Nhiều nhóm tấn công ransomware hiện nay đang sử dụng phần mềm độc hại có tên Skitnet (còn gọi là Bossnet) như một phần trong chiến lược khai thác sau xâm nhập để đánh cắp dữ liệu nhạy cảm và thiết lập quyền kiểm soát từ xa đối với các máy chủ bị xâm nhập.
Theo công ty an ninh mạng PRODAFT của Thụy Sĩ, Skitnet đã được rao bán trên các diễn đàn ngầm như RAMP từ tháng 4 năm 2024. Tuy nhiên, từ đầu năm 2025, nhiều nhóm tấn công ransomware đã bắt đầu sử dụng phần mềm này trong các cuộc tấn công thực tế.
Ví dụ, vào tháng 4 năm 2025, nhóm Black Basta đã sử dụng Skitnet trong các chiến dịch lừa đảo giả mạo Microsoft Teams nhắm vào các môi trường doanh nghiệp. Với các tính năng ẩn mình và kiến trúc linh hoạt, Skitnet dường như đang ngày càng được ưa chuộng trong hệ sinh thái ransomware.
Đặc điểm kỹ thuật của Skitnet
Skitnet là một phần mềm độc hại đa giai đoạn được phát triển bởi một tác nhân đe dọa được PRODAFT theo dõi với tên gọi LARVA-306. Một điểm đáng chú ý của công cụ độc hại này là nó sử dụng các ngôn ngữ lập trình như Rust và Nim để khởi tạo một shell ngược qua DNS, nhằm tránh bị phát hiện.
Nó cũng tích hợp các cơ chế duy trì quyền truy cập, công cụ truy cập từ xa, lệnh để trích xuất dữ liệu và thậm chí tải xuống một tệp tải về .NET có thể được sử dụng để phục vụ các payload bổ sung, khiến nó trở thành một mối đe dọa đa năng.
Được quảng cáo lần đầu tiên vào ngày 19 tháng 4 năm 2024, Skitnet được cung cấp cho khách hàng tiềm năng như một “gói gọn nhẹ” bao gồm một thành phần máy chủ và phần mềm độc hại. Tệp thực thi ban đầu là một tệp nhị phân Rust giải mã và chạy một payload nhúng được biên dịch bằng Nim.
“Chức năng chính của nhị phân Nim này là thiết lập một kết nối shell ngược với máy chủ C2 (command-and-control) thông qua phân giải DNS”, PRODAFT cho biết. “Để tránh bị phát hiện, nó sử dụng hàm GetProcAddress để giải quyết động các địa chỉ hàm API thay vì sử dụng các bảng nhập khẩu truyền thống.”
Nhị phân Nim tiếp tục khởi chạy nhiều luồng để gửi các yêu cầu DNS mỗi 10 giây, đọc các phản hồi DNS và trích xuất các lệnh để thực thi trên máy chủ, đồng thời truyền kết quả thực thi lệnh trở lại máy chủ. Các lệnh được phát hành thông qua một bảng điều khiển C2 được sử dụng để quản lý các máy chủ bị xâm nhập.
Các lệnh PowerShell hỗ trợ bao gồm:
- Startup: Đảm bảo quyền truy cập liên tục bằng cách tạo các lối tắt trong thư mục Startup của thiết bị bị nạn.
- Screen: Chụp ảnh màn hình của desktop của nạn nhân.
- Anydesk/Rutserv: Triển khai phần mềm điều khiển từ xa hợp pháp như AnyDesk hoặc Remote Utilities (“rutserv.exe”).
- Shell: Chạy các script PowerShell được lưu trữ trên một máy chủ từ xa và gửi kết quả trở lại máy chủ C2.
- AV: Thu thập danh sách các sản phẩm bảo mật đã cài đặt.
Skitnet là một phần mềm độc hại đa giai đoạn sử dụng nhiều ngôn ngữ lập trình và kỹ thuật mã hóa. Bằng cách sử dụng Rust để giải mã payload và ánh xạ thủ công, tiếp theo là một shell ngược dựa trên Nim giao tiếp qua DNS, phần mềm độc hại này cố gắng tránh các biện pháp bảo mật truyền thống.
Thông tin tiết lộ này được công bố khi Zscaler ThreatLabz chi tiết hóa một loader phần mềm độc hại khác có tên TransferLoader, được sử dụng để cung cấp một biến thể ransomware có tên Morpheus nhắm vào một công ty luật của Mỹ.