Void Botnet là một mối đe dọa mạng mới nổi trong hệ sinh thái tội phạm mạng, đáng chú ý ở cách nó điều phối lệnh điều khiển từ xa qua Ethereum smart contracts thay vì máy chủ truyền thống. Cách triển khai này làm giảm hiệu quả của biện pháp vô hiệu hóa hạ tầng C2 thông thường, vì các lệnh được lưu trên blockchain công khai thay vì trên một máy chủ có thể thu giữ hoặc gỡ bỏ.
Void Botnet được rao bán lần đầu vào tháng 3/2026 trên một diễn đàn tội phạm mạng, dưới dạng loader sẵn dùng với giá 600 USD và phí thêm 50 USD cho mỗi bản build. Nghiên cứu của Qrator Labs công bố ngày 18/05/2026 cho thấy mẫu này được viết bằng Rust, có kích thước chỉ khoảng 1,5 MB, chạy trên cả hệ điều hành Windows 32-bit và 64-bit.
Hạ tầng C2 của Void Botnet dựa trên Ethereum smart contracts
Điểm khác biệt cốt lõi của Void Botnet là mô hình điều khiển command-and-control theo hai chế độ. Ở chế độ phi tập trung, kẻ điều khiển ghi lệnh vào một smart contract trên Ethereum, còn máy bị nhiễm sẽ định kỳ truy vấn contract để lấy tác vụ mới. Chu kỳ kiểm tra được mô tả trong khoảng 3 đến 5 phút.
Vì lệnh nằm trên blockchain công khai, không tồn tại một domain hay máy chủ duy nhất để vô hiệu hóa. Điều này làm cho việc phát hiện tấn công và ngăn chặn C2 khó khăn hơn so với mô hình hạ tầng truyền thống. Tham khảo thêm về nền tảng blockchain Ethereum tại ethereum.org.
Chế độ web panel trực tiếp
Chế độ thứ hai kết nối trực tiếp tới web panel của người vận hành. Trong chế độ này, tác vụ có thể hoàn thành trong vòng dưới 30 giây. Người vận hành có thể chuyển đổi giữa hai chế độ bằng cách cập nhật contract, cho phép chọn giữa tốc độ xử lý và khả năng sống sót trước các nỗ lực gỡ bỏ hạ tầng.
Thiết kế này cho thấy rủi ro bảo mật tăng lên khi hạ tầng điều khiển được phân tán và khó triệt hạ. Nó cũng làm giảm hiệu quả của các biện pháp tấn công vào domain hoặc máy chủ, vì các lệnh có thể tiếp tục được phân phối qua blockchain.
Khả năng của loader và phạm vi tác động hệ thống
Void Botnet hỗ trợ nhiều tác vụ sau xâm nhập, cho phép kẻ điều khiển mở rộng mức độ kiểm soát trên máy nhiễm. Theo mô tả kỹ thuật, botnet này có thể được dùng cho DDoS, credential theft và proxy-as-a-service.
Web panel cung cấp góc nhìn chi tiết về từng máy bị nhiễm, bao gồm:
- Vị trí của máy.
- Hệ điều hành đang chạy.
- Phần mềm antivirus đang hoạt động.
- Quyền administrator của người dùng.
Task có thể được đẩy tới từng máy riêng lẻ hoặc toàn bộ botnet, kèm theo bộ lọc theo quốc gia để phục vụ các chiến dịch theo vùng. Cấu trúc này cho thấy Void Botnet không chỉ là loader mà còn là công cụ điều phối có mức độ tùy biến cao.
Các kiểu payload và tác vụ
Panel hỗ trợ 14 loại task. Payload có thể được gửi dưới dạng EXE, DLL, MSI hoặc PowerShell script. Một chế độ thực thi trong bộ nhớ được ghi nhận, cho phép nạp binary trực tiếp vào process memory mà không ghi xuống đĩa.
Cơ chế này làm tăng khả năng né tránh các lớp phòng thủ dựa trên quét file. Các tác vụ Reverse Shell và PowerShell tạo phiên tương tác trực tiếp trên máy bị xâm nhập, trong khi SelfDelete và SelfUpdate cho phép làm sạch dấu vết hoặc cập nhật agent theo yêu cầu.
Đặc điểm kỹ thuật của Void Botnet
Void Botnet là một binary native nhẹ, được phát triển bằng Rust với kích thước khoảng 1,5 MB. Loader hỗ trợ cả môi trường Windows 32-bit và 64-bit, giúp mở rộng độ phủ nạn nhân trong các hệ thống không đồng nhất.
Các chức năng post-compromise cho phép kiểm soát máy nhiễm ở mức sâu hơn, đặc biệt khi kết hợp với cơ chế C2 dựa trên smart contract. Theo mô tả công bố, persistence được thiết lập thông qua một scheduled task được giới thiệu trong bản cập nhật v1.1.
Khả năng này khiến Void Botnet trở thành một mối đe dọa mạng khó xử lý nếu chỉ dựa trên cách chặn domain hoặc cô lập máy chủ điều khiển. Trong bối cảnh hạ tầng C2 nằm trên blockchain, biện pháp phòng thủ cần tập trung vào phát hiện hành vi bất thường trên endpoint và kiểm soát lưu lượng mạng.
Nhận diện và chỉ dấu liên quan
Nghiên cứu kỹ thuật gốc có nhắc đến phần Operational Indicators of Compromise (IoCs), nhưng không công bố danh sách IP, domain hay hash trong phần nội dung trích dẫn. Vì vậy, không có IOC cụ thể để tách riêng thành danh sách trong bài viết này.
Với Void Botnet, dấu hiệu đáng chú ý nhất là mô hình giao tiếp dựa trên Ethereum smart contract và cơ chế hai chế độ C2. Đây là yếu tố cốt lõi giúp nhận diện mối đe dọa mạng này trong các hoạt động phát hiện xâm nhập và phân tích lưu lượng.
Ngữ cảnh đe dọa và mức độ rủi ro bảo mật
Void Botnet xuất hiện chỉ một tháng sau khi một công cụ tương tự được công bố, cho thấy xu hướng sử dụng blockchain-based command-and-control đang tăng. Việc có hai botnet phát triển độc lập, dùng hai blockchain khác nhau, phản ánh sự thay đổi trong cách các công cụ điều khiển từ xa được thiết kế để tăng khả năng sống sót trước cập nhật bản vá và nỗ lực vô hiệu hóa hạ tầng.
Trong mô hình này, tổ chức phòng thủ không thể chỉ dựa vào việc thu hồi máy chủ hay chặn tên miền. Thay vào đó, cần theo dõi những hành vi liên quan đến remote code execution, tải payload trong bộ nhớ, tạo scheduled task bất thường và các kết nối định kỳ tới thành phần blockchain công khai.
Điểm cần lưu ý khi theo dõi trên hệ thống
- Quy trình chạy binary Rust kích thước nhỏ bất thường.
- Thiết lập persistence bằng scheduled task.
- PowerShell hoặc DLL được thực thi từ bộ nhớ.
- Truy vấn định kỳ tới hạ tầng blockchain thay vì domain C2 cố định.
- Hành vi điều khiển hàng loạt máy qua panel tập trung hoặc smart contract.
Trong các môi trường giám sát, nên kết hợp IDS, telemetry endpoint và phân tích tiến trình để nhận diện sớm Void Botnet. Với kiểu lỗ hổng zero-day hoặc hạ tầng điều khiển khó gỡ bỏ như thế này, việc giám sát hành vi và cập nhật bản vá vẫn là lớp kiểm soát cần thiết để giảm nguy cơ bảo mật.
