HackerNews 编译，转载请注明出处： 美以联军对德黑兰发动联合先发制人空袭之际，一场复杂的网络心理战同步展开。 据《连线中东》报道，数百万伊朗民众与军人不仅被爆炸声惊醒，还收到来自遭入侵移动应用的未授权推送通知。 该事件标志着国家级网络战进入新阶段，将数字入侵与实体军事行动相结合。 军事打击期间遭劫持的祈祷应用 此次数字攻势的主要载体是 BadeSaba Calendar，一款在谷歌应用商店下载量超 500 万的热门祈祷时间应用。 《连线中东》指出，周六上午实体打击开始后不久，该应用通知系统即被劫持，用于投放心理战信息。 从当地时间上午 9:52 开始，用户收到大量标题为 “援助即将到来” 的推送通知。 提供给《连线中东》的截图显示，这些信息明确敦促伊朗军人放弃阵地、放下武器以换取赦免。 推送通知均以 “援助即将到来” 为标题，敦促伊朗军队投降（来源：Wired） 上午 10:02 的后续通知警告称 “镇压势力将为其残忍无情的行为付出代价”；10:14 的信息则呼吁军队加入 “解放运动”，建立自由伊朗。 尽管确切恶意软件或利用技术尚未确认，《连线中东》援引网络安全专家分析称，这是一场高度协同的国家级行动，而非普通网络犯罪攻击。 BeyondTrust 首席安全顾问 Morey Haber 向该媒体表示，如此规模的攻击需要提前周密策划。 攻击者很可能早已入侵应用后端基础设施，将通知设为触发式载荷，与实体空袭精准同步。 目前攻击归属尚未确认，尚无黑客组织或国家实体官方宣称对此次入侵负责。 Miaan 集团数字权利研究员 Narges Keshavarznia 向《连线中东》表示，目前判断行动由以色列情报机构还是伊朗反政府黑客组织实施仍为时过早。 全国范围严重网络中断 应用遭入侵的同时，伊朗发生严重网络中断。《连线中东》记录显示，这是该国在国家危机期间常用的防御或管控手段。 报告援引网络监测工具 NetBlocks 数据称，伊朗全国网络流量暴跌至正常水平的 4%。   伊朗本土云服务商 ArvanCloud 数据显示，主要数据中心与国内节点均失去国际连通性。 此外，《连线中东》报道称，包括 IRNA、ISNA 在内的伊朗官方通讯社疑似遭协同网络攻击而下线。 数字权利倡导者警告称，通信中断严重影响移动数据、宽带与 VPN 使用，导致信息隔绝，民众无法记录事件或寻求帮助。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Shadowserver Foundation 披露，自 2025 年 12 月起，针对命令注入漏洞的攻击活动中，已有超过 900 个 Sangoma FreePBX 实例持续被植入 Web Shell。 其中 401 个实例位于美国，其次为巴西 51 个、加拿大 43 个、德国 40 个、法国 36 个。 该非营利机构表示，此次入侵大概率通过利用 CVE-2025-64328（CVSS 评分：8.6）实现，这是一个可导致认证后命令注入的高危安全漏洞。 FreePBX 在 2025 年 11 月的漏洞公告中表示：“该漏洞的影响在于，任何能够访问 FreePBX 管理面板的用户都可利用此漏洞在底层主机上执行任意 Shell 命令。攻击者可利用该漏洞以 asterisk 用户身份获取系统远程访问权限。” 该漏洞影响版本号大于等于 17.0.2.36 的 FreePBX。该漏洞已在 17.0.3 版本中修复。 建议增加安全控制以确保仅授权用户可访问 FreePBX 管理控制面板（ACP），限制来自恶意网络对 ACP 的访问，并将 filestore 模块更新至最新版本。 该漏洞随后在野外遭到积极利用，促使美国网络安全与基础设施安全局（CISA）于本月早些时候将其加入已知被利用漏洞（KEV）目录。 来源：The Shadowserver Foundation 在上月末发布的报告中，Fortinet FortiGuard Labs 披露，代号为 INJ3CTOR3 的网络诈骗行动背后的威胁组织从 2025 年 12 月初开始利用 CVE-2025-64328 投放代号为 EncystPHP 的 Web Shell。 该网络安全公司指出：“通过利用 Elastix 和 FreePBX 管理上下文，该 Web Shell 以提升权限运行，可在受攻陷主机上执行任意命令，并通过 PBX 环境发起外呼行为。” 