PipeMagic – Backdoor giả dạng ChatGPT và khai thác zero-day

Vũ Nhật LâmVũ Nhật Lâm
5 min read

PipeMagic là một backdoor modular tinh vi được nhóm tin tặc Storm-2460 sử dụng trong các chiến dịch tấn công. Điểm đặc biệt là chúng giả mạo ứng dụng ChatGPT Desktop mã nguồn mở để phát tán mã độc.

Cách thức hoạt động

  1. Phát tán: Tin tặc chỉnh sửa mã nguồn của dự án ChatGPT Desktop trên GitHub, chèn mã độc để khi người dùng chạy, ứng dụng sẽ giải mã và tải PipeMagic trực tiếp vào bộ nhớ (in-memory execution).

  2. Khai thác zero-day: Sau khi chạy, PipeMagic được kết hợp với việc khai thác lỗ hổng CVE-2025-29824 (Windows CLFS – privilege escalation). Điều này cho phép kẻ tấn công leo thang đặc quyền và có toàn quyền trên hệ thống.

  3. Kết nối C2: PipeMagic sử dụng TCP/WebSocket để kết nối tới máy chủ điều khiển (C2). Địa chỉ C2 trong mẫu phân tích được phát hiện là: aaaaabbbbbbb.eastus.cloudapp.azure[.]com:443 (hiện đã bị Microsoft vô hiệu hóa).

  4. Tải mô-đun động: Thay vì chứa sẵn toàn bộ chức năng, PipeMagic nhận các payload module qua kênh liên lạc đặc biệt gọi là named pipe (\\.\pipe\1.<BotID>).

    • Mỗi máy nhiễm sẽ sinh ra một Bot ID 16 byte riêng biệt.

      Screenshot of code for bot ID generation

    • Payloads sau khi tải về sẽ được giải mã RC4kiểm tra SHA-1 hash để đảm bảo toàn vẹn trước khi thực thi.

      Screenshot of code for decrypting module data and performing hash validation

  5. Kiến trúc modular: PipeMagic quản lý nhiều loại doubly linked list trong bộ nhớ:

    • Payload list – lưu các module thô mới tải về.

    • Execute list – chứa module đã sẵn sàng chạy.

    • Network list – phụ trách C2 communication.

    • Unknown list – chưa rõ mục đích, có thể dành cho module tùy chỉnh.

  6. Thu thập thông tin hệ thống: Trước khi triển khai ransomware, PipeMagic sẽ gửi về C2 nhiều dữ liệu:

    • Bot ID, tên máy, phiên bản Windows, tên miền, PID tiến trình, IP, session ID…

    • Danh sách module đang tải trong bộ nhớ.

  7. Cuối cùng: Tin tặc triển khai ransomware vào hệ thống đã bị chiếm quyền.

Vì sao PipeMagic nguy hiểm?

  • Giả dạng ứng dụng hợp pháp (ChatGPT Desktop) → dễ lừa người dùng tải về.

  • In-memory execution → tránh bị phát hiện bởi antivirus truyền thống.

  • Modular & linh hoạt → tin tặc có thể tải bất cứ chức năng nào khi cần, từ đánh cắp dữ liệu đến mã hóa file.

  • Zero-day exploit → giúp chiếm toàn quyền trên hệ thống mục tiêu.

Mục tiêu bị nhắm đến

  • Các tổ chức trong CNTT, tài chính, bất động sản.

  • Nạn nhân trải rộng khắp Mỹ, châu Âu, Nam Mỹ, Trung Đông.

Khuyến nghị

Để phòng ngừa và phát hiện kịp thời dấu hiệu của backdoor trên, phía FPT Threat Intelligence đưa ra các khuyến nghị sau:

  • Cập nhật bản vá bảo mật

    • Triển khai ngay bản vá cho CVE-2025-29824 (Windows CLFS) và các lỗ hổng liên quan.

    • Đảm bảo hệ điều hành và phần mềm thường xuyên được update để giảm nguy cơ khai thác zero-day.

  • Kiểm soát nguồn tải phần mềm

    • Chỉ tải ứng dụng từ nguồn chính thống (ví dụ trang chủ, Microsoft Store).

    • Cảnh báo người dùng về nguy cơ từ việc tải ChatGPT Desktop hay phần mềm AI từ GitHub/nguồn không rõ ràng.

  • Giới hạn đặc quyền người dùng

    • Không cấp quyền admin mặc định cho user.

    • Áp dụng nguyên tắc Least Privilege để giảm tác động khi bị khai thác.

  • Chính sách bảo mật email & web

    • Triển khai Email Security Gateway để ngăn file độc hại.

    • Chặn download file từ site không tin cậy hoặc đã bị compromise.

  • Theo dõi kết nối C2

    • Giám sát kết nối TCP/WebSocket ra ngoài (port 443 nhưng hành vi khác thường, ví dụ WebSocket upgrade).

    • Lưu ý domain bất thường như *.cloudapp.azure[.]com.

  • Giám sát công cụ hệ thống

    • PipeMagic sử dụng certutil.exeMSBuild.exe để tải và thực thi payload.

    • Giám sát hành vi tạo named pipe bất thường

    • Cảnh báo khi các tiến trình này truy cập Internet hoặc chạy lệnh không điển hình.

  • Phân tích bộ nhớ (memory forensic)

    • PipeMagic chạy in-memory nên ít để lại dấu vết file.

    • Sử dụng EDR có khả năng quét bộ nhớ để phát hiện module inject.

Kết luận

PipeMagic không chỉ là một backdoor thông thường mà là một framework mã độc. Với thiết kế đa mô-đun + khai thác zero-day + ngụy trang phần mềm hợp pháp, nó là công cụ nguy hiểm trong tay Storm-2460 để triển khai ransomware.

Việc hiểu cách PipeMagic hoạt động sẽ giúp các chuyên gia ATTT:

  • Phát hiện hành vi bất thường (WebSocket kết nối lạ, tạo named pipe khả nghi).

  • Điều tra forensic (tìm bot ID, RC4 key, SHA-1 validation trong bộ nhớ).

  • Ngăn chặn kịp thời trước khi ransomware được kích hoạt.

IOC

IndicatorLoạiMô tả
aaaaabbbbbbb.eastus.cloudapp.azure[.]com:443DomainPipeMagic’s C2 domain
dc54117b965674bad3d7cd203ecf5e7fc822423a3f692895cf5e96e83fb88f6aFile SHA-256 hashIn-memory dropper (trojanized ChatGPT desktop application)
4843429e2e8871847bc1e97a0f12fa1f4166baa4735dff585cb3b4736e3fe49eFile SHA-256 hashPipeMagic backdoor (unpacked in memory)
297ea881aa2b39461997baf75d83b390f2c36a9a0a4815c81b5cf8be42840fd1File SHA-256 hashPipeMagic network module (unpacked in memory)

Tham khảo

0
Subscribe to my newsletter

Read articles from Vũ Nhật Lâm directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligenceBackdoorchatgptMalware

Written by

Vũ Nhật Lâm
Vũ Nhật Lâm