披露时间：2025年12月12日

情报来源：https://mp.weixin.qq.com/s/tYLkg74MkqYbQEmO4QGJKg

相关信息：

近期360高级威胁研究院捕获Lazarus组织利用WinRAR漏洞CVE-2025-8088进行投毒攻击的新型样本，攻击者将含有恶意脚本的RAR文件伪装为正常工具包诱导用户下载，受害者一旦解压文件便会触发恶意脚本释放，随后该脚本下载Blank Grabber信息窃取木马。该木马主要针对Chromium系浏览器的密码、Cookies、自动填充数据，窃取Discord与Telegram完整会话，并针对MetaMask、Exodus、Electrum等20余种主流加密钱包的种子私钥进行窃取。

披露时间：2025年12月11日

情报来源：https://origin-unit42.paloaltonetworks.com/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag/

相关信息：

Ashen Lepus 是一个与哈马斯有关联的 APT 组织，自2018年以来一直活跃，专注于针对中东地区的政府实体进行网络间谍活动。近期，该组织开发了新的 AshTag 恶意软件套件，并更新了其 C2 基础设施以提高隐蔽性。AshTag 是一个模块化的 .NET 后门工具，具备数据外泄、命令执行和内存中执行额外模块的能力。其攻击链从一个伪装成敏感文件的可执行文件开始，通过侧加载恶意 DLL 来启动攻击。Ashen Lepus 在攻击中使用了复杂的加密技术、合法子域名来隐藏 C2 服务器，并通过内存执行来减少取证痕迹。该组织在以色列-哈马斯冲突期间保持活跃，甚至在2025年10月加沙停火后仍在部署新的恶意软件变体。其攻击目标包括巴勒斯坦权力机构、埃及、约旦等中东国家的政府机构，攻击主题多与中东地缘政治事务相关。

披露时间：2025年12月15日

情报来源：https://aws.amazon.com/cn/blogs/security/amazon-threat-intelligence-identifies-russian-cyber-threat-group-targeting-western-critical-infrastructure/

相关信息：

组织自2021年以来持续针对西方关键基础设施，尤其是能源部门。攻击者最初通过利用 WatchGuard 的 CVE-2022-26318、Confluence 的 CVE-2021-26084 和 CVE-2023-22518等漏洞进行入侵，但自2025年起，攻击方式转向利用客户网络边缘设备的配置错误。这种战术转变使攻击者能够在减少暴露风险的同时，持续获取目标组织的凭证并进行横向移动。攻击者利用这些凭证访问受害组织的在线服务，建立持久访问权限。亚马逊通过其威胁情报能力识别出与已知 Sandworm（APT44）活动的基础设施重叠，并与 Bitdefender 跟踪的“Curly COMrades”组织存在关联。

披露时间：2025年12月16日

情报来源：https://www.zscaler.com/blogs/security-research/blindeagle-targets-colombian-government-agency-caminho-and-dcrat

相关信息：

2025 年 9 月， BlindEagle 以哥伦比亚工商旅游部（MCIT）下属政府机构为目标发起鱼叉式钓鱼攻击，通过目标组织内部被盗用的邮箱账户发送含可点击 SVG 附件的钓鱼邮件，诱导用户访问伪造司法门户并触发多阶段无文件攻击链，包括三个 JavaScript 脚本片段和一个 PowerShell 命令。最终，PowerShell 命令会下载一个图像文件，该图片借助隐写术隐藏恶意载荷，解码后得到名为 Caminho 的恶意软件下载器，通过Caminho 从 Discord 获取并解码 AGT27.txt，最终以进程注入方式部署DCRAT 远程控制木马。DCRAT 是一个开源的远程访问木马，具有多种功能，包括键盘记录和磁盘访问等。

披露时间：2025年12月11日

情报来源：https://www.morphisec.com/blog/pystorerat-a-new-ai-driven-supply-chain-malware-campaign-targeting-it-osint-professionals/

相关信息：

PyStoreRAT 是一个针对 IT 和 OSINT 专业人士的新型恶意软件活动，攻击者通过重新激活多年未使用的 GitHub 账户，发布看似合法的 AI 生成项目，这些项目在 GitHub 上获得了较高关注度。在这些项目获得关注后，攻击者通过“维护”提交引入了 PyStoreRAT 后门。PyStoreRAT 是一个多用途加载器，设计用于隐蔽性、灵活性和长期访问，能够进行广泛的系统分析，部署多种有效载荷（包括 Rhadamanthys 窃密器），并且在检测到 CrowdStrike Falcon 或 Reason 相关安全产品时会改变执行技术，以降低可见性。此外，该恶意软件通过可移动驱动器传播，并从其操作者那里动态拉取额外模块。其 C2 基础设施采用循环、轮换节点，确保有效载荷更新顺畅，并具备抵御打击的韧性。

