Trong quý 4 năm 2025, một làn sóng mã độc worm lây lan qua email đã tấn công các hệ thống điều khiển công nghiệp (ICS) trên toàn cầu. Đây là một trong những chuyển biến đáng lo ngại nhất về mối đe dọa mạng trong môi trường công nghệ vận hành (OT) trong những năm gần đây.
Sự gia tăng này chủ yếu liên quan đến một loại mã độc duy nhất. Nó đã lặng lẽ lây lan qua các email tấn công phishing, tiếp cận mạng lưới ICS ở mọi khu vực trên thế giới chỉ trong vòng hai tháng.
Đặc điểm của Mã độc Backdoor.MSIL.XWorm
Tâm điểm của làn sóng mối đe dọa mạng này là một loại worm backdoor có tên Backdoor.MSIL.XWorm. Loại mã độc này được thiết kế để ẩn mình trong các hệ thống bị nhiễm và cung cấp cho kẻ tấn công toàn quyền kiểm soát từ xa các máy tính bị xâm nhập.
Điều đáng báo động đặc biệt là trước đó, loại mã độc này không hề xuất hiện trên các máy tính ICS. Tuy nhiên, nó đã bùng phát trên tất cả các khu vực toàn cầu vào quý 4 năm 2025, cho thấy một sự gia tăng đột ngột và lan rộng.
Tỷ lệ tổng thể các máy tính ICS bị chặn worm tăng 1,6 lần, đạt 1,60% trong giai đoạn này. Mức tăng đột biến này gần như hoàn toàn do một chiến dịch duy nhất gây ra.
Chiến dịch Phát tán và Kỹ thuật Che giấu
Kỹ thuật tấn công Phishing “Curriculum-vitae-catalina”
Các nhà phân tích từ Securelist đã xác định rằng sự lây lan tích cực của mã độc Backdoor.MSIL.XWorm qua các email tấn công phishing có liên quan chặt chẽ đến một kỹ thuật che giấu mã độc cụ thể. Kỹ thuật này đã được các tác nhân đe dọa sử dụng rộng rãi trong các chiến dịch tấn công phishing hàng loạt trong suốt quý 4 năm 2025. Tìm hiểu thêm tại Industrial Threat Report Q4 2025.
Những chiến dịch này, được biết đến từ năm 2024 dưới tên “Curriculum-vitae-catalina”, dựa vào một thủ thuật đơn giản nhưng hiệu quả một cách đáng ngờ.
Kẻ tấn công gửi email đến các nhà quản lý nhân sự, nhà tuyển dụng và nhân viên liên quan đến quyết định tuyển dụng. Những tin nhắn độc hại này được ngụy trang thành hồ sơ xin việc với các tiêu đề như “Resume” hoặc “Attached Resume”.
Email chứa một tệp thực thi độc hại được trình bày dưới dạng sơ yếu lý lịch, thường có tên Curriculum Vitae-Catalina.exe. Tệp này sẽ lây nhiễm vào hệ thống ngay khi được mở.
Cơ chế Che giấu Mã độc
Các kỹ thuật che giấu mã độc được sử dụng trong chiến dịch “Curriculum-vitae-catalina” đã giúp worm vượt qua các công cụ phát hiện tiêu chuẩn. Chúng ngụy trang hành vi thực sự của mã độc bên trong các tập lệnh và payload được mã hóa.
Đây là lý do tại sao loại mã độc này không bị phát hiện trên các máy tính ICS vào quý 3 năm 2025, nhưng lại tăng đột biến đáng kể ngay trong quý tiếp theo.
Diễn biến và Phạm vi Tác động Toàn cầu
Sự lây nhiễm không diễn ra cùng một lúc. Trong quý 4 năm 2025, mối đe dọa mạng này đã bùng phát thành hai đợt riêng biệt.
Đợt đầu tiên xảy ra vào tháng 10, nhắm mục tiêu vào Tây Âu, Nam Mỹ và Bắc Mỹ (đặc biệt là Canada).