建议 FreePBX 用户尽快将部署版本更新至最新，以应对活跃威胁。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现了一个旨在模仿 Stripe 官方 .NET 库的恶意 NuGet 包，这标志着攻击战术从早前以加密货币为重点的活动转向更广泛的金融领域。 该包名为 StripeApi.Net，仿冒了 Stripe.net，后者是用于将 Stripe 支付集成到 Microsoft .NET 应用程序中的合法辅助库。 Stripe.net 下载量超过 7400 万次，被构建支付、账单和订阅系统的开发者广泛使用。这使得该恶意包尤为危险。 拼写仿冒活动针对开发者 ReversingLabs 在一份新通告中表示，威胁行为者并未试图入侵 Stripe 官方包，而是使用拼写仿冒手段，发布名称相似的包以诱骗开发者安装。 该伪造页面与正版 NuGet 页面高度相似。它使用了相同的图标、几乎一致的文档和匹配的标签。 发布者名称 “StripePayments” 的选择是为了显得可信，尽管该账户保留了 NuGet 默认头像，而非 Stripe 的标志。 研究人员表示，该恶意包显示下载量超过 18 万次。但他们同时指出，该数据似乎是人为夸大的。 威胁行为者并未让少量版本累积大量下载量，而是在 506 个版本中每个版本分布约 300 次下载，以营造使用量稳定的假象。 隐藏代码窃取 API 密钥 深入检查显示，该包大部分为合法的 Stripe 代码，但存在细微修改。关键方法被篡改，会在 StripeClient 类初始化时捕获 API 令牌。 被盗的 API 密钥和机器标识符一旦获取，便会被传输至攻击者控制的 Supabase 数据库。Supabase 提供托管式 PostgreSQL 服务，便于作为数据收集基础设施使用。 尽管下载量被夸大，但 ReversingLabs 表示，不太可能有开发者受到入侵。该包于 2 月 16 日发布后不久，该公司便进行了举报，NuGet 管理员在收到通知后随即移除了该包。对相关 Supabase 数据库的检查发现，其中并无被盗令牌，仅有一条测试记录。 ReversingLabs 警告称，该事件凸显了现代软件开发中长期存在的第三方风险。 该团队警告：“此类活动的频率不断上升，要求开发者转变思维方式。”“正如近期 Shai-hulud npm 恶意软件爆发事件所显示的，合法包可能会被入侵，并将恶意代码引入合法的开发流程。” 消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 五眼情报联盟的网络安全机构于周三紧急警告称，“一名高级威胁行为者” 正在主动利用思科网络设备中的新漏洞，敦促各机构检查其系统是否已遭入侵。 美国网络安全与基础设施安全局（CISA）发布紧急指令，警告 “网络威胁行为者正在持续利用 Cisco SD-WAN 系统”，称该活动对联邦民用行政部门网络构成重大风险。 警报中提及的漏洞包括 CVE-2026-20127 和 CVE-2022-20775，这两个漏洞已被证实在现实环境中被利用。CISA 表示，经评估，当前情况 “对联邦机构构成不可接受的风险，必须采取紧急行动”。 英国国家网络安全中心（NCSC）也表示，“恶意网络威胁行为者正在针对全球各类机构使用的 Cisco Catalyst 软件定义广域网（SD-WAN）”，强调该活动并非仅限于美国。 NCSC 首席技术官 Ollie Whitehouse 表示，使用受影响思科产品的机构 “应立即排查自身网络是否面临入侵风险”，并开始查找已遭入侵的证据。 思科官方通告警告称，其产品中的 “多个漏洞” 可能 “允许攻击者访问受影响系统、将权限提升至 root、获取敏感信息并覆盖任意文件”。该公司强调，这些漏洞 “相互独立”，利用其中一个漏洞并不需要先利用另一个漏洞。 作为联合警报的一部分，澳大利亚信号局（该国网络与信号情报机构）发布了一份技术 “排查指南”，帮助机构判断黑客是否已进入其系统。 根据该指南，至少有一名恶意网络行为者自 2023 年起就一直在利用一个零日漏洞入侵 Cisco SD-WAN 环境，该漏洞于去年年底被发现并已修复。 文件称：“该漏洞允许恶意网络行为者创建一个恶意节点，加入机构 SD-WAN 的网络管理平面或控制平面。”