威胁情报中心 2025-09-19 09:39 北京

绘制 MuddyWater 基础设施和恶意软件生态系统图；APT28 组织 Phantom Net Voxel 行动揭秘；深入分析“伪猎者”组织Github仓库加密载荷；Kimsuky组织利用生成式AI“ChatGPT”发起APT攻击

2025.02.14~02.20

攻击团伙情报

绘制 MuddyWater 基础设施和恶意软件生态系统图
APT28 组织 Phantom Net Voxel 行动揭秘
深入分析“伪猎者”组织Github仓库加密载荷
Kimsuky组织利用生成式AI“ChatGPT”发起APT攻击
Sidewinder 利用尼泊尔抗议活动分发恶意软件
APT-C-24（响尾蛇）近期使用LNK文件钓鱼攻击活动分析

攻击行动或事件情报

CrowdStrike npm软件包遭遇供应链攻击
RevengeHotels 利用 LLM 和 VenomRAT 发起的新一波攻击
银狐寄生政府网站大肆传播
ShinyHunters 攻击越南金融系统
“WhiteCobra” 加密货币窃取扩展程序充斥 VSCode 市场
研究人员发现新的勒索软件组织 Yurei

恶意代码情报

Shai-hulud 蠕虫在 npm 上传播窃取令牌的恶意软件
揭秘11.5T级超大规模僵尸网络AISURU
研究人员发现 SmokeLoader 新变种
新型 HybridPetya 勒索软件可绕过 UEFI 安全启动

漏洞情报

苹果发布 iOS 26 和 macOS Tahoe 26，修复超过 50 个漏洞
Google Chrome V8 类型混淆漏洞(CVE-2025-10585)安全风险通告

攻击团伙情报

01

绘制 MuddyWater 基础设施和恶意软件生态系统图

披露时间：2025年9月17日

情报来源：https://www.group-ib.com/blog/muddywater-infrastructure-malware/

相关信息：

研究人员发现MuddyWater在2025年减少了对远程监控和管理（RMM）工具的依赖，转而采用更有针对性的鱼叉式网络钓鱼和定制后门（如Phoenix和StealthCache）。他们继续使用恶意文档和PowerShell脚本进行初始访问，并利用亚马逊网络服务（AWS）和Cloudflare等云服务来隐藏其基础设施。文章还详细介绍了MuddyWater使用的多种恶意软件，包括BugSleep、Fooder和Phoenix，并分析了其网络基础设施和运营安全实践。尽管MuddyWater在不断改进其工具和基础设施，但通过跟踪其活动痕迹，仍有可能揭示其行动。

02

APT28 组织 Phantom Net Voxel 行动揭秘

披露时间：2025年9月16日

情报来源：https://blog.sekoia.io/apt28-operation-phantom-net-voxel/

相关信息：

2025年，APT28针对乌克兰军事指挥和行政机构发起了一场复杂的网络攻击活动，代号为Phantom Net Voxel。该活动使用了一种名为BeardShell的恶意软件，通过Covenant框架和Koofr云基础设施进行数据泄露和情报收集。攻击链开始于通过Signal聊天应用发送的武器化Office文档，这些文档包含恶意宏，能够加载恶意DLL并提取隐藏在PNG文件中的shellcode。该shellcode进一步加载了Covenant框架的GruntHTTPStager组件，用于与Koofr云基础设施通信并下载额外的有效载荷。BeardShell使用icedrive云存储服务作为C2通道，接收和执行PowerShell命令。

03

深入分析“伪猎者”组织Github仓库加密载荷

披露时间：2025年9月16日

情报来源：https://mp.weixin.qq.com/s/A1UhFfqnGRLsEZywvaQA4A

相关信息：

深信服对“伪猎者”组织的多阶段攻击进行了详细分析。攻击的第一阶段是通过钓鱼文件（如RegistrationForm.vhdx）启动，该文件包含一个虚拟磁盘挂载文件，执行后会加载一个LNK文件，该文件会执行一个命令来加载一个DLL文件（WebClassUser.dat）。这个DLL文件会定期访问Github仓库下载后续阶段的加密载荷。第二阶段的载荷（如WebCacheR.tmp.dat）会创建计划任务并下载第三阶段的载荷。第三阶段的载荷（如GameList.dat）是一个DLL文件，它会加载指定目录下的DataCache.dat。最终阶段的载荷是NAKSOO远控木马，它会与C2服务器通信并执行远程命令。整个攻击过程涉及多个阶段的加密和解密操作，以及对Github仓库的利用，展示了“伪猎者”组织在攻击技术上的复杂性和隐蔽性。

