Tưởng tượng bạn là một quản trị viên IT với 10 năm kinh nghiệm, đang tìm kiếm công cụ quản lý hệ thống trên GitHub như mọi ngày. Bạn tải về một ứng dụng có giao diện chuyên nghiệp, mã nguồn rõ ràng và cả hàng trăm lượt tải. Thế nhưng thứ bạn vừa cài đặt lại chính là malware nguy hiểm nhất từng nhắm vào giới chuyên gia IT. Đó chính xác là cách hoạt động của chiến dịch EtherRAT - một cuộc tấn công có độ tinh vi chưa từng thấy được Trung tâm Nghiên cứu Mối đe dọa Atos (TRC) phát hiện vào tháng 3/2026.

Chiến thuật ngụy trang hoàn hảo trên GitHub

EtherRAT không phải malware thông thường mà bạn có thể nhận ra bằng các dấu hiệu đáng ngờ. Thay vào đó, nhóm tin tặc đã đầu tư rất công phu để tạo ra những repository GitHub trông y hệt các công cụ quản trị chính thống. Chúng tôi phân tích mã nguồn và thấy rằng kẻ tấn công đã sử dụng kỹ thuật SEO (Search Engine Optimization) để đẩy các công cụ giả mạo lên top kết quả tìm kiếm. Điều đáng lo ngại nhất là họ nhắm thẳng vào ba nhóm đối tượng có quyền truy cập cao nhất trong doanh nghiệp: quản trị viên hệ thống, kỹ sư DevOps và chuyên gia phân tích bảo mật.

Theo đánh giá của chúng tôi, đây là bước tiến vượt bậc trong chiến thuật tấn công social engineering (kỹ thuật lừa đảo tâm lý). Thay vì gửi email lừa đảo hoặc tạo website giả mạo, tin tặc đã lợi dụng chính niềm tin của cộng đồng IT vào GitHub - nền tảng được coi là đáng tin cậy nhất để chia sẻ mã nguồn. Khi một công cụ xuất hiện trên GitHub với giao diện chuyên nghiệp và mô tả chi tiết, rất ít người nghi ngờ tính chính thống của nó.

Kỹ thuật tấn công đa tầng của EtherRAT

EtherRAT hoạt động theo mô hình tấn công nhiều giai đoạn (multi-stage attack) cực kỳ tinh vi. Giai đoạn đầu, malware sẽ ngụy trang thành những công cụ quản trị phổ biến như network scanner, system monitor hay security analyzer. Khi người dùng tải về và chạy, EtherRAT sẽ thực hiện các chức năng được mô tả một cách bình thường để tránh nghi ngờ. Tuy nhiên, ngầm bên dưới, nó đã bắt đầu thu thập thông tin hệ thống, kiểm tra quyền truy cập và chuẩn bị cho giai đoạn tiếp theo.

Điểm đặc biệt nguy hiểm của EtherRAT là khả năng persistence (duy trì tồn tại) cực cao. Malware này có thể tự động cập nhật từ các repository GitHub khác, thay đổi thuật toán mã hóa và điều chỉnh hành vi để tránh bị phát hiện bởi các giải pháp antivirus truyền thống. Chúng tôi cho rằng đây là một trong những malware có khả năng thích ứng tốt nhất từng được ghi nhận, khiến việc phát hiện và loại bỏ trở nên cực kỳ khó khăn ngay cả với các chuyên gia bảo mật giàu kinh nghiệm.

Quy mô tác động và mối đe dọa thực tế

Báo cáo từ Atos TRC cho thấy EtherRAT đã lây nhiễm hàng nghìn máy tính thuộc các tổ chức lớn trên toàn cầu, với tỷ lệ phát hiện chỉ đạt 15% so với tổng số máy bị nhiễm thực tế. Con số này đặc biệt đáng lo ngại khi xét đến việc những nạn nhân chính là các chuyên gia IT có quyền truy cập cao nhất trong hệ thống doanh nghiệp. Một khi EtherRAT xâm nhập thành công vào máy tính của quản trị viên, toàn bộ hạ tầng IT của tổ chức đó sẽ rơi vào tầm kiểm soát của kẻ tấn công.

Tại Việt Nam, mặc dù chưa có thống kê chính thức về số lượng máy tính bị nhiễm EtherRAT, các chuyên gia an ninh mạng trong nước đánh giá rằng nguy cơ lây lan là rất cao. Theo khảo sát của Hiệp hội An ninh mạng Việt Nam, hơn 70% doanh nghiệp Việt Nam sử dụng các công cụ mã nguồn mở từ GitHub trong hoạt động vận hành hệ thống. Điều này khiến doanh nghiệp Việt trở thành mục tiêu tiềm năng của chiến dịch EtherRAT.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp

Chúng tôi khuyến cáo các tổ chức cần thực hiện ngay các biện pháp bảo vệ sau đây. Thứ nhất, rà soát toàn bộ các công cụ quản trị đã tải từ GitHub trong 6 tháng gần đây, đặc biệt chú ý những repository có ít star, ít contributor hoặc được tạo quá gần với thời điểm tải xuống. Thứ hai, triển khai chính sách kiểm duyệt mã nguồn (code review) bắt buộc trước khi cài đặt bất kỳ công cụ nào từ nguồn bên ngoài, kể cả GitHub.

Ngoài ra, các doanh nghiệp cần kích hoạt tính năng Application Whitelisting chỉ cho phép chạy các ứng dụng được phê duyệt trước, đồng thời tăng cường giám sát network traffic để phát hiện các kết nối bất thường. Quan trọng nhất là xây dựng quy trình ứng phó sự cố an ninh mạng, bao gồm cách ly ngay lập tức các máy tính có dấu hiệu nhiễm malware và thông báo cho đội ngũ bảo mật. Với sự tinh vi của EtherRAT, chỉ có sự chuẩn bị kỹ lưỡng mới có thể bảo vệ tổ chức khỏi loại tấn công nguy hiểm này.