“该恶意设备会以一个全新但临时的、由攻击者控制的 SD-WAN 组件形式出现，能够在管理和控制平面内执行受信任的操作。” 排查指南描述了获得此类权限的攻击者如何实现长期持久化控制，包括获取 root 权限并采取规避检测的措施，例如干扰日志记录与其他监控行为。 各机构尚未公开认定此次活动背后的威胁组织。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zyxel 修复了多款路由器中的一处高危漏洞，该漏洞可使未认证攻击者在受影响设备上远程执行命令。 Zyxel 修复了编号为 CVE-2025-13942（CVSS 评分 9.8）的高危远程代码执行漏洞，该漏洞影响十余款路由器型号。 多款 Zyxel  CPE、光纤 ONT 及无线扩展器的 UPnP 功能存在命令注入漏洞，攻击者可通过构造的 UPnP 请求执行操作系统命令。 远程利用该漏洞需要同时开启 WAN 访问和存在漏洞的 UPnP 功能，而 WAN 访问在默认状态下是关闭的。 厂商发布的通告中写道：“部分 4G LTE/5G NR CPE、DSL / 以太网 CPE、光纤 ONT 及无线扩展器固件版本的 UPnP 功能存在命令注入漏洞，远程攻击者可通过发送特制的 UPnP SOAP 请求在受影响设备上执行操作系统命令。” “需要注意的是，这些设备的 WAN 访问默认为关闭状态，仅当 WAN 访问和存在漏洞的 UPnP 功能均被开启时，才能远程实施攻击。” CVE-2026-1459 影响多款 Zyxel DSL / 以太网 CPE 路由器型号，包括运行指定固件版本及更早版本的 DX5401-B1、EMG3525-T50B、EMG5523-T50B、VMG3625-T50B/C 和 VMG8623-T50B。 Zyxel 计划于 2026 年 3 月为所有受影响型号发布补丁固件。 该中国台湾厂商还修复了影响多款合勤 CPE、光纤 ONT、安全路由器及无线扩展器的其他漏洞。 CVE-2025-11847 和 CVE-2025-11848 是 IP 设置与网络唤醒 CGI 组件中的空指针解引用漏洞，已认证管理员可通过构造的 HTTP 请求触发拒绝服务。 CVE-2025-13943 和 CVE-2026-1459 是日志下载与 TR-369 证书功能中的认证后命令注入漏洞，可实现操作系统命令执行。 所有这些漏洞的 WAN 访问均默认为关闭状态，成功利用需要已泄露的管理员凭据。 普渡大学研究人员 Tiantai Zhang 披露了 CVE-2025-11845、CVE-2025-11846、CVE-2025-11847 和 CVE-2025-11848 漏洞。 Víctor Fresco 报告了 CVE-2025-13942 和 CVE-2025-13943 漏洞，Watchful IP 披露了 CVE-2026-1459 漏洞。 官方敦促用户立即更新受影响路由器，以防被漏洞利用。   消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现，今年早些时候，一个俄语系威胁行为者利用商用生成式人工智能工具，入侵了全球 55 个国家的 600 多台 Fortinet FortiGate 防火墙设备。 亚马逊威胁情报团队在周五发布的报告中表示，此次攻击活动发生在 1 月中旬至 2 月中旬，利用的是薄弱的安全配置，而非高级技术漏洞。 这些黑客高度依赖多种商用 AI 服务生成攻击计划、自动化脚本并管理行动，使得研究人员口中的 “中低技术水平攻击者” 实现了以往只有大型、更复杂组织才能达到的攻击规模。 报告称：“商用 AI 服务能够降低网络攻击能力的技术准入门槛。”亚马逊未说明此次行动中使用了哪些 AI 工具。 研究人员表示，此次攻击背后的行为者似乎以牟利为目的，目前未知其与任何国家级黑客组织有关联。该行动属于机会主义攻击，并非针对特定行业，而是依靠自动化大规模扫描寻找存在漏洞的系统。受入侵设备分布在多个地区，包括南亚、拉丁美洲、加勒比地区、西非、北欧和东南亚。 亚马逊发现了大量俄语文档，其中包含 AI 生成的攻击计划、操作清单和定制代码，这些代码可将攻击行动的几乎所有阶段自动化，从最初的网络扫描到入侵后的信息上报。 攻击目标为 FortiGate 防火墙，这是广泛使用的安全设备，用于帮助机构管理网络流量和远程访问。 亚马逊表示，这些入侵并未利用新发现的漏洞。