell sẽ tải xuống tệp MSI từ xa để cài Remcos RAT. Trong khi đó, các bước cài đặt “thủ công” đa nền tảng sẽ triển khai GhostLoader dựa trên Node.js.
Thiết kế này cho phép cùng một kỹ năng độc hại có thể vũ khí hóa cả quy trình do AI điều khiển lẫn thao tác thủ công của con người mà không cần khai thác lỗ hổng trong mã nguồn OpenClaw.
Trên Windows, tệp SKILL.md chứa lệnh PowerShell gọi msiexec để tải và cài gói MSI từ xa.
Nội dung tệp đánh dấu kỹ năng OpenClaw hiển thị các lệnh cài đặt GhostLoader (Nguồn: Zscaler).
Tệp MSI này chèn tệp GoToMeeting hợp pháp G2M.exe cùng một tệp g2m.dll độc hại nhằm lợi dụng kỹ thuật chiếm quyền thứ tự tìm kiếm DLL để tải mã của kẻ tấn công bên trong một tệp nhị phân đã được ký số.
DLL độc hại hoạt động như trình tải shellcode trong bộ nhớ, tự động giải quyết API, giải mã chuỗi bằng XOR và sử dụng Tiny Encryption Algorithm (TEA) ở chế độ CBC để giải nén payload Remcos RAT được nhúng bên trong.
Trước khi kích hoạt RAT, mã độc sẽ vá Event Tracing for Windows (ETW) và Antimalware Scan Interface (AMSI) nhằm né tránh giám sát và quét bộ nhớ. Nó cũng thực hiện nhiều bước chống gỡ lỗi, kiểm tra sandbox dựa trên thời gian và phát hiện môi trường ảo hóa thông qua tiến trình hoặc mutex.
Sau khi được kích hoạt, Remcos thiết lập kênh C2 TCP/TLS mã hóa, ghi lại thao tác bàn phím, đánh cắp cookie trình duyệt từ cơ sở dữ liệu SQLite cục bộ và cung cấp shell đảo ngược tương tác. Cấu hình được lưu trong tài nguyên mã hóa RC4 để xác định cơ chế duy trì hoạt động, chế độ ẩn danh và các máy chủ C2.
Trên Windows, GhostLoader được giấu trong các script vòng đời Node.js được mã hóa mạnh và được gọi bởi trình cài đặt Bash, che giấu setup.js độc hại dưới lớp vỏ của các công cụ phát triển tưởng như vô hại.
Trên macOS và Linux, GhostLoader sử dụng kỹ thuật phi kỹ thuật dựa trên giao diện dòng lệnh, bao gồm giả mạo lời nhắc nhập mật khẩu sudo để đánh cắp thông tin đăng nhập người dùng.
Sau đó, mã độc tiếp tục thu thập khóa SSH, dữ liệu chuỗi khóa macOS, ví tiền điện tử và token API đám mây để gửi về máy chủ của kẻ tấn công.
Các báo cáo công khai trước đây từng liên hệ GhostLoader với việc lạm dụng quy trình làm việc đáng tin cậy của nhà phát triển. Điều này cho thấy chiến dịch DeepSeek-Claw là sự phát triển tiếp theo của một dòng phần mềm đánh cắp đa nền tảng đã tồn tại trước đó, thay vì một họ mã độc hoàn toàn mới.
Chiến dịch này cho thấy các nền tảng Agentic AI đang biến tài liệu và siêu dữ liệu kỹ năng thành bề mặt thực thi chủ động, nơi “các bước cài đặt” có thể trở thành kịch bản phát tán mã độc.
Các nhóm bảo mật được khuyến nghị coi kỹ năng OpenClaw như các gói phần mềm không đáng tin cậy, áp dụng quy trình kiểm tra nghiêm ngặt với kỹ năng bên thứ ba và triển khai giám sát hành vi nhằm phát hiện tải DLL trái phép, vá ETW/AMSI hoặc các hoạt động bất thường trong vòng đời npm.
Các tổ chức triển khai tác nhân AI tự động cũng nên tách biệt máy chủ có đặc quyền cao, hạn chế truy cập hệ thống tệp và thông tin xác thực, đồng thời ngăn các quy trình dựa trên kỹ năng hoặc lời nhắc tự động gọi trình cài đặt hay lệnh shell nếu chưa có sự phê duyệt rõ ràng của con người.