Một đợt tấn công thứ hai diễn ra vào tháng 11, lây lan sang các khu vực bổ sung trước khi chiến dịch cuối cùng chậm lại vào tháng 12.
Tỷ lệ lây nhiễm cao nhất được ghi nhận ở Nam Âu, Nam Mỹ và Trung Đông. Đây là những khu vực mà các máy tính ICS theo lịch sử đã phải đối mặt với rủi ro cao từ các mối đe dọa mạng dựa trên email.
Tại châu Phi, worm cũng tìm thấy một con đường lây nhiễm khác thông qua các thiết bị lưu trữ di động. Điều này phản ánh sự đa dạng của các vector lây lan đã trở nên như thế nào.
Theo khu vực, tỷ lệ máy tính ICS bị chặn các đối tượng độc hại dao động từ 8,5% ở Bắc Âu đến 27,3% ở châu Phi trong quý 4 năm 2025. Điều này cho thấy khoảng cách lớn về mức độ phơi nhiễm vẫn tồn tại trên toàn cầu.
Lĩnh vực dầu khí nổi bật là ngành duy nhất chứng kiến sự gia tăng các mối đe dọa mạng bị chặn trong giai đoạn này.
Mặc dù xu hướng chung trên tất cả các ngành công nghiệp được khảo sát là giảm dần trong nhiều năm, sự gia tăng đột biến do worm gây ra vào quý 4 năm 2025 là một lời nhắc nhở rõ ràng rằng email vẫn là một điểm vào mạnh mẽ, ngay cả trong các môi trường công nghiệp nhạy cảm nhất.
Cơ chế Hoạt động của Mã độc Backdoor.MSIL.XWorm
Cách mã độc Backdoor.MSIL.XWorm hoạt động cho thấy một cách tiếp cận có tính toán để giành quyền và duy trì quyền truy cập vào các mạng công nghiệp.
Khi mục tiêu mở tệp sơ yếu lý lịch giả mạo, mã độc sẽ lặng lẽ thực thi ngầm, thiết lập tính bền bỉ trên hệ thống để tồn tại qua các lần khởi động lại và bảo trì định kỳ.
Từ thời điểm đó, nó mở một kênh để điều khiển từ xa, cho phép kẻ tấn công giám sát hoạt động, di chuyển trong mạng và có khả năng can thiệp vào các quy trình công nghệ vận hành.
Kỹ thuật che giấu mã độc giúp worm vượt qua các công cụ phát hiện dựa trên chữ ký, khiến việc phát hiện trở nên khó khăn hơn. Tìm hiểu thêm về kỹ thuật che giấu tại Obfuscation Techniques to Evade Anti-Virus Detection.
Biện pháp Phòng ngừa và Giảm thiểu Rủi ro
Các nhóm an ninh mạng quản lý môi trường ICS hoặc OT cần coi bất kỳ email không mong muốn nào có tệp đính kèm thực thi là một rủi ro nghiêm trọng. Điều này đúng ngay cả khi những email đó có vẻ đến từ những người tìm việc thực sự.
Các tổ chức được khuyến nghị thực thi các chính sách lọc email nghiêm ngặt. Những chính sách này sẽ chặn các tệp đính kèm thực thi trước khi chúng đến tay người dùng cuối.
Nhân viên trong các vai trò nhân sự và bất kỳ ai có quyền truy cập vào các hệ thống liền kề OT nên được đào tạo chuyên sâu. Việc đào tạo này tập trung vào việc xác định các nỗ lực tấn công phishing giả mạo các thông tin liên lạc tuyển dụng.
Các chính sách về phương tiện lưu trữ di động cũng cần được thắt chặt. Đặc biệt ở các khu vực như châu Phi, nơi lây nhiễm qua USB đã chứng tỏ là một vector hoạt động trong chiến dịch này.
Giữ các điểm cuối ICS được cập nhật và chạy các công cụ phát hiện dựa trên hành vi là điều cần thiết. Điều này giúp bắt kịp các mã độc như XWorm, được thiết kế đặc biệt để né tránh các biện pháp phòng thủ dựa trên chữ ký.
