EasterBunny:归因于 APT29 的高级间谍工具
披露时间:2026年5月6日
情报来源:https://lab52.io/blog/wp-content/uploads/2026/05/LAB52EasterBunny.pdf
相关信息:
EasterBunny是APT29组织高度定制化的模块化后门,采用多层嵌套加载器与位置无关代码,利用目标机器的BIOS UUID、MachineGuid等系统特征生成解密密钥,使样本仅能在指定主机上运行,有效对抗沙箱和逆向分析。通信流量伪装成Google广告的Cookie字段和JavaScript脚本,支持通过C2下发模块动态加载DCSync等凭证窃取功能,实现持久化情报收集与后门控制。
Kimsuky组织依托GitHub+Dropbox分发恶意载荷的攻击活动分析
披露时间:2026年5月13日
情报来源:https://mp.weixin.qq.com/s/Ibz3FeA7twg-VCujA3cV_g
相关信息:
Kimsuky组织通过伪装成访谈文档的LNK文件发起钓鱼攻击,利用PowerShell脚本从自身解密并打开诱饵文档以迷惑受害者,同时从Dropbox和GitHub下载多阶段VBS和PowerShell载荷,最终以反射加载方式执行AsyncRAT变种。该木马采用插件化架构,按需加载功能模块,收集主机信息后回传至C2服务器,攻击者通过GitHub仓库存储加密载荷和测试样本,实现持续化的隐蔽控制。
Lazarus Group 利用 Git 钩子隐藏恶意软件
披露时间:2026年5月6日
情报来源:https://opensourcemalware.com/blog/dprk-git-hooks-malware
相关信息:
Lazarus组织在其Contagious Interview/TaskJacker活动中,将恶意载荷的投放方式从以往利用VS Code的tasks.json或package.json postinstall脚本,转向隐藏在Git钩子中。攻击者通过伪造的加密货币或DeFi技术面试机会,诱导开发者克隆包含恶意pre-commit钩子的代码仓库,当候选人首次尝试提交代码时,钩子脚本自动执行,根据操作系统从precommit.vercel.app下载并运行对应的第二阶段载荷(最终投放InvisibleFerret或BeaverTail木马),用于窃取加密货币钱包和浏览器凭证。该手法利用了开发者对Git钩子等常规工具的信任,同时规避了微软对VS Code自动执行任务逐步加强的限制。
Paper Werewolf 使用新工具包针对俄罗斯工业、金融和运输组织
披露时间:2026年5月13日
情报来源:https://bi-zone.medium.com/tinker-tailor-soldier-paper-werewolfs-latest-toolkit-3a4bb578880e
相关信息:
Paper Werewolf组织在2026年3月至4月期间针对俄罗斯工业、金融和运输机构发起钓鱼攻击,使用包含恶意链接的PDF诱饵,通过Inno Setup安装器释放EchoGather远控木马和PDF诱饵文档。该组织还部署了自定义PaperGrabber窃取器,用于收集本地、网络和可移动驱动器中的文件,窃取浏览器凭证和Telegram数据,并采用JS、Python、C++等多阶段下载器与Mythic框架植入物进行隐蔽通信和载荷执行。
Gamaredon的感染链:伪造电子邮件、GammaDrop和GammaLoad
披露时间:2026年5月13日
情报来源:https://harfanglab.io/insidethelab/gamaredon-gammadrop-gammaload/
相关信息:
Gamaredon组织自2025年9月起利用CVE-2025-8088路径遍历漏洞,通过伪造或劫持的乌克兰政府邮箱发送鱼叉邮件,附件中的RAR压缩包将恶意VBScript释放到启动文件夹实现持久化。第一阶段GammaDrop从Cloudflare Workers获取GammaLoad(HTA),后者作为C2信标收集计算机名、卷序列号等信息,使用User-Agent嵌入受害标识并循环请求,若主C2无响应则回退至备用域名,最终可选择性下发下一阶段载荷。该活动截至2026 年 5 月仍处于活跃状态,高度针对乌克兰国家安全机构。
披露时间:2026年5月12日
情报来源:https://www.security.com/threat-intelligence/iran-seedworm-electronics
相关信息:
伊朗关联的APT组织Seedworm在2026年第一季度针对全球至少九个组织实施间谍活动,涉及韩国电子制造商、中东政府机构、东南亚工业制造、拉丁美洲金融等多个领域。攻击者利用合法签名的Fortemedia和SentinelOne二进制文件进行DLL侧载,通过Node.js脚本和PowerShell执行侦查、截图、SAM劫持、权限提升及SOCKS5隧道,并将窃取的数据通过公共文件传输服务sendit.sh外泄。
两项人工智能增强型威胁活动瞄准拉丁美洲政府和金融部门
披露时间:2026年5月11日
情报来源:https://www.trendmicro.com/en_us/research/26/e/vibe-hacking-two-ai-augmented-campaigns-target-government-and-financial-sectors-in-latin-america.html
相关信息:
两个拉丁美洲攻击活动SHADOW-AETHER-040和SHADOW-AETHER-064分别针对政府与金融机构,均利用AI代理辅助入侵。攻击者通过ProxyChains和SSH隧道建立流量通道,命令AI代理动态生成扫描、漏洞利用、凭据收集等工具和脚本,而非依赖预置黑客工具。前者使用西班牙语,部署了AI生成的Python后门implante_http;后者使用葡萄牙语,开发了SOCKTZ隧道工具。AI辅助攻击能够快速分析配置文件和日志,动态生成绕过传统检测的恶意代码,提升攻击效率。
富士康证实遭到Nitrogen勒索软件团伙的网络攻击
披露时间:2026年5月13日
情报来源:https://www.bleepingcomputer.com/news/security/electronics-giant-foxconn-confirms-cyberattack-on-north-american-factories/
相关信息:
2026 年 5 月 13 日,全球最大电子代工厂富士康确认其北美厂区遭Nitrogen 勒索软件团伙网络攻击,该团伙宣称窃取8TB 数据、超 1100 万份文档,涉及苹果、英特尔、谷歌、英伟达等客户机密资料;富士康已启动应急响应,受影响厂区正逐步恢复生产,这也是富士康近年第三次遭遇重大勒索软件攻击。
42个TanStack包遭供应链劫持:6分钟植入84个恶意版本
披露时间:2026年5月13日
情报来源:https://mp.weixin.qq.com/s/3VT15mDrwYQtJ4xgq_mB6w
相关信息:
攻击者利用GitHub Actions的pull_request_target工作流、缓存中毒及OIDC令牌内存提取技术,在6分钟内劫持TanStack的42个npm包发布管道,植入84个恶意版本。恶意载荷router_init.js窃取开发者凭证,并通过@tanstack/setup的prepare钩子实现持久化,同时部署gh-token-monitor守护进程,在检测到令牌撤销时执行rm -rf删除主目录。攻击归因于TeamPCP组织,影响波及React Router等周下载量超千万的核心包,并扩展至PyPI生态。
披露时间:2026年5月13日
情报来源:https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/
相关信息:
The Gentlemen勒索软件即服务运营的内部数据库遭泄露,曝光了管理员Zeta88(又称hastalamuerte)及至少8个关联分支机构的TOX ID。泄露的聊天记录揭示了该组织的操作流程:通过Fortinet和Cisco边缘设备、NTLM中继等初始访问,使用NetExec、RelayKing等工具集进行横向移动和权限提升,利用CVE-2024-55591、CVE-2025-32433等漏洞,结合EDR绕过和日志篡改技术,最终部署勒索软件。谈判中曾获19万美元赎金,并利用从英国软件咨询公司窃取的数据进一步攻击土耳其企业。
秘密活动6年的神秘黑客组织Mr_Rot13正在利用cPanel高危漏洞部署后门木马
披露时间:2026年5月11日
情报来源:https://blog.xlab.qianxin.com/mr_rot13-the-elusive-6-year-hacker-group-weaponizing-critical-cpanel-flaws-for-backdoor-deployment_cn/
相关信息:
一个名为Mr_Rot13的神秘黑客组织已秘密活动六年,近期利用cPanel高危漏洞CVE-2026-41940部署后门木马。该组织使用Go编写的Payload感染器修改系统密码、植入SSH公钥、PHP Webshell及Rot13编码的恶意JS脚本以窃取登录凭证,并部署跨平台远控Filemanager,同时将窃取的系统信息回传至C2服务器和Telegram群组。该组织基础设施自2020年起长期保持低检测率,至今仍未被完全揭露。
披露时间:2026年5月5日
情报来源:https://mp.weixin.qq.com/s/KBUCVEVLF-cMR4ePHBRw2w
相关信息:
攻击者替换某加密即时通讯软件的官方安装包,释放恶意组件并内存加载SNOWLIGHT下载者,最终运行魔改的nps隧道以建立隐蔽通道。该活动涉及Windows和Linux平台,利用SQL爆破、漏洞入侵、钓鱼LNK等方式分发载荷,并结合浏览器窃密、内网扫描、权限提升等工具,形成持续渗透能力。
黑客滥用谷歌广告和 Claude.ai 聊天功能推送 Mac 恶意软件
披露时间:2026年5月10日
情报来源:https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-claudeai-chats-to-push-mac-malware/
相关信息:
攻击者通过Google广告诱导用户访问真实的Claude.ai网站,但利用Claude平台共享聊天功能展示伪造的安装教程,诱骗macOS用户复制终端命令,下载并执行MacSync信息窃取变种。恶意脚本会检查俄语键盘布局以规避特定区域,否则窃取浏览器凭证、Keychain等敏感数据并外传。
恶意模仿 Anthropic 的 Claude 网站会导致后门植入
披露时间:2026年5月7日
情报来源:https://www.sophos.com/en-us/blog/donuts-and-beagles-fake-claude-site-spreads-backdoor
相关信息:
攻击者通过伪造的Claude AI网站claude-pro.com分发恶意MSI安装包,利用DLL侧载技术执行DonutLoader载荷,最终解密并加载此前未记录的后门Beagle。该后门支持文件操作、命令执行等基本功能,通信采用AES加密。相关样本复用相同XOR密钥,表明可能存在持续化或模仿行为。
披露时间:2026年5月11日
情报来源:https://origin-unit42.paloaltonetworks.com/active-directory-certificate-services-exploitation/
相关信息:
Active Directory Certificate Services因默认配置不当和证书模板权限设置过松,成为权限提升与身份伪造的高风险攻击面。攻击者利用低权限用户可申请高权限模板、允许请求者指定主体名称等错误配置,通过Certipy、Certify等工具枚举并请求伪造证书,结合PKINIT获取Kerberos票据实现权限提升;同时通过操纵msDS-KeyCredentialLink属性植入影子凭证,实现持久的无密码访问。
AI软件仿冒攻击再现,DeepSeek TUI成伪装诱饵
披露时间:2026年5月9日
情报来源:https://mp.weixin.qq.com/s/SPN25Z4cLCHu7bEhVYTSNQ
相关信息:
攻击者利用DeepSeekTUI开源项目的热度,在GitHub上创建仿冒仓库,通过Releases页面投递恶意安装包。恶意样本采用分层评分机制和鼠标移动检测等反沙箱技术,通过检测后执行PowerShell脚本关闭Windows Defender防御并开放入站端口,随后从Azure DevOps、Pastebin等平台下载多个二阶段组件。这些组件具备计划任务与注册表持久化、CLR内存加载.NET程序集、NT系统调用注入等能力,最终与C2通信。该活动与先前仿冒OpenClaw的攻击具有相同特征代码和基础设施重叠,表明存在一个持续利用AI热点话题投递恶意软件的攻击团伙。
披露时间:2026年5月13日
情报来源:https://mp.weixin.qq.com/s/2ErpPdqHXNjmqfCGROj2Cg
相关信息:
微软2026年5月补丁日共发布137个漏洞补丁,其中23个值得重点关注,包括14个紧急漏洞和9个重要漏洞,涉及Microsoft Word远程代码执行、Windows图形组件、Hyper-V权限提升、SharePoint Server、Netlogon、DNS客户端等产品。多个漏洞已被标记为已遭利用或更易被利用,建议用户尽快安装更新。
