PHANTOM NETD: BÍ ẨN CỦA MỘT BACKDOOR VÔ HÌNH
Dark Net ngày 27/01/2026 – Một thực thể lặng lẽ bước ra từ void.
Không một antivirus nào trên VirusTotal chạm được vào nó. Hash be0f36ee071a9c0c200dcdaed98fce7fadc31305d0a5f24a244a3af7833d21dd nằm đó, im lặng như tờ, dù code lộ thiên không hề obfuscate. MalwareHunterTeam chỉ đăng một dòng tweet, thế mà cả cộng đồng underground im bặt. Vì họ biết: đây không phải malware thông thường. Đây là một lời thì thầm từ bóng tối.
Tên của nó: netd.
File .lck đi kèm như một chiếc chìa khóa ma thuật.
Và C2 của nó… đang thở trong những domain Dynu DDNS – những tên miền ma quái có thể thay đổi địa chỉ chỉ trong một đêm.
Khi Linux thức tỉnh trong im lặng
Binary ELF 64-bit static-linked, symbol vẫn còn nguyên. Không strip, không pack, không VMProtect. Chỉ có một thứ che giấu nó: sự đơn giản chết người.
Khi chạy, netd trước tiên triệu hồi named semaphore KoqiItPtTbsntsoTspaltsT – một mutex quái dị nhằm ngăn không cho bản thân nhân bản. Muốn bypass? Chỉ cần thêm tham số skip. Như thể chính nó đang mời gọi những kẻ am hiểu bước vào.
Sau đó nó đọc file netd.lck – 810 byte bí mật được mã hóa bằng một key cổ quái dài 64 byte. Chỉ cần XOR một lần với 0x38 rồi tiếp tục với chuỗi ma thuật kia, bạn sẽ thấy hai tên miền hiện ra như linh hồn:
- chopaw.camdvr[.]org
- drawpin.accesscam[.]org
Cùng với một C2 mặc định được hard-code trong máu: mefng.giize[.]com:443
Nghi thức daemonize và linh hồn PTY
Sau khi nuốt cấu hình, netd fork hai lần.
Process con biến thành một con shell tương tác thật sự – dùng $SHELL hoặc fallback về /bin/sh -i.
Process cha thì tạo một cặp PTY, rồi sinh ra thread recv_thread – kẻ chuyên trò chuyện với bóng tối.
Giao thức chào hỏi từ địa ngục (Challenge-Response RC4)
Không phải SSL, không phải AES. Chỉ là RC4 thủ công với key cố định:
0x5D84EFD639604BB295FC270E715883EA
Nghi thức bắt đầu bằng 100 byte ngẫu nhiên – nhưng byte thứ 23 luôn là 0x7C (một dấu hiệu bí mật).
Sau khi mã hóa, gửi lên C2.
Nếu nhận lại gói có byte thứ 77 là 0xC7, nghi thức hoàn tất. Cổng trời mở ra.
Từ đó, mọi lưu lượng đều chảy trong lớp vỏ RC4 đen tối ấy. Không ai nghe thấy.
Thông tin nạn nhân – Lời khai máu
Trước khi nhận lệnh, netd gửi một gói hệ thống được ghép từ MAC address + utsname:
generated_uid|hostname|connection_state|…|machine|domain name|
UID được sinh từ địa chỉ MAC – như dấu vân tay của máy nạn nhân. Nếu không lấy được, nó dùng random. Nhưng ai mà biết được?
Bảng thần chú – Các lệnh operator có thể thì thầm
| Lệnh | Tên hàm | Ý nghĩa bóng tối |
|---|---|---|
| 0 | do_upload | Kéo file từ C2 xuống máy nạn nhân |
| 1 | do_download | Đẩy file từ máy nạn nhân lên void |
| 2 | popen | Thực thi shell tùy ý |
| 3 | do_dir | Lướt qua từng thư mục như bóng ma |
| 4 | do_rm_file | Xóa dấu vết (rm -f) |
| 9 | — | Tự hủy – biến mất không để lại tro |
| 0xB | update_config | Nhận cấu hình mới từ master |
| 0xD | do_kill_process | Giết process bằng kill -9 |
Khi nhận lệnh 9, netd tự đặt state = 6, xóa sạch cả chính mình lẫn file .lck. Không dấu vết. Không log. Như chưa từng tồn tại.
C2 đang thở ở đâu?
Tất cả domain đều thuộc Dynu Systems – thiên đường của những kẻ muốn ẩn mình. IP thực tế được resolve qua Google DNS làm mồi nhử, rồi XOR với key 0xC7852752. Hôm nay nó ở một IP, mai đã ở IP khác. Như một bóng ma thật sự.
Kết
Đây không phải backdoor.
Đây là một thực thể.
Nó không cần packer, không cần crypter, không cần domain lạ.
Nó chỉ cần sự im lặng và một nghi thức RC4 cổ quái.
Và điều đáng sợ nhất:
Nó vẫn đang lang thang ngoài kia.
Có thể ngay lúc này, trên một server Linux nào đó của bạn, netd đang ngồi im thin thít, chờ lệnh từ bóng tối.
Hãy kiểm tra semaphore KoqiItPtTbsntsoTspaltsT.
Nếu nó tồn tại… thì bạn đã bị chọn.
Phantom Netd không bị phát hiện.
Nó chỉ đang… chờ.
Shadow out.