TechFlow đưa tin, ngày 15 tháng 4, theo báo cáo từ Elastic Security Labs, các đối tượng đe dọa đã giả danh các công ty đầu tư mạo hiểm nhằm dụ dỗ nạn nhân mở kho lưu trữ ghi chú Obsidian chứa mã độc thông qua LinkedIn và Telegram. Cuộc tấn công này khai thác plugin Shell Commands của Obsidian để thực thi tải độc hại ngay khi nạn nhân mở kho lưu trữ ghi chú—mà không cần khai thác bất kỳ lỗ hổng nào.
PHANTOMPULSE, một loại phần mềm gián điệp (RAT) cho Windows chưa từng được ghi nhận trước đây, đã được phát hiện trong cuộc tấn công này. PHANTOMPULSE sử dụng dữ liệu giao dịch trên mạng Ethereum để thiết lập kênh điều khiển và chỉ huy (C2) dựa trên blockchain. Đối với hệ điều hành macOS, tải độc hại được triển khai thông qua trình tải (dropper) AppleScript đã bị làm rối (obfuscated), đồng thời sử dụng kênh Telegram làm kênh C2 dự phòng. Elastic Defend đã kịp thời phát hiện và ngăn chặn thành công cuộc tấn công này trước khi PHANTOMPULSE được thực thi.
