TL;DR
SentinelLABS (Vitaly Kamluk & Juan Andrés Guerrero-Saade) công bố ngày 23/04/2026 tại Black Hat Asia: fast16 là framework phá hoại quân sự có core component biên dịch 19/07/2005 — sớm hơn Stuxnet ít nhất 5 năm. Bao gồm kernel driver fast16.sys sửa code FPU trong các phần mềm mô phỏng độ chính xác cao (LS-DYNA, PKPM, MOHID), và carrier svcmgmt.exe — bản triển khai sớm nhất từng biết đến của máy ảo Lua nhúng trong malware Windows. Tên "fast16" từng xuất hiện trong vụ rò rỉ ShadowBrokers 2017 với chú thích lạnh gáy: "Nothing to see here — carry on". Suốt gần 10 năm trên VirusTotal, hầu như không AV nào nhận diện được.
Có gì mới
Hai mảnh ghép cũ đã nằm im trong các bộ sưu tập malware từ thập niên 2000 vừa được nối lại:
fast16.sys— driver kernel filesystem 44.580 byte, biên dịch 2005-07-19 15:15:41 UTC, MD50ff6abe0252d4f37a196a1231fae5f26. Boot-start, chỉ kích hoạt sau khiexplorer.exemở, để tránh làm chậm khởi động.svcmgmt.exe— carrier 315.392 byte, biên dịch 2005-08-30, nhúng máy ảo Lua 5.0 + bytecode mã hoá. Trước Flame 3 năm.
Manh mối lần ra: cụm dấu vết SCCS/RCS dạng @(#)par.h $Revision: 1.3 $ — convention source-control của Unix thập niên 70–80, bất thường trong driver Windows giữa 2000s. Tác giả gần như chắc chắn không phải dev Windows thông thường, mà là kỹ sư Unix có thâm niên — tín hiệu của một chương trình phát triển dài hạn, ngân sách quốc gia.
Vì sao đáng quan tâm
Đây không phải espionage tool ăn cắp dữ liệu. Đây là vũ khí phá hoại tính toán. Driver dùng patching engine 101 rule với dispatch array 256-byte để tiêm các đoạn lệnh FPU vào executable đang được đọc từ disk — không crash, không log lạ, chỉ làm các phép toán dấu chấm động cho ra kết quả lệch một cách hệ thống. Nhỏ đủ để qua mặt eyeball check, đủ lớn để âm thầm phá hỏng kết quả nghiên cứu vật lý/cơ học sau hàng tháng simulation.
Chi tiết kinh hoàng: tác giả lường trước việc nạn nhân sẽ chạy lại bài toán trên máy khác để verify. Vì vậy carrier svcmgmt.exe được thiết kế như cluster munition — chứa nhiều "wormlet" tự lan qua SMB share dùng mật khẩu admin yếu/mặc định. Cả phòng lab cùng nhiễm → cả phòng cùng cho cùng một kết quả sai → engineer không có cơ chế cross-check.
Kỹ thuật đáng chú ý
| Thành phần | fast16.sys | svcmgmt.exe |
|---|---|---|
| Vai trò | Filesystem driver, FPU patcher | Carrier, Lua VM, propagator |
| Filesize | 44.580 byte | 315.392 byte |
| Link Time | 2005-07-19 | 2005-08-30 |
| Kernel/User | Native PE32, i386, 5 sections | Console PE32, i386 |
| Embedded engine | 101 patching rules + dispatch array 256B | Lua 5.0 VM + encrypted bytecode |
Driver chỉ patch những file có:
- Tên kết thúc
.EXE - Sau PE section header cuối có chuỗi ASCII bắt đầu bằng
Intel(dấu vết Intel C/C++ Compiler — phổ biến cho phần mềm mô phỏng số mid-2000s)
Carrier có 5 chế độ qua command-line argument:
- không tham số → chạy như Windows service
-p→ setInstallFlag=1, install & run-i→ install + execute Lua-r→ execute Lua không set flag- tham số bất kỳ = filename → wrapper/proxy mode, spawn 2 child process
Trước khi cài, ok_to_install() → ok_to_propagate() quét registry tìm vendor key của các sản phẩm bảo mật đã liệt kê. Có là abort. Mức độ environmental awareness này thuộc loại bất thường ở năm 2005.