04

Kimsuky组织利用生成式AI“ChatGPT”发起APT攻击

披露时间：2025年9月14日

情报来源：https://www.genians.co.kr/en/blog/threat_intelligence/deepfake

相关信息：

2025年7月17日，Genians安全中心检测到Kimsuky APT组织发起的网络钓鱼攻击，该攻击伪装成韩国国防相关机构，利用AI生成的Deepfake图像伪装成军事身份证件，诱导受害者点击恶意链接。攻击者通过ChatGPT生成身份证件图像，并利用这些图像进行钓鱼攻击。攻击中使用了LNK文件和批处理脚本，通过多阶段下载恶意软件，最终在受害者设备上安装后门。此外，文章还分析了与此次攻击相关的其他案例，包括伪装成统一研究机构的网络钓鱼攻击和利用Python脚本隐藏恶意代码的攻击。

05

Sidewinder 利用尼泊尔抗议活动分发恶意软件

披露时间：2025年9月12日

情报来源：https://strikeready.com/blog/sidewinder-apt-leverages-nepal-protests-to-push-mobile-malware/

相关信息：

近期，尼泊尔因社交媒体禁令和政府腐败指控引发抗议活动，导致数十人死亡和领导层更迭。Sidewinder APT组织利用这一事件，通过移动恶意软件、Windows恶意软件和网络钓鱼手段针对关注抗议活动的用户。攻击者伪装成尼泊尔紧急服务部门进行网络钓鱼，诱导用户泄露凭据。在另一例中，攻击者伪装成尼泊尔陆军参谋长阿肖克·西格尔（Ashok Sigdel）将军，诱导用户安装名为Gen_Ashok_Sigdel_Live.apk的恶意软件。该恶意软件在用户设备上请求权限后，会显示诱饵内容，同时在后台窃取文档和图像文件，并上传至playservicess.com。此外，攻击者还利用Windows恶意软件EmergencyApp.exe进行类似的数据窃取，并发布了另一个功能类似的Android恶意软件样本Emergency_Help.apk。

06

APT-C-24（响尾蛇）近期使用LNK文件钓鱼攻击活动分析

披露时间：2025年9月11日

情报来源：https://mp.weixin.qq.com/s/wxRSVugKHy7x1SmANQOrAA

相关信息：

APT-C-24（响尾蛇）是一个活跃于南亚地区的APT组织，主要攻击目标包括巴基斯坦、阿富汗、尼泊尔等国的政府、能源和军事部门。近期，360高级威胁研究院发现了该组织使用LNK文件进行钓鱼攻击的活动。攻击者通过诱导受害者下载并运行包含恶意LNK文件的压缩包，利用MSHTA程序执行远端URL中的恶意脚本。这些脚本经过多层混淆处理，最终在内存中加载攻击组件，实现远程控制。此次攻击中，响尾蛇组织放弃了以往常用的漏洞组合，转而使用LNK文件。攻击者精心设计了文件名和URL结构，以提高攻击的成功率。

攻击行动或事件情报

01

CrowdStrike npm软件包遭遇供应链攻击

披露时间：2025年9月16日

情报来源：https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

相关信息：

Socket的研究人员发现从2025年9月14日开始，攻击者通过篡改由crowdstrike-publisher账户发布的多个CrowdStrike npm软件包进行攻击。恶意软件包含bundle.js脚本，该脚本会下载并执行TruffleHog，在主机系统中搜索令牌和云凭证，验证开发者和CI凭证，在仓库中创建未经授权的GitHub Actions工作流，并将敏感数据泄露到硬编码的Webhook端点。攻击持续多日，涉及多个时间段的多次爆发，影响了超过477个npm软件包。受影响的软件包被迅速从npm注册表中移除。攻击的影响包括敏感数据泄露、软件包可用性受影响等，主要针对通信及软件信息技术服务行业。

