HackerNews 编译，转载请注明出处：

网络安全公司Arctic Wolf周一披露，去年一场针对巴基斯坦、孟加拉国和斯里兰卡政府机构及关键基础设施运营商的间谍活动，被归因于一个名为"SloppyLemming"的印度关联威胁组织。这是Cloudflare 2024年9月所识别威胁活动的扩展。

该活动自2025年1月起持续一年，采用两种攻击方式：一是投递含BurrowShell恶意软件的PDF文件——该后门程序可截屏并操控文件系统；二是发送携带具备键盘记录与侦察功能恶意软件的Excel文档。

研究人员指出，该组织技术能力中等：多阶段执行链显示其掌握防御规避技术并熟悉Windows内部机制，但开放目录暴露等运营安全漏洞表明其手法不及更严谨的对手。这与组织名称中的"Sloppy（ sloppy 意为 sloppy/ sloppy ）"相符，指其历史上不稳定的运营安全。

攻击者使用去年注册的112个Cloudflare域名托管恶意软件，域名采用巴基斯坦和孟加拉国政府主题名称以诱骗受害者。

事件响应人员确认，活动目标包括巴基斯坦核监管局等核监管机构、国防后勤组织及电信基础设施，以及孟加拉国能源公用事业和金融机构。巴基斯坦海军、国家后勤公司、DESCON电力公司、孟加拉国电网公司，以及特殊通信组织和巴基斯坦电信公司均在目标之列。

研究人员称，SloppyLemming自2021年起持续实施网络间谍攻击，其目标与印度政府利益一致。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

某网络犯罪论坛上，攻击者声称已攻破位于印度喜马偕尔邦的官方汽车经销商——曼迪大众汽车门店，其客户数据据称正被公开售卖。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

据报道，印度电信部已要求各大移动设备厂商在 90 天内，为所有新款手机预装一款名为Sanchar Saathi的政府官方 cybersecurity 应用。

路透社消息显示，这款应用无法从用户设备中卸载或停用。

“通信伙伴” 应用支持网页端登录，也推出了适配安卓和苹果系统的移动端版本。该应用能让用户通过电话、短信或瓦次普软件举报疑似诈骗行为、垃圾信息及恶意网络链接，还可帮助用户锁定被盗手机，同时允许移动通讯用户查询以本人身份办理的手机号数量。

其核心功能之一是支持举报以印度国家区号（即 + 91）拨打进来的国际诈骗电话。

印度政府在官网中表示：“这类国际来电是境外非法电信机构通过互联网接入后，伪装成国内来电拨打给印度民众的。举报此类来电有助于政府打击非法电信交换机相关违法活动，这类设备不仅给国家财政造成了经济损失，也对国家安全构成了威胁。”

该应用的安卓与苹果版本累计安装量已超 1140 万次，其中安装量最多的地区集中在印度的安得拉邦和马哈拉施特拉邦。自 2023 年 5 月推出以来，该应用相关服务已锁定 420 多万台被盗设备，追踪到其中 260 万台的位置，并成功追回约 72.3638 万台设备。

路透社指出，印度电信部于 2025 年 11 月 28 日发布的这一指令还要求厂商通过软件更新，为已进入供应链的库存手机预装该应用。印度方面称，这款应用对应对电信领域的各类安全威胁至关重要，比如可防范被篡改的国际移动设备识别码，这类篡改行为常被用于实施诈骗和违规使用网络。

印度这一举措使其加入了俄罗斯等国家的行列。俄罗斯已于 2025 年 9 月 1 日起强制要求，该国销售的所有智能手机、平板电脑、电脑及智能电视均需预装本土研发的即时通讯应用 “麦克斯”（MAX）。有批评人士称这款应用存在用户追踪功能，但俄罗斯官方媒体已驳斥此类指控，称其毫无根据。

此后，俄罗斯当局宣布对Telegram和瓦次普两款即时通讯软件的语音通话及视频通话功能实施部分限制，以此打击各类犯罪活动。俄罗斯联邦通信、信息技术和大众传媒监督局还发出警告，若瓦次普平台拒不遵守俄罗斯相关法律规定，将对其采取全面封禁措施。

该监管机构表示，瓦次普平台已被不法分子用于组织策划恐怖活动、招募作案人员，同时还成为实施诈骗及其他针对俄罗斯公民的犯罪活动的工具。

据独立网络监控项目Na Svyazi的数据显示，截至 2025 年 10 月底，俄罗斯约 40% 的地区已对电报和瓦次普软件采取访问限制措施。俄罗斯联邦通信、信息技术和大众传媒监督局对此解释称，实施限制是因为这些平台上存在诈骗、敲诈勒索等违法活动，且有不法分子利用平台诱骗俄罗斯公民参与破坏活动和恐怖主义活动。

...

HackerNews 编译，转载请注明出处：

塔塔咨询服务公司（TCS）近日否认因英国零售商玛莎百货（M&S）遭受网络攻击而丢失其服务台合同。

10月26日，英国《每日电讯报》报道称，玛莎百货已"抛弃"与TCS的服务台合同，原因是这家印度IT外包巨头被指控应对2025年4月袭击该零售商的严重网络攻击负责。

在同日向多家印度证券交易所提交的监管申报文件中，TCS称该报道"存在误导性"并指出其"事实性错误"。

TCS在声明中表示，虽然玛莎百货确实曾考虑通过2025年1月启动的建议邀请书（RFP）流程与TCS签订服务台合同，但该零售商最终选择了其他供应商。TCS强调，这一决定"远在2025年4月网络事件发生之前"，因此"这些事项明显无关"。

据知情人士向《金融时报》透露，TCS在2025年1月前确实为玛莎百货提供过服务台服务，但该英国零售商在RFP流程后决定选择其他供应商。

TCS特别指出，除服务台外，公司与玛莎百货还保持着多种其他形式的合作与合同，其中许多仍在持续进行。

...

HackerNews 编译，转载请注明出处：

一个与巴基斯坦有关联的威胁行为体被发现针对印度政府实体发起鱼叉式网络钓鱼攻击，旨在投递一种基于Golang的恶意软件，名为DeskRAT。

Sekoia在2025年8月和9月观测到此次活动，并将其归因于Transparent Tribe（又名APT36），这是一个至少自2013年以来就活跃的由国家资助的黑客组织。此次攻击也建立在CYFIRMA于2025年8月披露的先前活动之上。

攻击链涉及发送包含ZIP文件附件的网络钓鱼邮件，或者在某些情况下，发送指向托管在Google Drive等合法云服务上的存档文件的链接。ZIP文件中包含一个恶意的Desktop文件，该文件嵌入了使用Mozilla Firefox显示诱饵PDF（"CDS_Directive_Armed_Forces.pdf"）的命令，同时执行主有效载荷。

这两个组件都从一个名为"modgovindia[.]com"的外部服务器拉取并执行。与之前一样，该活动旨在针对BOSS Linux系统，其远程访问木马能够使用WebSocket建立命令与控制。

该恶意软件支持四种不同的持久化方法，包括创建systemd服务、设置cron作业、将恶意软件添加到Linux自动启动目录以及配置.bashrc通过写入特定目录的shell脚本启动木马。

DeskRAT支持五种不同的命令：

...

HackerNews 编译，转载请注明出处：

知名高级持续性威胁（APT）组织“透明部落”（Transparent Tribe）近期被发现使用恶意桌面快捷方式文件，针对印度政府实体的Windows和BOSS Linux系统发动攻击。

...

HackerNews 编译，转载请注明出处：

打开银行应用时，您可能不会想到恶意软件。您关注的是余额、交易记录和房租。

...