Posted on 15/06/2026 by CyTeam
Chiến dịch tấn công có chủ đích nhắm vào các doanh nghiệp tuyển dụng tại Việt Nam
TLP:WHITE
BÁO CÁO PHÂN TÍCH MỐI ĐE DỌA
Chiến dịch tấn công có chủ đích nhắm vào các doanh nghiệp tuyển dụng tại Việt Nam
Phát hiện và phân tích bởi Bộ phận An ninh bảo mật TopCV (ANBM) và Công ty Cổ phần An toàn thông tin CyRadar
Ngày phát hành: 09/06/2026
| Mức độ nguy hiểm CAO (HIGH) | Thời điểm phát hiện 28/05/2026 | Đối tượng nhắm đến Bộ phận Nhân sự/HR | Vector ban đầu
Fake CV / Phishing |
TỔNG QUAN CHIẾN DỊCH
Bối cảnh phát hiện và mức độ nguy hiểm
| ⚠ CẢNH BÁO: Đây là chiến dịch tấn công có chủ đích (Targeted Attack) nhắm vào nhân sự của các doanh nghiệp tuyển dụng tại Việt Nam. Kẻ tấn công lợi dụng quy trình xét duyệt CV thông thường để phát tán mã độc tinh vi, kết hợp nhiều kỹ thuật evasion và sử dụng hạ tầng Cloudflare Workers để ẩn giấu C2 server. |
Vào ngày 28/05/2026, bộ phận An ninh bảo mật của TopCV (ANBM) phối hợp cùng CyRadar phát hiện một chiến dịch tấn công tinh vi nhắm vào cán bộ nhân sự của các doanh nghiệp đang sử dụng nền tảng tuyển dụng. Kẻ tấn công đã giả mạo ứng viên, nhúng đường link độc hại vào trong CV, và dụ dỗ nhân sự tải về một file ZIP chứa mã độc được ngụy trang thành file PDF.
Chiến dịch này có điểm tương đồng rõ ràng với nhóm GOLD BLADE (RedCurl) — một nhóm cybercriminal quốc tế đã bị Sophos và nhiều tổ chức bảo mật ghi nhận từ năm 2024. Đây là lần đầu tiên một chiến dịch theo mô hình này được xác nhận nhắm vào thị trường Việt Nam.
CHI TIẾT BÁO CÁO
Chi tiết báo cáo có thể xem tại đây: https://cyradar.com/blog/TopCV_CyRadar_Threat_Intelligence_Report.pdf
| Liên hệ Báo cáo Sự cố: [email protected] | [email protected]
Chia sẻ IOC: Bài báo cáo được phân loại TLP:WHITE — có thể chia sẻ tự do trong cộng đồng bảo mật. Các IOC đã được defang để ngăn ngừa click nhầm. |