Chiến dịch LLMShare: Biến Liên kết Chia sẻ ChatGPT Thành Mạng lưới Phát tán Mã độc

Sự đổi mới thực sự ở đây không nằm ở bản thân mã độc, mà là ở cơ chế phát tán. Bằng cách lưu trữ trang lừa đảo ban đầu trên một URL chatgpt.com hợp pháp, kẻ tấn công qua mặt được cả sự nghi ngờ của con người và các bộ lọc uy tín URL tự động. Khi người dùng kiểm tra thanh địa chỉ, họ thấy chatgpt.com và biểu tượng ổ khóa quen thuộc, tạo ra một hiệu ứng 'lòng tin gián tiếp' vô cùng mạnh mẽ, khiến cho lượt chuyển hướng sau đó đến tên miền độc hại trở nên hiệu quả hơn nhiều .

Chiến dịch này là một phần của vấn đề lớn hơn nhiều

Chiến dịch LLMShare không xuất hiện một cách đơn lẻ. Đây là bước leo thang mới nhất trong một mô hình mà các nhà nghiên cứu bảo mật đã theo dõi từ cuối năm 2025, khi kẻ tấn công lần đầu tiên phát hiện ra chúng có thể lạm dụng các tính năng chia sẻ của nền tảng AI làm véc-tơ lây nhiễm.

Vào tháng 12 năm 2025, các nhà nghiên cứu của Kaspersky đã phát hiện một chiến dịch sử dụng tính năng chia sẻ của ChatGPT để phát tán mã độc AMOS đến người dùng macOS. Kẻ tấn công đã tạo ra các hướng dẫn cài đặt trông rất chuyên nghiệp cho một 'trình duyệt Atlas' giả mạo và xuất bản chúng dưới dạng các cuộc hội thoại ChatGPT công khai. Những người dùng nhẹ dạ làm theo hướng dẫn cuối cùng sẽ chạy các lệnh terminal và cài mã độc vào máy . Đến đầu năm 2026, các kỹ thuật tương tự đã lan sang các nền tảng AI khác bao gồm DeepSeek, với việc kẻ tấn công nhắm mục tiêu vào những người dùng đang tìm kiếm các chủ đề khắc phục sự cố hàng ngày như cách dọn dung lượng ổ đĩa trên Mac .

Xu hướng này còn vượt xa việc lạm dụng chat chia sẻ. Các nhà nghiên cứu bảo mật đã ghi nhận các họ mã độc đầu tiên trên thực địa sử dụng hạ tầng chatbot AI thương mại làm kênh điều khiển và kiểm soát (C&C) chính trong khoảng thời gian từ tháng 7/2025 đến tháng 2/2026 . Ít nhất 16 tiện ích mở rộng Chrome độc hại, mạo danh là công cụ năng suất ChatGPT, đã bị phát hiện đang đánh cắp mã thông báo đăng nhập thay vì mang lại các tính năng như đã quảng cáo . Nhóm Tình báo Mối đe dọa của Google đã xác định được các họ mã độc như PROMPTFLUX và PROMPTSTEAL, chúng sử dụng các mô hình ngôn ngữ lớn để tự động thay đổi hành vi trong khi đang thực thi – điều mà Google gọi là 'AI đúng lúc trong mã độc' (just-in-time AI in malware) .

Ngay cả các tác nhân liên quan đến nhà nước cũng có liên quan. OpenAI đã tiết lộ rằng họ đã ngăn chặn các hoạt động có phối hợp của các nhóm từ Nga, Triều Tiên và Trung Quốc tìm cách sử dụng ChatGPT để hỗ trợ phát triển mã độc, các chiến dịch lừa đảo và các hoạt động gây ảnh hưởng . Báo cáo Săn lùng Mối đe dọa năm 2025 của CrowdStrike lưu ý rằng các đối thủ hiện đang 'vũ khí hóa AI trên quy mô lớn' để đẩy nhanh các cuộc tấn công, đánh cắp thông tin đăng nhập và triển khai mã độc .

Những họ mã độc đứng sau cuộc tấn công

Đối với người dùng Windows mắc bẫy trong chiến dịch LLMShare, tải trọng là một công cụ đánh cắp thông tin xác thực thông thường, được thiết kế để trích xuất mật khẩu, cookie và mã thông báo xác thực được lưu trong trình duyệt. Đối với người dùng macOS, mối đe dọa phức tạp hơn nhiều.

