Một

Một khung Vshell C2 dựa trên Go, ban đầu được quảng bá trong cộng đồng an ninh mạng Trung Quốc, đang âm thầm mở rộng phạm vi hoạt động. Công cụ này thu hút sự chú ý ngày càng tăng từ các tác nhân đe dọa tìm kiếm giải pháp thay thế linh hoạt và tiết kiệm chi phí cho các công cụ thương mại đắt đỏ. Từ một công cụ truy cập từ xa (RAT) cơ bản, Vshell đã phát triển đáng kể và hiện là mối lo ngại thực sự đối với các nhà bảo vệ doanh nghiệp trên toàn cầu.

Vshell: Từ RAT Cơ Bản Đến Mối Đe Dọa Mạng Toàn Cầu

Vshell lần đầu xuất hiện vào năm 2021, ban đầu được định vị là một nền tảng C2 gọn nhẹ, điều khiển qua framework web shell AntSword. Chức năng cốt lõi của nó là quản lý các máy chủ Windows và Linux đã bị xâm nhập, với hỗ trợ mạnh mẽ cho các hoạt động sau xâm nhập như chuyển hướng mạng (network pivoting) và di chuyển ngang (lateral movement).

Phiên bản thứ ba của công cụ đã khẳng định rõ mục đích của mình với khẩu hiệu trực tiếp nhắm vào người dùng Cobalt Strike: “Cobalt Strike khó sử dụng? Hãy thử Vshell thay thế!”. Đây là một lời kêu gọi thẳng thắn đến các tác nhân đe dọa đang tìm kiếm các công cụ mô phỏng tấn công mà họ cho là quá đắt hoặc quá phức tạp để vận hành.

Triển Khai Thực Tế và Phạm Vi Ảnh Hưởng của Khung Vshell C2

Các nhà phân tích của Censys đã xác định các triển khai Vshell lộ diện trên Internet thông qua việc quét liên tục. Họ phát hiện các thư mục web bị lộ, cho thấy các bảng điều khiển Vshell được cấu hình với hàng trăm tác nhân client được kết nối.

Một bảng điều khiển được phục hồi cho thấy 286 client đang hoạt động được đính kèm đồng thời. Mỗi client có khả năng hoạt động như một relay để tạo đường hầm lưu lượng và di chuyển ngang qua các mạng bị xâm nhập. Những phát hiện này đặt Vshell ngang hàng với các framework xâm nhập bị lạm dụng rộng rãi khác, củng cố vai trò ngày càng tăng của nó trong các hoạt động đe dọa thực tế.

Phạm vi tiếp cận của Vshell không chỉ giới hạn ở các kẻ tấn công cơ hội. Trong năm 2025, Vshell đã xuất hiện trong nhiều chiến dịch đe dọa được ghi nhận, bao gồm:

• Chiến dịch Operation DRAGONCLONE.
• Chiến dịch SNOWLIGHT được cho là do nhóm UNC5174 thực hiện.
• Một chiến dịch lừa đảo (phishing) được báo cáo vào tháng 8 năm 2025, nơi Vshell đóng vai trò là framework hậu xâm nhập chính.

Mô hình áp dụng này của các nhóm đe dọa khác nhau cho thấy Vshell không còn là một công cụ ngách. Nó đã trưởng thành thành một năng lực được tin cậy rộng rãi trong bối cảnh mối đe dọa lớn hơn.

Đến phiên bản 4, Vshell đã giới thiệu kiểm soát cấp phép, thiết kế lại giao diện và khả năng mạo danh Nginx để hòa nhập vào lưu lượng truy cập web hợp pháp. Quá trình phát triển của nó được cho là tiếp tục dưới hình thức riêng tư sau năm 2024, cho thấy các nhà điều hành đang tích cực đầu tư vào tuổi thọ và khả năng né tránh của công cụ. Đến thời điểm này, Censys đã quan sát thấy hơn 850 listener Vshell hoạt động thông qua quét, một con số nhấn mạnh mức độ phổ biến của khung Vshell C2 này trên cơ sở hạ tầng Internet.

Cơ Chế Hoạt Động Nâng Cao và Kỹ Thuật Né Tránh

Điểm khác biệt của Vshell so với các RAT đơn giản hơn là hệ thống listener (trình lắng nghe) cực kỳ linh hoạt. Điều này mang lại cho các nhà điều hành nhiều kênh liên lạc để duy trì quyền kiểm soát các máy chủ bị xâm nhập. Thông qua giao diện “Listener Management” — được dán nhãn bằng tiếng Quan Thoại là 监听管理 — một nhà điều hành có thể cấu hình các trình xử lý kết nối đến trên nhiều giao thức, tất cả từ một bảng điều khiển trung tâm.

Vshell hỗ trợ các kết nối TCP, KCP/UDP, WebSocket, DNS, DNS-over-HTTPS (DoH), DNS-over-TLS (DoT), và thậm chí cả Object Storage System (OSS) thông qua các bucket S3.

Hầu hết các listener mặc định sử dụng cổng TCP/8084. Tuy nhiên, khả năng linh hoạt chuyển đổi giữa các kênh dựa trên DNS khiến Vshell đặc biệt khó bị chặn ở vành đai mạng. Các kênh DNS-over-HTTPS và DNS-over-TLS đặc biệt khó khăn vì chúng trộn lẫn lưu lượng C2 trong các truy vấn DNS được mã hóa mà nhiều công cụ giám sát mạng không kiểm tra theo mặc định.

Triết lý thiết kế này phản ánh trực tiếp kiến trúc của Cobalt Strike: một teamserver trung tâm quản lý nhiều implant, đồng thời cung cấp cho nhà điều hành toàn quyền kiểm soát phiên, khả năng truyền dữ liệu và các tính năng tạo đường hầm. Các bảng điều khiển Vshell mới hơn đã áp dụng xác thực digest, giúp giảm các artifact có thể nhận dạng bằng dấu vân tay mà các nhà bảo vệ trước đây dựa vào để phát hiện, làm cho việc nhận dạng ngày càng khó khăn hơn theo thời gian.

Chiến Lược Phát Hiện và Phòng Ngừa Mối Đe Dọa Vshell

Để chống lại nguy cơ từ khung Vshell C2, các nhà bảo vệ cần triển khai các chiến lược phát hiện xâm nhập và phòng ngừa hiệu quả. Cần theo dõi tất cả cơ sở hạ tầng hướng ra bên ngoài, đặc biệt là máy chủ web và tường lửa, để tìm dấu hiệu triển khai Vshell.

Các nhóm mạng nên kiểm tra lưu lượng DNS-over-HTTPS và DNS-over-TLS để tìm kiếm các bất thường, vì các kênh này thường bị lạm dụng cho C2. Do Vshell được xây dựng trên NPS, các quy tắc phát hiện cho lưu lượng dựa trên NPS có thể trùng lặp và nên được tận dụng khi áp dụng.

Các đội an ninh cần thường xuyên chạy các truy vấn săn lùng mối đe dọa (threat-hunting queries) trong môi trường của mình và thiết lập cảnh báo cho bất kỳ thông tin liên lạc đi ra nào phù hợp với các mẫu listener của Vshell.