Trong bối cảnh nhiều doanh nghiệp đang cắt giảm nhân sự và tái cấu trúc, tin tặc đã lợi dụng tâm lý lo lắng của nhân viên để mở một chiến dịch lừa đảo tinh vi nhằm phát tán mã độc Remcos. Kẻ tấn công gửi những email giả mạo phòng nhân sự với nội dung rất nhạy cảm, chẳng hạn “Báo cáo đánh giá nhân viên tháng 10/2025” kèm dòng nhắc đến “nhân sự bị chấm dứt hợp đồng”. Với giọng điệu chuyên nghiệp và chủ đề dễ khiến người nhận hoang mang, email nhanh chóng thu hút sự chú ý và kích thích người nhận mở tệp đính kèm.
Tệp đính kèm “staff record pdf.rar” được ngụy trang như một báo cáo PDF, nhưng thực tế chứa một file thực thi “staff record pdf.exe” – chiêu lừa quen thuộc bằng cách dùng hai phần mở rộng để khiến nạn nhân tưởng rằng đây chỉ là tài liệu HR thông thường. Khi được mở, mã độc Remcos âm thầm cài đặt lên hệ thống, cho phép tin tặc kiểm soát từ xa.
Kết quả phân tích cho thấy Remcos tự cài tệp cấu hình vào thư mục Roaming, sao chép file chính vào ProgramData và thêm khóa vào Registry để duy trì khả năng khởi động cùng hệ thống. Nó còn lưu dữ liệu cấu hình dưới dạng mã hóa trong Registry, rồi kích hoạt hàng loạt chức năng như keylogging, theo dõi clipboard, chụp màn hình và dò quét hệ thống. Ngay sau khi thiết lập xong, Remcos kết nối tới máy chủ điều khiển tại IP 196.251.116.219 để nhận lệnh tiếp theo.
Chiến dịch này cho thấy tin tặc ngày càng kết hợp kỹ thuật tinh vi với yếu tố tâm lý, nhắm vào nỗi lo mất việc để khiến nạn nhân mất cảnh giác. Các tổ chức cần siết chặt bảo mật email, quét tệp đính kèm và đặc biệt cảnh giác với các thông báo “từ HR” trong giai đoạn nhạy cảm về nhân sự.