02

RevengeHotels 利用 LLM 和 VenomRAT 发起的新一波攻击

披露时间：2025年9月16日

情报来源：https://securelist.com/revengehotels-attacks-with-ai-and-venomrat-across-latin-america/117493/

相关信息：

RevengeHotels 是一个自2015年以来活跃的威胁组织，主要通过网络钓鱼邮件传播恶意软件，窃取酒店客人的信用卡数据。该组织的攻击目标主要集中在拉丁美洲的酒店行业，尤其是巴西。2025年，RevengeHotels的攻击活动变得更加复杂，利用大型语言模型（LLM）生成恶意代码，提高了攻击的隐蔽性和效率。攻击者通过网络钓鱼邮件发送伪装为发票或工作申请的恶意链接，诱导受害者下载WScript JS文件，进而加载VenomRAT恶意软件。VenomRAT是一种基于开源QuasarRAT的远程访问木马，具备多种功能，包括隐藏桌面、文件窃取和反杀进程保护机制。RevengeHotels的攻击活动不仅限于巴西，还扩展到了其他西班牙语国家，如阿根廷、玻利维亚、智利、墨西哥和西班牙。

03

银狐寄生政府网站大肆传播

披露时间：2025年9月15日

情报来源：https://mp.weixin.qq.com/s/KCWNpubflU3VAwogTpAhtA

相关信息：

微步发布报告指出，银狐攻击者优化了投递方式，通过仿冒钉钉、飞书等软件官网，并将恶意文件上传至政府网站（如.gov），使下载链接看似合法，难以被肉眼或基于URL的检测手段识别。攻击者还挖掘内核模块漏洞，使用BYOVD、LOLbins等技术致盲安全软件，并隐藏金蝉电诈套件的钓鱼网站，只有特定URL参数才能访问。银狐样本迭代速度加快，攻击手法逐渐接近一流红队水平，增加了终端查杀难度。微步情报局发现，攻击者利用第三方网站存放恶意文件，尤其是存在kkFileView组件漏洞的网站，通过上传恶意文件并生成下载链接，绕过URL安全检测。此外，钓鱼网站构造特殊URL，如“高温补贴”诱饵文档，通过携带特定参数访问金蝉钓鱼页面。微步情报局捕获的银狐loader样本显示，攻击者通过复杂调用链下载并执行后续利用的.net白加黑组件，以对抗EDR的行为检测。

04

ShinyHunters 攻击越南金融系统

披露时间：2025年9月13日

情报来源：https://www.resecurity.com/blog/article/shinyhunters-attacked-vietnams-financial-system-cic-data-leak

相关信息：

ShinyHunters黑客组织声称从越南国家信用信息中心（CIC）窃取了超过1.6亿条记录，这些数据包括个人身份信息、信用支付历史、风险分析数据、信用卡信息等。CIC是越南金融系统的核心机构，负责收集和维护信用相关数据。ShinyHunters是近年来最活跃的网络犯罪组织之一，曾攻击过多个大型组织。此次攻击是ShinyHunters首次针对亚洲国家，其动机主要是经济利益。被盗数据在暗网上的价值极高，可用于身份盗窃、金融欺诈等。越南当局已启动调查，并与国家网络安全机构和技术合作伙伴合作，评估漏洞并采取紧急措施。尽管CIC的运营未受影响，但此次事件凸显了国家信用机构数据安全的重要性。ShinyHunters计划在暗网论坛“Breachsta”上出售这些数据，起价为17.5万美元。

05

“WhiteCobra” 加密货币窃取扩展程序充斥 VSCode 市场

披露时间：2025年9月13日

情报来源：https://www.koi.security/blog/whitecobra-vscode-cursor-extensions-malware

相关信息：

WhiteCobra是一个活跃多年的威胁组织，最近被发现通过VS Code和OpenVSX市场上传播恶意扩展。这些扩展利用伪造的下载量和社交媒体推广，诱导用户安装，最终传播LummaStealer恶意软件，窃取加密货币钱包信息。Koi安全团队曝光了WhiteCobra的详细部署计划，揭示了其攻击策略和收入预测。该计划包括五个阶段：打包恶意VSIX文件、上传到OpenVSX、社交媒体推广、生成假下载量以制造可信度，以及实时监控和转移被盗资金。WhiteCobra通过生成大量假下载量，使恶意扩展看起来更可信，甚至比合法扩展更有吸引力。此外，他们还利用社交媒体模板和机器人参与策略，快速传播恶意扩展。