Odyssey Stealer đại diện cho một nhánh tiến hóa của các mã độc đánh cắp thông tin trên macOS với một dòng dõi phức tạp. Nó có nguồn gốc là Poseidon Stealer – một nhánh rẽ của Atomic Stealer (AMOS), vốn nổi bật trong suốt năm 2024 và đầu năm 2025 – và sau đó được đổi tên thương hiệu và nâng cấp bởi một tác nhân đe dọa có biệt danh là 'Rodrigo' hoặc 'Rodrigo4', người trước đây đã từng làm việc trên mã nguồn AMOS . Việc đổi tên thương hiệu đi kèm với những nâng cấp kỹ thuật đáng kể nhằm qua mặt các lớp phòng thủ của Apple, bao gồm các đoạn tải (payload) AppleScript bị làm nhiễu và cơ chế tồn tại dai dẳng, cho phép mã độc sống sót qua các lần khởi động lại hệ thống .

Là một nền tảng Mã độc dưới dạng Dịch vụ (Malware-as-a-Service), Odyssey hoạt động theo mô hình liên kết, nơi các nhà phát triển cốt lõi duy trì mã độc và cơ sở hạ tầng điều khiển, trong khi các nhà điều hành độc lập thuê quyền truy cập để đổi lấy một phần lợi nhuận . Mã độc này nhắm mục tiêu cụ thể vào một loạt các phần mềm tiền số – các nhà nghiên cứu của Censys xác định rằng nó nhắm vào 203 tiện ích mở rộng ví tiền số trên trình duyệt, cùng với các ứng dụng tiền số trên máy tính để bàn .

Dữ liệu phát hiện mối đe dọa của Red Canary cho thấy Atomic Stealer vẫn là mã độc đánh cắp thông tin phổ biến nhất trên macOS trong suốt năm 2025, với Odyssey Stealer đạt được mức độ phổ biến tương tự sau khi đổi tên thương hiệu từ Poseidon và được tái tung ra thị trường . Cả hai dòng này liên tục nằm trong số các mối đe dọa hàng đầu nhắm vào người dùng Apple .

Tại sao việc phòng thủ trước các cuộc tấn công này lại khó khăn

Phương thức 'lòng tin ủy nhiệm' mà LLMShare sử dụng là một thách thức cơ bản cho các hệ thống phòng thủ an ninh truyền thống. Trang đích ban đầu được lưu trữ trên một tên miền của OpenAI vừa hợp pháp vừa được tin tưởng rộng rãi. Các hệ thống lọc URL chỉ dựa trên uy tín tên miền sẽ thấy chatgpt.com và cho phép kết nối. Ngay cả các công cụ tinh vi hơn có khả năng kiểm tra nội dung trang cũng có thể thấy thứ có vẻ là một thông báo dịch vụ mang thương hiệu OpenAI và không thể gắn cờ nó là đáng ngờ .

Cuộc tấn công không sử dụng email lừa đảo, tệp đính kèm độc hại hay các thủ thuật tấn công phi kỹ thuật (social engineering) rõ ràng – nó hoàn toàn dựa vào nền tảng quảng cáo của Google để đưa nạn nhân đến một trang trông có vẻ là trang chính thức của OpenAI. Đến khi xảy ra chuyển hướng độc hại, người dùng đã ở trong một vị thế tin tưởng vào tên miền mà họ đang truy cập. Các nhà nghiên cứu của Huntress nghiên cứu các chiến dịch tương tự đã lưu ý rằng những cuộc tấn công này thành công chỉ với bốn hành động hàng ngày của người dùng: tìm kiếm, nhấp, sao chép và dán .

Đối với các nhóm bảo mật, việc phòng thủ đòi hỏi một cách tiếp cận nhiều lớp. Giám sát các quảng cáo Google đáng ngờ giả mạo các dịch vụ phổ biến, chặn các tên miền chuyển hướng độc hại đã biết như openew[.]app, và - quan trọng nhất - đào tạo người dùng xác minh nội dung thực tế của các cuộc hội thoại ChatGPT được chia sẻ thay vì chỉ tin tưởng vào một mình tên miền, tất cả đều là những biện pháp đối phó quan trọng . Bản thân các nhà cung cấp nền tảng cũng phải đối mặt với áp lực triển khai các rào chắn để ngăn chặn việc lạm dụng các tính năng chia sẻ mà không làm hỏng các trường hợp sử dụng hợp pháp .

Chiến dịch LLMShare đại diện cho một điểm uốn quan trọng trong các chiến thuật lừa đảo qua mạng. Bằng cách vũ khí hóa lòng tin mà người dùng đặt vào các nền tảng AI lớn, kẻ tấn công đã tìm ra một cơ chế phát tán hiệu quả hơn các email lừa đảo truyền thống và khó bị phát hiện hơn bởi các công cụ phòng thủ thông thường. Khi các nền tảng AI mở rộng và các tính năng chia sẻ của chúng trở nên phức tạp hơn, bề mặt tấn công sẽ chỉ ngày càng gia tăng.