相反，攻击者定位的是存在暴露管理入口和弱身份认证的设备。 攻击者获取权限后，窃取了完整的设备配置，其中包含密码和网络架构详情。他们利用这些信息进一步深入内部系统。在部分案例中，攻击者获取了机构的 Active Directory 环境访问权限，并将目标对准备份系统，研究人员称这一行为可能是在为后续勒索软件攻击做准备。 研究人员还分析了从该攻击者基础设施中获取的定制工具，包括凭证提取、VPN 自动化和大规模扫描脚本。代码呈现出明显的 AI 辅助生成特征：在标准环境下可正常运行，但在异常场景中频繁失效。 报告指出：“该威胁行为者一旦尝试超出简单自动化攻击路径之外的操作，大多会失败。”报告提到，已打补丁的系统或基础防御措施多次迫使该组织放弃攻击行动。在某些情况下，攻击者自己的文档也承认目标防护过强，无法利用。 亚马逊表示，自身的云基础设施未卷入这些攻击。 研究人员警告称，此类攻击活动的数量可能会继续上升。他们补充道：“机构应做好准备，无论是高水平还是低水平攻击者，其利用 AI 增强的威胁活动都将持续增多。” 研究人员此前已发出警告，人工智能正在重塑网络攻击的实施方式。 谷歌在 11 月表示，国家级支持的黑客组织正在试验能够在执行过程中使用大语言模型的恶意软件，使恶意代码可以实时自适应调整，并有可能规避检测。 近期有研究人员报告称，与朝鲜、伊朗相关的高水平攻击者正在使用谷歌的 Gemini AI 系统提升攻击行动效率、优化恶意软件开发并收集目标情报。     消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 操作中继盒（ORB）网络已成为威胁行为者用于躲避全球安全团队追踪、掩盖网络攻击的最高级工具之一。 这类隐蔽的网状网络由被攻陷的物联网设备、SOHO（小型办公 / 家庭办公）路由器与虚拟专用服务器组成，协同运作以掩盖恶意活动的真实来源。 ORB 网络通过多个中继节点转发攻击流量，使防护方极难追溯恶意活动源头，给网络安全专业人员带来重大挑战。 2026 年 2 月新加坡网络安全局披露，国家级背景组织 UNC3886 针对该国四大电信运营商 M1、SIMBA Telecom、Singtel、StarHub 发起定向攻击，该威胁由此引发高度关注。 攻击者利用边界防火墙中的零日漏洞，部署高级 rootkit 工具规避检测系统，并维持对关键基础设施的持久访问权限。 Team Cymru 研究人员证实，ORB 网络为攻击者提供了传统手段无法比拟的多项战略优势。 这类网络如同私人住宅代理服务，可让恶意流量与家庭及企业宽带的合法用户流量无缝混杂。 这使得封堵操作风险极高，防护方在试图拦截攻击时，可能会意外中断正常服务。 攻击基础设施与前置部署策略 ORB 网络的抗打击能力源于其分布式架构与动态组成特性。攻击者可通过增减被攻陷设备快速扩容网络，使其极难被彻底关停。 安全团队发现并封堵一个节点后，威胁行为者只需替换为新节点，即可保证攻击活动持续进行，不受重大影响。 ORB 网络的极高危险性在于，攻击者会在实际攻击发起数月前就完成节点前置部署。 攻击者提前搭建这类中继基础设施，可在保障操作安全的前提下，开展侦察与目标边界探测。 攻击者通过地理上靠近目标的节点转发流量，绕过地理围栏管控，使其行为在安全监控系统中更显合法。 安全专家建议机构部署主动威胁狩猎、行为分析与零信任安全模型，抵御这类高级网络攻击。定期更新路由器、监控网络流量、接入高级威胁情报仍是核心防护措施。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰巨头电信运营商 Odido 电信于 2026 年 2 月 12 日证实，公司遭遇重大网络攻击，黑客窃取了 620 万客户账户的个人数据。 该数据泄露事件于 2 月 7 日至 8 日周末被发现，尽管未造成业务中断，但已引发钓鱼攻击风险预警。 黑客渗透进入 Odido 的客户关系管理系统，在公司阻断未授权访问前下载了敏感信息。 公司发言人向荷兰新闻网站 NU.nl 与 NOS 表示，攻击者主动联系 Odido，声称掌握数百万条客户记录。目前暂无勒索软件组织宣称对此负责，截至 2 月 12 日，被盗数据未出现在公开网络或暗网中。 此次事件波及 Odido 大量客户，该公司为个人及企业用户提供移动、互联网与电视服务。 由安宏资本与华平投资控股的 Odido 强调，核心业务未受影响，客户可正常通话、上网与流媒体播放。 