06

研究人员发现新的勒索软件组织 Yurei

披露时间：2025年9月12日

情报来源：https://research.checkpoint.com/2025/yurei-the-ghost-of-open-source-ransomware/

相关信息：

Yurei是一个新出现的勒索软件组织，首次被发现于2025年9月5日。该组织针对斯里兰卡一家食品制造公司发动攻击，并在暗网博客上公布受害者信息。Yurei采用双重勒索模式，不仅加密受害者文件，还窃取敏感数据，以此迫使受害者支付赎金以获取解密工具并防止数据泄露。Check Point Research发现，Yurei的勒索软件基于开源的Prince-Ransomware，仅进行了少量修改。这种开源恶意软件的使用显著降低了网络犯罪的门槛，使得技术能力较低的攻击者也能发起勒索软件攻击。尽管Yurei的勒索软件存在缺陷，例如未删除系统中的影子副本，这可能允许受害者部分恢复文件，但该组织主要依赖数据泄露进行勒索。自首次攻击以来，Yurei的受害者数量已增至三个，显示出其快速发展的趋势。

恶意代码情报

01

Shai-hulud 蠕虫在 npm 上传播窃取令牌的恶意软件

披露时间：2025年9月16日

情报来源：https://www.reversinglabs.com/blog/shai-hulud-worm-npm

相关信息：

2025年9月15日，ReversingLabs研究人员检测到npm开源注册表上首个自传播蠕虫Shai-hulud。该蠕虫通过感染npm账户并插入恶意代码传播，受影响的npm包会自动传播恶意代码。Shai-hulud蠕虫的传播速度极快，研究人员已识别出数百个被感染的npm包，包括每周下载量达数百万的流行包，如ngx-bootstrap、ng2-file-upload和@ctrl/tinycolor。这些包的广泛使用使得Shai-hulud的影响范围极大。Shai-hulud蠕虫不仅传播恶意代码，还设计用于窃取云服务令牌，主要目标是npm、GitHub、AWS和GCP令牌。它还安装了Trufflehog工具，能够检测800多种类型的秘密信息。窃取的秘密信息通过GitHub仓库泄露，这些仓库可以通过GitHub搜索识别。此外，Shai-hulud还会将私有仓库公开化，以便获取其中的代码和秘密信息。

02

揭秘11.5T级超大规模僵尸网络AISURU

披露时间：2025年9月15日

情报来源：https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru/

相关信息：

2025年，AISURU僵尸网络成为全球DDoS攻击的主要力量，其攻击带宽峰值达到11.5 Tbps。该僵尸网络最初于2024年8月被XLab披露，曾参与多起高影响力攻击事件。2025年4月，AISURU团伙入侵Totolink路由器固件升级服务器，通过恶意脚本快速扩展网络规模，使其节点数量达到30万。该团伙成员包括Snow（负责开发）、Tom（负责漏洞利用）和Forky（负责销售）。AISURU样本通过多种NDAY漏洞传播，并具备0DAY漏洞利用能力。其攻击目标遍布全球，主要集中在中、美、德、英等地区。技术分析显示，AISURU样本在加密方式和网络协议上进行了多次更新，包括使用魔改的RC4算法和自定义的网络协议。此外，AISURU还加入了网络速度测试功能，可能为后续的代理服务做准备。