So với Stuxnet và Flame
| Thuộc tính | fast16 (2005) | Stuxnet (~2010) | Flame (~2012) |
|---|---|---|---|
| Mục tiêu | Sửa kết quả mô phỏng | Phá centrifuge vật lý | Gián điệp dữ liệu |
| Lua VM nhúng | Có (Lua 5.0) — sớm nhất | Không | Có (sau 7 năm) |
| Driver kernel | FS filter + FPU patch | 0-day kernel exploits | Có |
| Phương thức lan | SMB + admin password yếu | USB 0-day worm | USB, SMB, Bluetooth |
| Detection 2017–2026 | Gần như 0 | Cao (sau 2010) | Cao (sau 2012) |
Mục tiêu nghi ngờ
SentinelLABS match pattern engine của fast16 với corpus phần mềm thời 2005 và tìm thấy 3 ứng cử viên rõ nhất:
- LS-DYNA 970 — bộ multi-physics simulation cho crash test, vụ nổ, gia công kim loại. Dùng phổ biến trong ô tô, hàng không, quốc phòng. Đã được dẫn chiếu trong các báo cáo công khai về chương trình hạt nhân AMAD của Iran để mô phỏng tải trọng nổ — vi phạm Section T của JCPOA.
- PKPM — bộ thiết kế kết cấu xây dựng của Trung Quốc.
- MOHID — platform mô phỏng thuỷ động lực học của Bồ Đào Nha.
Tag "fast16" trong file drv_list.txt của ShadowBrokers TeDi leak được đánh dấu là implant "thân thiện" — yêu cầu operator NSA né. Cộng với link Iran/AMAD/LS-DYNA, mọi chỉ dấu hướng tới một chiến dịch nhà nước phía Mỹ/Five Eyes nhắm vào nghiên cứu hạt nhân Iran, 5 năm trước Stuxnet, có thể là tiền thân hoặc một nhánh song song của Operation Olympic Games.
Giới hạn & tình trạng phát hiện
- Driver chỉ chạy trên Windows XP / Server 2003 kernel — không load được Windows 7+. Là di chỉ kỹ thuật số.
- Nhưng kiến trúc (Lua modular + kernel patcher + wormable carrier) đã đặt nền cho mọi APT framework sau này — Bunny của Animal Farm, PlexingEagle, Flame 2.0, Project Sauron.
svcmgmt.exeđã upload lên VirusTotal gần 10 năm — vẫn gần như không AV nào flag (1 engine, confidence thấp). Đây là vấn đề lớn cho ngành.- SentinelLABS đã công bố YARA rule + pattern signature để cộng đồng săn các sample mới hơn cùng dòng dõi.
- Các vendor LS-DYNA, PKPM, MOHID đã được thông báo để audit lại output lịch sử xem có dấu vết bị tampered không.
Tiếp theo là gì
Câu hỏi mở: còn bao nhiêu mẫu "old but interesting" tương tự đang nằm trong các collection malware mà cộng đồng chưa có context để đánh giá đúng tầm? Kamluk gọi fast16 là "silent harbinger of a new form of statecraft" — sứ giả thầm lặng của một dạng thuật quốc mới. Bài học cho dev tool và security team: bảo vệ tính toàn vẹn của kết quả tính toán chứ không chỉ confidentiality của data; phân tách mạng giữa simulation cluster và validation workstation; không dùng admin password mặc định trên SMB share, kể cả trong lab nội bộ.
Với cộng đồng threat hunter: chạy YARA rule mới của SentinelLABS qua kho mẫu. Kamluk đã đề cập trong talk: "Maybe there are more discoveries to come?"
Nguồn: SentinelOne LABS, The Register, SecurityWeek, The Hacker News.