Odido 电信遭网络攻击 泄露信息包括客户全名、地址、手机号、客户编号、邮箱地址、国际银行账户号码（IBAN）、出生日期，以及护照、驾照等政府身份证件号码。关键的是，“我的 Odido” 门户密码、通话记录、定位数据、账单详情及身份证件扫描件未遭泄露。 Odido 将在 48 小时内通过 info@mail.odido.nl 邮箱或短信通知受影响客户，说明具体受影响情况。公司已按照欧盟法规要求，向荷兰数据保护局（AP）上报此次数据泄露事件。 Odido 已迅速聘请外部网络安全专家强化防御体系、提升监控能力并加强员工安全意识。公司首席执行官 Søren Abildgaard 表示：“我们对此次事件深表遗憾，将全力降低事件影响，为客户提供一切必要支持。” 公司已开设专属页面，发布事件进展、常见问题解答与自我防护建议。 此次泄露凸显电信行业安全漏洞，攻击者利用了客户联系数据库的防护短板。Odido 保证，事件发生后黑客未获取私人通讯录信息，也未进行定位追踪。 网络犯罪分子可能利用被盗数据实施冒充诈骗、伪造账单，或冒充 Odido、银行等机构发起钓鱼攻击。客户需谨慎甄别非邀约来电、邮件与短信，核查发件人域名、文字错误，或通过官方渠道核实号码。 防护建议 绝不泄露密码 / 个人识别码，独立核实来电人身份，仅通过 “我的 Odido” 平台核对账单。并非所有数据泄露都会导致信息滥用，但在攻击事件频发的背景下，保持警惕至关重要。 Odido 承诺将采取更严格措施防范类似事件，但专家指出，620 万条数据的泄露规模会大幅提升身份盗窃风险。建议客户持续关注 Odido 官网更新的常见问题解答与事件进展。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全领域出现了两种复杂的勒索软件家族：BQTLock 和 GREENBLOOD。它们采用截然不同的策略来破坏企业运营并勒索受害者。 虽然典型的勒索软件攻击通常遵循可预测的模式，即立即加密，但这些新型勒索软件展现了策略上的危险演变。 BQTLock 优先考虑隐蔽性和间谍活动，在文件被锁定之前，就能有效地将初始感染转化为数据泄露风险。 相反，GREENBLOOD 的设计目标是极致速度，它利用 Go 编程语言在执行后几分钟内即可加密系统并删除取证证据。 这些威胁的攻击途径在操作目标上存在显著差异。 BQTLock 在早期阶段的运行方式很像一个隐蔽的监视工具，它会将自身深度嵌入到合法的系统进程中，以避免触发安全警报。 这使得攻击者能够长期保持访问权限并窃取敏感信息而不被立即发现。 相比之下，GREENBLOOD 采用“突袭式”攻击策略，利用快速的 ChaCha8 加密技术瞬间瘫痪网络，同时通过基于 TOR 的泄露站点施加压力。 这种双重性给防御者带来了复杂的挑战，他们现在必须同时应对缓慢的间谍活动和高速的破坏。 Any.Run 分析师在最近的沙箱测试中发现了这些不同的行为，并指出有效的遏制措施需要在加密发生之前发现攻击。 借助 ANY.RUN 交互式沙箱，分析师能够实时观察完整的攻击行为链。查看 BQTLock 的完整执行链 BQTLock 攻击在沙箱中完全暴露（来源：Any.Run） 在 ANY.RUN 交互式沙箱中，勒索软件的行为和清理活动在执行过程中即可被观察到，从而能够在攻击最关键的阶段进行早期检测。 他们的研究强调，早期行为指标（例如意外的进程注入或快速的文件修改）通常是造成重大损害之前唯一可用的预警信号。查看 GREENBLOOD 的完整攻击链。 GREENBLOOD 在沙箱中暴露（来源：Any.Run） 通过在受控环境中观察这些攻击链，安全团队可以从被动恢复转向主动遏制，在威胁站稳脚跟之前将其阻止。 BQTLock 的规避和持久化机制 BQTLock 的独特之处在于其高度技术化的感染链，旨在绕过标准防御。恶意软件执行后不会立即勒索设备。 相反，它会将 Remcos 有效载荷直接注入到 Windows 核心进程 explorer.exe 中。 这种技术使恶意代码能够伪装成合法的系统活动，有效地绕过信任标准操作系统进程的传统防病毒工具。 通过这种隐蔽的方式，攻击者可以在网络中自由穿梭并提升权限而不引起注意。 为了确保对受感染机器的控制权，BQTLock 使用 fodhelper.exe 绕过用户帐户控制 (UAC)。 