披露时间：2025年12月16日

情报来源：https://www.kaspersky.com/blog/telegram-mini-app-phishing/55041/

相关信息：

研究人员描述了一种新型的网络钓鱼攻击，攻击者利用 Telegram 的小程序功能，创建看似合法的应用程序来诱骗用户输入登录凭证，从而窃取用户的 Telegram 账户。Telegram 对小程序缺乏严格审核，这些小程序可以轻易运行在 Telegram 内部。攻击者通过用户对 NFT 和数字礼物的兴趣，利用虚假的“空投”活动吸引用户。诱导用户在应用内输入手机号等登录凭据，导致账号被盗，此类攻击同时以俄文和英文传播，存在 AI 生成文本残留等破绽，用户可通过开启两步验证、校验账号蓝 V、警惕内置登录请求等方式防范。

披露时间：2025年12月15日

情报来源：https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/

相关信息：

2025 年 12 月 5 日，攻击者以波罗的海和巴尔干地区国家为目标发起钓鱼攻击，通过伪造德涅斯特河沿岸摩尔达维亚共和国总统令等诱饵，发送含.pdf.html后缀的钓鱼附件，利用模糊效果诱导用户输入凭据，通过正则校验后将凭据发送至formcarry.com，该攻击至少自2023 年起活跃，目标涵盖多国政府及乌克兰国防工业基础（DIB），部分变体还会加载外部恶意代码。

披露时间：2025年12月15日

情报来源：https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack

相关信息：

Gen Digital 发现的GhostPairing 攻击是一种新型 WhatsApp 账号劫持手段，攻击者通过 被盗用的账号向联系人发送含伪造 Facebook 预览链接的诱导消息，诱骗受害者点击链接后，借助 WhatsApp 合法的设备配对功能 ，让受害者主动授权攻击者的浏览器成为 “隐形关联设备”，最终实现无需窃取密码即可全面访问受害者账号，读取消息、下载媒体、发送诱导信息等，且攻击可通过信任关系链式传播，具备极强隐蔽性与扩散性。

披露时间：2025年12月11日

情报来源：https://www.zscaler.com/blogs/security-research/technical-analysis-blackforce-phishing-kit

相关信息：

BlackForce 是一种复杂的网络钓鱼工具包，其攻击链包括多个阶段：受害者点击钓鱼链接后，会被导向攻击者控制的钓鱼页面；页面通过服务器端的 ISP/供应商黑名单过滤流量，阻止爬虫和扫描器；钓鱼页面设计得看起来像合法网站，诱使受害者输入凭据，这些凭据会被立即捕获并发送到攻击者的 C2 面板和 Telegram 频道；如果目标网站使用多因素认证（MFA），攻击者会通过 C2 面板部署假的 MFA 页面，诱使受害者输入 MFA 代码，从而绕过 MFA 过程并成功入侵账户。BlackForce 还使用了多种反分析技术，如客户端过滤器来识别非人类访客，并通过 sessionStorage 保持攻击的状态性，确保即使页面刷新或网络错误，也能保留被盗数据。C2 面板控制整个攻击过程，从识别访客到管理实时互动的钓鱼会话，以及攻击者用于管理攻击的行政功能。

披露时间：2025年12月10日

情报来源：https://www.bitdefender.com/en-us/blog/labs/fake-leonardo-dicaprio-movie-torrent-agent-tesla-powershell

相关信息：

攻击者利用假冒的莱昂纳多·迪卡普里奥电影《One Battle After Another》的种子文件，诱导用户下载包含恶意 PowerShell 脚本和伪装成字幕文件的攻击链。用户点击伪装成电影启动器的快捷方式后，触发一系列恶意脚本，这些脚本利用 Windows 系统工具（如 CMD、PowerShell 和任务计划程序）逐步解码和执行隐藏的有效载荷。攻击链包括多阶段脚本，用于解码嵌入的有效载荷、创建持久性任务、从伪装成图片的文件中提取数据等。最终，攻击者通过编译的可执行文件加载 Agent Tesla 木马，该木马完全在内存中运行，与 C2 服务器建立连接，使攻击者能够远程控制受感染的设备。这种攻击利用了用户对最新电影的兴趣，通过复杂的多层脚本和无文件执行技术来逃避检测，目标是将 Windows PC 转变为僵尸代理，用于进一步的恶意活动。