03

研究人员发现 SmokeLoader 新变种

披露时间：2025年9月15日

情报来源：https://www.zscaler.com/blogs/security-research/smokeloader-rises-ashes

相关信息：

Zscaler 团队对SmokeLoader 2025版本进行了深入技术分析。SmokeLoader由两个主要组件组成：加载器和主模块。加载器的主要功能是阻碍分析、检测虚拟环境并终止自身运行，以及将主模块注入explorer.exe。主模块则负责执行主要的恶意功能，包括建立持久性、与C2服务器通信和执行任务。2025版本的SmokeLoader在性能优化方面进行了多项改进，包括引入新的互斥锁检查机制，以避免在explorer.exe中重复注入主模块。此外，该版本还修复了创建反分析线程的漏洞，并在代码块解密时引入了新的加密值。SmokeLoader 2025版本还引入了新的64位shellcode，用于将主模块注入explorer.exe。主模块的更新包括对常量的加密处理、对俄罗斯键盘布局的检测以及对文件映射名称的修改。此外，SmokeLoader 2025版本在网络协议方面也进行了调整，包括更新版本号和引入CRC32校验值。这些更新表明SmokeLoader开发者在逃避检测和提高恶意软件性能方面不断进行技术改进。

04

新型 HybridPetya 勒索软件可绕过 UEFI 安全启动

披露时间：2025年9月13日

情报来源：https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/

相关信息：

ESET研究人员在VirusTotal平台上发现了名为HybridPetya的新勒索软件样本，这些样本类似于臭名昭著的Petya/NotPetya恶意软件，但增加了对UEFI系统和利用CVE-2024-7344漏洞绕过UEFI安全启动的能力。HybridPetya通过加密NTFS分区的主文件表（MFT）来阻止对文件的访问，与Petya/NotPetya不同的是，它能够感染现代UEFI系统。研究人员分析了HybridPetya的两个版本，其中一个利用CVE-2024-7344漏洞绕过安全启动。该恶意软件目前尚未在野外发现，但其技术能力，特别是MFT加密、UEFI系统兼容性和安全启动绕过功能，使其成为未来威胁监测的重要对象。

漏洞情报

01

苹果发布 iOS 26 和 macOS Tahoe 26，修复超过 50 个漏洞

披露时间：2025年9月16日

情报来源：https://www.securityweek.com/apple-rolls-out-ios-26-macos-tahoe-26-with-patches-for-over-50-vulnerabilities/

相关信息：

苹果公司于2025年9月16日发布了iOS 26和macOS Tahoe 26的重大更新，修复了超过50个安全漏洞。iOS 26和iPadOS 26针对最新一代iPhone和iPad设备，修复了27个独特的CVE，涉及内存损坏、信息泄露等问题。WebKit是修复最多的组件，有5个安全缺陷被修复。macOS Tahoe 26修复了38个独特的CVE，其中11个与iOS和iPadOS的修复重叠。受影响最严重的组件包括WebKit、AppleMobileFileIntegrity和SharedFileList等。苹果还发布了iOS 18.7、iPadOS 18.7、iOS 16.7.12、iPadOS 16.7.12、iOS 15.8.5和iPadOS 15.8.5，修复了12个安全缺陷和CVE-2025-43300漏洞，该漏洞曾被用于攻击WhatsApp用户。此外，苹果还为macOS Sequoia 15.7和macOS Sonoma 14.8提供了大量补丁，并发布了tvOS 26、watchOS 26和visionOS 26，修复了近二十个漏洞。Safari 26修复了7个安全缺陷，Xcode 26修复了5个。苹果未提及这些漏洞中是否有被野外利用的情况。

02

Google Chrome V8 类型混淆漏洞(CVE-2025-10585)安全风险通告

披露时间：2025年9月18日

情报来源：https://mp.weixin.qq.com/s/5e5LHUHsVfb2VTywbeirGw

相关信息：

2025年9月17日，Google发布安全公告，确认Chrome V8引擎存在类型混淆漏洞（CVE-2025-10585），该漏洞已被发现在野利用。攻击者可通过诱导用户打开恶意链接，利用该漏洞实现远程代码执行，进而完全控制用户设备。受影响版本包括Windows、Mac和Linux平台的Chrome版本低于140.0.7339.185。奇安信CERT建议用户尽快升级至最新版本（140.0.7339.185及以上），以防止被攻击。官方补丁已发布，用户可通过访问Google Chrome官网下载并更新。

点击阅读原文至ALPHA 8.3

即刻助力威胁研判

阅读原文

跳转微信打开

奇安信威胁情报中心

揭秘魔罗桫（confucius）组织武器库源代码

奇安信威胁情报MCP V2.0全新升级：洞察“幕后黑手”，威胁行为体画像功能全面上线！

每周高级威胁情报解读(2025.09.19~09.25)