Trường hợp DeepSeek-Claw cho thấy chính tác nhân AI có thể trở thành “người dùng” nhấn nút cài đặt, khiến các giải pháp bảo vệ điểm cuối truyền thống trở thành lớp phòng thủ cuối cùng, và đôi khi là duy nhất.
Tệp IOC của chiến dịch bao gồm nhiều chỉ dấu như kho GitHub DeepSeek-Claw, các máy chủ C2 của Remcos và GhostLoader, trình cài MSI độc hại cùng nhiều thành phần tải shellcode liên quan. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/openclaw-skill-targets-agentic-ai/
Chiến dịch này cho thấy các quy trình AI có quyền truy cập cục bộ cao có thể bị chiếm quyền điều khiển âm thầm thông qua việc thao túng hướng dẫn cài đặt thay vì khai thác lỗ hổng truyền thống.
OpenClaw, trước đây được biết đến với tên Clawdbot và Moltbot, là một khung mã nguồn mở dành cho các tác nhân AI tự động. Nền tảng này có thể chạy lệnh shell, đọc và ghi tệp cục bộ, đồng thời tự động hóa nhiều tác vụ với quyền truy cập cao.
Kiến trúc kỹ năng dạng mô-đun của OpenClaw cho phép các tiện ích bên thứ ba hoạt động với đầy đủ quyền của tác nhân AI, biến hệ sinh thái này thành một chuỗi cung ứng phần mềm gần như không được kiểm soát trên máy chủ.
Đầu năm 2026, nhiều nhà cung cấp bảo mật đã cảnh báo rằng các kỹ năng độc hại đang biến OpenClaw từ công cụ tự động hóa thành kênh phân phối phần mềm đánh cắp thông tin và RAT đội lốt tiện ích tăng năng suất.
“DeepSeek-Claw” là ví dụ mới nhất của xu hướng này, nhắm trực tiếp vào sự phụ thuộc ngày càng lớn vào các tác nhân AI tự động trong quy trình làm việc của nhà phát triển.
Chiến dịch DeepSeek-Claw hoạt động như thế nào
Tháng 3/2026, Zscaler ThreatLabz phát hiện một chiến dịch phát tán kỹ năng “DeepSeek-Claw” giả mạo. Kỹ năng này tuyên bố tích hợp OpenClaw với DeepSeek nhưng thực chất lại nhúng nhiều đường dẫn thực thi độc hại trong tệp cài đặt SKILL.md.
Chuỗi tấn công cho thấy kỹ năng OpenClaw độc hại dẫn đến các đường dẫn thực thi phần mềm độc hại khác nhau như thế nào (Nguồn: Zscaler).
Do các tác nhân OpenClaw thường tự động phân tích tài liệu kỹ năng và thực thi các lệnh được đề xuất, những hướng dẫn này có thể bị AI tự động làm theo hoặc được nhà phát triển thực hiện thủ công mà không phát hiện nguy cơ.
Chuỗi tấn công được phân nhánh theo nền tảng và phương thức cài đặt. Trên Windows, quy trình tự động bằng PowerShell sẽ tải xuống tệp MSI từ xa để cài Remcos RAT. Trong khi đó, các bước cài đặt “thủ công” đa nền tảng sẽ triển khai GhostLoader dựa trên Node.js.
Thiết kế này cho phép cùng một kỹ năng độc hại có thể vũ khí hóa cả quy trình do AI điều khiển lẫn thao tác thủ công của con người mà không cần khai thác lỗ hổng trong mã nguồn OpenClaw.
Trên Windows, tệp SKILL.md chứa lệnh PowerShell gọi msiexec để tải và cài gói MSI từ xa.
Nội dung tệp đánh dấu kỹ năng OpenClaw hiển thị các lệnh cài đặt GhostLoader (Nguồn: Zscaler).
Tệp MSI này chèn tệp GoToMeeting hợp pháp G2M.exe cùng một tệp g2m.dll độc hại nhằm lợi dụng kỹ thuật chiếm quyền thứ tự tìm kiếm DLL để tải mã của kẻ tấn công bên trong một tệp nhị phân đã được ký số.
