Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.

Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.

Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).

Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.

Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.

RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).

Theo báo cáo của Công ty an ninh mạng Lumen (Mỹ), một chiến dịch tấn công trinh sát sử dụng mã độc HiatusRAT gần đây đã được các tin tặc thực hiện nhắm mục tiêu vào một hệ thống mua bán quân sự của quân đội Mỹ.

Một trojan truy cập từ xa (RAT) mới có tên là “QwixxRAT” đang được các tin tặc rao bán thông qua các nền tảng Telegram và Discord. Các doanh nghiệp và người dùng cá nhân đều có thể gặp rủi ro bởi vì trojan này âm thầm xâm nhập vào các thiết bị mục tiêu, tạo ra một mạng lưới khai thác dữ liệu rộng lớn.

Một tính năng tìm kiếm hợp pháp của Windows đang bị khai thác bởi các tác nhân độc hại không xác định để tải xuống các payload tùy ý từ các máy chủ từ xa và xâm phạm các hệ thống được nhắm mục tiêu bằng các trojan truy cập từ xa (RAT) như AsyncRAT và Remcos RAT.

Vừa qua, công ty an ninh mạng ESET đã phát hiện ứng dụng ghi màn hình phổ biến trên Android “iRecorder - Screen Recorder" bị nhiễm mã độc trên cửa hàng ứng dụng Google Play và đặt tên gọi là “AhRat”, một phiên bản tùy chỉnh của trojan truy cập từ xa (RAT) “AhMyth”.