这种特殊操作会在未经用户许可的情况下授予恶意软件更高的管理员权限。 权限提升后，它会建立自动运行持久性，确保恶意访问在系统重启后仍然存在。 这种牢固的访问权限使攻击者能够进入第二阶段：窃取凭据并捕获屏幕截图，从而最大限度地提高勒索的筹码。 BQTLock 窃取凭据（来源：Any.Run） 建议安全专业人员关注行为监控，而不仅仅是静态文件签名。 检测 explorer.exe 和 fodhelper.exe 之间的特定交互可以作为针对此恶意软件的高保真警报。 入侵指标 (IOC)（来源：Any.Run） 此外，各组织应确保其威胁情报源已更新，以便识别与这些新型恶意软件家族相关的独特命令行参数和基础架构，从而防止重复感染。   消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 印度国防领域及政府关联机构遭多轮攻击活动盯上，攻击者通过远程访问木马攻陷 Windows 与 Linux 环境，窃取敏感数据并维持对受感染主机的持久控制。 此类攻击活动以使用 Geta RAT、Ares RAT、DeskRAT 等恶意软件家族为特征，这些工具通常关联亲巴基斯坦的威胁组织 SideCopy 与 APT36（又称透明部落）。SideCopy 至少自 2019 年起活跃，据评估为透明部落的分支组织。 Aryaka 公司安全工程与人工智能战略副总裁 Aditya K. Sood 表示：“整体来看，这些攻击延续了惯用模式但持续迭代升级。” “透明部落与 SideCopy 并非重构间谍攻击模式，而是对其不断优化。” “通过扩大跨平台覆盖范围、采用内存驻留技术、尝试新型投放向量，该攻击体系在保持战略目标的同时，始终隐蔽作案。” 所有攻击活动的共性是使用钓鱼邮件，搭载恶意附件或内嵌下载链接，将目标导向攻击者控制的基础设施。这类初始入侵载体为 Windows 快捷方式（LNK）、ELF 二进制文件、PowerPoint 插件文件，一旦被打开，便会启动多级流程释放木马。 上述恶意软件家族可实现持久远程控制、系统侦察、数据收集、指令执行，支持在 Windows 与 Linux 环境中开展长期入侵后操作。 其中一条攻击链如下：恶意 LNK 文件调用 mshta.exe，执行托管在被攻陷合法域名上的 HTML 应用（HTA）文件。该 HTA 载荷内嵌 JavaScript 用于解密嵌入的 DLL 载荷，DLL 进一步处理内嵌数据块，将诱饵 PDF 写入磁盘，连接硬编码的命令与控制（C2）服务器，并展示该诱饵文件。 诱饵文档展示后，恶意软件会检测已安装的安全产品，调整持久化方式，随后在受感染主机部署 Geta RAT。值得注意的是，该攻击链由 CYFIRMA 与 Seqrite 实验室研究员 Sathwik Ram Prakki 于 2025 年 12 月下旬详细披露。 Geta RAT 支持多项指令，可采集系统信息、枚举运行进程、终止指定进程、列出已安装应用、窃取凭据、获取并替换剪贴板内容、截屏、执行文件操作、运行任意 Shell 指令、窃取外接 USB 设备数据。 与针对 Windows 的攻击同步开展的还有 Linux 版本攻击，攻击者以 Go 语言二进制文件为起点，通过从外部服务器下载的 Shell 脚本释放基于 Python 的 Ares RAT。与 Geta RAT 类似，Ares RAT 可执行多项指令窃取敏感数据，运行攻击者下发的 Python 脚本或指令。 Aryaka 公司表示，还监测到另一起攻击活动：攻击者通过恶意 PowerPoint 插件文件投放 Go 语言编写的 DeskRAT，插件运行内嵌宏代码与远程服务器建立外连，下载恶意软件。2025 年 10 月，Sekoia 与奇安信威胁研究中心已披露 APT36 使用 DeskRAT 的相关情况。 “这些攻击表明，具备充足资源、以间谍活动为目的的威胁组织，通过国防主题诱饵、伪造官方文件、区域可信基础设施，精准靶向印度国防、政府及战略部门。” “攻击范围已超出国防领域，蔓延至政策、科研、关键基础设施及同一可信生态内的国防关联机构。” “同步部署 DeskRAT、Geta RAT 与 Ares RAT，凸显出攻击者的武器库持续迭代，专为隐蔽性、持久化与长期控制优化。”     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文