披露时间：2025年12月15日

情报来源：https://securelist.com/frogblight-banker/118440/

相关信息：

Frogblight 是一种新型 Android 银行木马，主要针对土耳其用户。它最初伪装成土耳其政府网页的法院文件查看应用，通过网络钓鱼短信传播，诱导用户下载安装。安装后，该恶意软件会请求发送和读取短信、读写设备存储等权限，然后通过 WebView 打开官方政府网页，提示用户登录查看法院文件。如果用户选择通过网上银行登录，Frogblight 会注入 JavaScript 代码，窃取用户输入的银行凭证并发送到 C2 服务器。此外，它还具备收集设备上的短信、应用列表和文件系统信息的间谍功能，并能发送任意短信。研究人员发现，Frogblight 在 9 月期间不断更新，增加了新功能，可能正在开发一个功能丰富的 Android 恶意软件，未来可能会通过恶意软件即服务（MaaS）模式分发。

披露时间：2025年12月17日

情报来源：https://blog.xlab.qianxin.com/kimwolf-botnet/

相关信息：

Kimwolf 是一个针对 Android 设备的僵尸网络，主要感染了智能电视和机顶盒等设备。该僵尸网络通过 NDK 编译，具备 DDoS 攻击、代理转发、反向 Shell 和文件管理等功能。其攻击流程包括利用 DNS over TLS 协议规避检测，以及通过椭圆曲线数字签名保护 C2 身份认证。Kimwolf 的 C2 域名曾一度成为 Cloudflare 域名流行度排名全球第一，显示出其庞大的感染规模。研究人员通过接管其中一个 C2 域名，观测到超过270万个不同的源 IP 地址，推测实际感染设备数量超过180万台。该僵尸网络的攻击能力极强，曾在一个短时间内下发了17亿条 DDoS 攻击指令。此外，Kimwolf 还与 Aisuru 僵尸网络存在关联，其背后的攻击者可能复用了 Aisuru 的代码，并进行了升级以增强隐蔽性。

披露时间：2025年12月15日

情报来源：https://research.checkpoint.com/2025/cracking-valleyrat-from-builder-secrets-to-kernel-rootkits/

相关信息：

Check Point Research 对 ValleyRAT（又名 Winos/Winos4.0） 进行了全面剖析，该恶意软件采用 模块化架构 + 插件系统，通过公开泄露的构建器（2025 年 3 月泄露） 和开发结构（Visual Studio 项目文件）实现快速传播，核心亮点是驱动插件（Driver Plugin）中嵌入的内核级 Rootkit，其利用过期但未吊销的证书可在全更新 Windows 11 系统加载，支持强制删除 AV/EDR 驱动、APC 注入 shellcode 等高级功能；近 6 个月检测样本占比达 85%，因构建器公开导致归属难以锁定，已从 Silver Fox APT 专属工具演变为开源恶意软件框架，对企业终端构成严重威胁。

披露时间：2025年12月10日

情报来源：https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

相关信息：

Wiz Research 在调查客户工作负载中的恶意软件感染时，意外发现了一个活跃的 Gogs 零日漏洞（CVE-2025-8110）。该漏洞利用了之前修复的 RCE 漏洞（CVE-2024-55947）的绕过手段，允许认证用户通过符号链接覆盖仓库外的文件，从而实现远程代码执行。研究人员在外部扫描中发现超过700个公开暴露的 Gogs 实例已被攻破，且截至2025年12月1日，该漏洞仍在被积极利用，但尚未有可用的补丁。Gogs 是一个流行的自托管 Git 服务，因其易于部署和资源占用少而受到开发者的欢迎。该漏洞的发现表明，Gogs 的符号链接处理存在反复被利用的问题。

披露时间：2025年12月13日

情报来源：https://thehackernews.com/2025/12/apple-issues-security-updates-after-two.html

相关信息：

苹果公司于12月13日发布安全更新，修复了其Safari浏览器核心引擎WebKit中两个已被在野利用的0day漏洞。这两个漏洞分别为释放后使用漏洞和内存破坏漏洞，攻击者通过构造恶意网页内容可诱发内存错误，最终实现远程代码执行。苹果指出，漏洞可能已在针对特定个体的高度复杂攻击中被利用。其中一个漏洞与谷歌在12月10日为Chrome浏览器修补的漏洞为同一个。由于iOS和iPadOS上所有浏览器均强制使用WebKit引擎，因此该漏洞影响范围覆盖整个苹果生态系统。苹果已为旗下全系列操作系统发布补丁，并建议所有用户立即更新。