每周高级威胁情报解读(2025.09.12~09.18)

Shai-Hulud 蠕虫蔓延NPM生态攻击与近期系列事件关联分析

又又一起NPM供应链投毒：valorkin 和 scttcper 账户被入侵事件，影响广泛

Plague 后门深度分析：Linux 系统中的隐形杀手

每周高级威胁情报解读(2025.09.05~09.11)

泛滥的供应链攻击又一例 - GhostAction行动窃取凭证信息事件解析

JavaScript 生态供应链又一暴击 - 最新 npm 精准投毒搞钱活动详析

CVE-2025-29824 在野 0day 漏洞利用样本研究

OAuth令牌窃取如何撼动网络安全巨头 - Salesloft Drift 供应链攻击深度分析

每周高级威胁情报解读(2025.08.29~09.04)

黄金暴涨下的网络暗战：UTG-Q-010组织供应链攻击直插香港金融心脏

PromptLock: 首个AI驱动勒索软件的技术深度分析

精准网络狙击王炸入口 WhatsApp 历史重要漏洞利用梳理

Citrix NetScaler 实战漏洞演变：从目录遍历到内存溢出的技术剖析

奇安信威胁情报中心

揭秘魔罗桫（confucius）组织武器库源代码

奇安信威胁情报MCP V2.0全新升级：洞察“幕后黑手”，威胁行为体画像功能全面上线！

每周高级威胁情报解读(2025.09.19~09.25)

每周高级威胁情报解读(2025.09.12~09.18)

Shai-Hulud 蠕虫蔓延NPM生态攻击与近期系列事件关联分析

又又一起NPM供应链投毒：valorkin 和 scttcper 账户被入侵事件，影响广泛

Plague 后门深度分析：Linux 系统中的隐形杀手

每周高级威胁情报解读(2025.09.05~09.11)

泛滥的供应链攻击又一例 - GhostAction行动窃取凭证信息事件解析

JavaScript 生态供应链又一暴击 - 最新 npm 精准投毒搞钱活动详析

CVE-2025-29824 在野 0day 漏洞利用样本研究

OAuth令牌窃取如何撼动网络安全巨头 - Salesloft Drift 供应链攻击深度分析

每周高级威胁情报解读(2025.08.29~09.04)

黄金暴涨下的网络暗战：UTG-Q-010组织供应链攻击直插香港金融心脏

PromptLock: 首个AI驱动勒索软件的技术深度分析

精准网络狙击王炸入口 WhatsApp 历史重要漏洞利用梳理

Citrix NetScaler 实战漏洞演变：从目录遍历到内存溢出的技术剖析

奇安信威胁情报中心

揭秘魔罗桫（confucius）组织武器库源代码

奇安信威胁情报MCP V2.0全新升级：洞察“幕后黑手”，威胁行为体画像功能全面上线！

每周高级威胁情报解读(2025.09.19~09.25)

每周高级威胁情报解读(2025.09.12~09.18)

Shai-Hulud 蠕虫蔓延NPM生态攻击与近期系列事件关联分析

又又一起NPM供应链投毒：valorkin 和 scttcper 账户被入侵事件，影响广泛

Plague 后门深度分析：Linux 系统中的隐形杀手

每周高级威胁情报解读(2025.09.05~09.11)

泛滥的供应链攻击又一例 - GhostAction行动窃取凭证信息事件解析

JavaScript 生态供应链又一暴击 - 最新 npm 精准投毒搞钱活动详析

CVE-2025-29824 在野 0day 漏洞利用样本研究

OAuth令牌窃取如何撼动网络安全巨头 - Salesloft Drift 供应链攻击深度分析

每周高级威胁情报解读(2025.08.29~09.04)

黄金暴涨下的网络暗战：UTG-Q-010组织供应链攻击直插香港金融心脏

PromptLock: 首个AI驱动勒索软件的技术深度分析

精准网络狙击王炸入口 WhatsApp 历史重要漏洞利用梳理

Citrix NetScaler 实战漏洞演变：从目录遍历到内存溢出的技术剖析