DLL độc hại hoạt động như trình tải shellcode trong bộ nhớ, tự động giải quyết API, giải mã chuỗi bằng XOR và sử dụng Tiny Encryption Algorithm (TEA) ở chế độ CBC để giải nén payload Remcos RAT được nhúng bên trong.
Trước khi kích hoạt RAT, mã độc sẽ vá Event Tracing for Windows (ETW) và Antimalware Scan Interface (AMSI) nhằm né tránh giám sát và quét bộ nhớ. Nó cũng thực hiện nhiều bước chống gỡ lỗi, kiểm tra sandbox dựa trên thời gian và phát hiện môi trường ảo hóa thông qua tiến trình hoặc mutex.
Sau khi được kích hoạt, Remcos thiết lập kênh C2 TCP/TLS mã hóa, ghi lại thao tác bàn phím, đánh cắp cookie trình duyệt từ cơ sở dữ liệu SQLite cục bộ và cung cấp shell đảo ngược tương tác. Cấu hình được lưu trong tài nguyên mã hóa RC4 để xác định cơ chế duy trì hoạt động, chế độ ẩn danh và các máy chủ C2.
GhostLoader mở rộng tấn công sang macOS và Linux
Nếu người dùng hoặc tác nhân AI thực hiện các bước cài đặt thủ công khác như chạy script hoặc thiết lập qua npm, kỹ năng này sẽ kích hoạt chuỗi tấn công GhostLoader, còn gọi là GhostClaw, thay vì Remcos.Trên Windows, GhostLoader được giấu trong các script vòng đời Node.js được mã hóa mạnh và được gọi bởi trình cài đặt Bash, che giấu setup.js độc hại dưới lớp vỏ của các công cụ phát triển tưởng như vô hại.
Trên macOS và Linux, GhostLoader sử dụng kỹ thuật phi kỹ thuật dựa trên giao diện dòng lệnh, bao gồm giả mạo lời nhắc nhập mật khẩu sudo để đánh cắp thông tin đăng nhập người dùng.
Sau đó, mã độc tiếp tục thu thập khóa SSH, dữ liệu chuỗi khóa macOS, ví tiền điện tử và token API đám mây để gửi về máy chủ của kẻ tấn công.
Các báo cáo công khai trước đây từng liên hệ GhostLoader với việc lạm dụng quy trình làm việc đáng tin cậy của nhà phát triển. Điều này cho thấy chiến dịch DeepSeek-Claw là sự phát triển tiếp theo của một dòng phần mềm đánh cắp đa nền tảng đã tồn tại trước đó, thay vì một họ mã độc hoàn toàn mới.
Chiến dịch này cho thấy các nền tảng Agentic AI đang biến tài liệu và siêu dữ liệu kỹ năng thành bề mặt thực thi chủ động, nơi “các bước cài đặt” có thể trở thành kịch bản phát tán mã độc.
Các nhóm bảo mật được khuyến nghị coi kỹ năng OpenClaw như các gói phần mềm không đáng tin cậy, áp dụng quy trình kiểm tra nghiêm ngặt với kỹ năng bên thứ ba và triển khai giám sát hành vi nhằm phát hiện tải DLL trái phép, vá ETW/AMSI hoặc các hoạt động bất thường trong vòng đời npm.
Các tổ chức triển khai tác nhân AI tự động cũng nên tách biệt máy chủ có đặc quyền cao, hạn chế truy cập hệ thống tệp và thông tin xác thực, đồng thời ngăn các quy trình dựa trên kỹ năng hoặc lời nhắc tự động gọi trình cài đặt hay lệnh shell nếu chưa có sự phê duyệt rõ ràng của con người.
Trường hợp DeepSeek-Claw cho thấy chính tác nhân AI có thể trở thành “người dùng” nhấn nút cài đặt, khiến các giải pháp bảo vệ điểm cuối truyền thống trở thành lớp phòng thủ cuối cùng, và đôi khi là duy nhất.
Tệp IOC của chiến dịch bao gồm nhiều chỉ dấu như kho GitHub DeepSeek-Claw, các máy chủ C2 của Remcos và GhostLoader, trình cài MSI độc hại cùng nhiều thành phần tải shellcode liên quan. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/openclaw-skill-targets-agentic-ai/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
