黑鸟

2026 年 4 月末，全球网络安全界迎来了一个足以改写历史的重大发现。

声明:下面内容均未得到独立第三方的验证，且消息来源为伊朗媒体。 近日，伊朗多家媒体发布消息称，在美军与以色列针对伊朗的军事行动期间，多家国际知名厂商的网络设备出现大规模异常故障。 伊朗方面表示，这些设备在伊朗已切断全球互联网连接的情况下依然集体失灵，这一现象指向了有预谋的深度网络破坏行为。 本次被点名的设备厂商包括Cisco、Juniper Networks）、Fortinet和 MikroTik，其表示美国制造的这些设备在伊斯法罕遭袭的关键时刻集体失效，大量设备出现自动重启或网络断开的情况。 由于事发时伊朗已经主动切断了与全球互联网的物理连接，伊朗方面据此推断，攻击者利用了设备中预先植入的隐藏固件或后门程序实施远程破坏，触发方式可能是卫星信号传输，也可能是预先设定的定时指令。 截至目前，美国官方尚未对伊朗提出的 “利用设备后门实施破坏” 这一具体指控作出直接回应，但已公开承认对伊朗的通信基础设施发动了网络攻击。 尽管伊朗的指控仍待核实，但本次被点名的四家网络设备厂商，均曾被曝光存在严重的安全漏洞或后门相关问题。 思科（Cisco） 2014 年，爱德华・斯诺登泄露的美国国家安全局（NSA）文件显示，NSA 下属的定制接入行动（Tailored Access Operations）部门长期执行一项秘密计划。该部门会在思科路由器的运输途中进行拦截，在设备中安装监控植入程序后再重新包装交付给客户。思科公司事后明确表示从未配合过该计划，并随后采取了将设备运往诱饵地址等措施，以干扰 NSA 的运输拦截行为。 瞻博网络（Juniper Networks） 2015 年，瞻博网络公开披露，其 NetScreen 系列防火墙所运行的 ScreenOS 固件中被发现存在未授权代码。该恶意代码可让攻击者绕过设备的身份验证机制，同时能够解密通过该防火墙传输的虚拟专用网络（VPN）流量。这一事件影响了全球大量政府和企业用户的网络安全。 飞塔（Fortinet） 2016 年，飞塔公司承认，其 FortiOS 操作系统的旧版本中存在硬编码的安全外壳协议（SSH）密码。攻击者可利用该密码获得设备的远程访问权限。飞塔公司当时将这一问题定性为 “管理身份验证漏洞”，并迅速发布了安全补丁。 MikroTik 来自拉脱维亚的 MikroTik 路由器长期以来都是全球僵尸网络（Botnet）运营商的主要攻击目标。2019 年，网络安全公司 Tenable 披露了一个针对 MikroTik 设备的完整漏洞链。攻击者可利用该漏洞链降级设备固件版本，并在设备中创建持久后门，实现对设备的长期控制。

继续介绍几种数据投毒的方式以及对抗方法

2026 年 4 月 ，一位专注于隐私和网络安全的研究者 Alexander Hanff 发布了一篇重磅文章，

展示了攻击者已经具备了针对工业控制系统进行精准攻击的能力。

开源软件供应链安全再次拉响警报。近日，安全研究人员发现了一种新型攻击方式。

互联网协议第 8 版（IPv8）是一套可管理的网络协议套件，彻底改变了从家庭网络到全球互联网的所有规模网络的运

随着大语言模型和智能体 AI 技术的快速发展，低代码 AI 工作流自动化平台已经成为企业提升效率的核心工具。

英国《泰晤士报》报道，上周末美方在营救两名被击落美军飞行员中的第二名时，美国中央情报局（CIA）使用了以色列制造的 "飞马"（Pegasus）间谍软件在伊朗境内开展大规模欺骗行动。 这款被中情局广泛部署的间谍软件，最广为人知的用途是入侵智能手机等电子设备（安卓系统和IOS系统都有），窃听通话与即时通信内容，并秘密窃取设备内的所有数据。 但它还具备一项特殊功能： 操作人员可以冒用被入侵手机机主的身份，发送伪造的 WhatsApp 或 Signal 加密消息。 根据《泰晤士报》周五发布的独家报道，美国情报机构正是利用飞马软件的这一功能，向伊朗高层领导人及伊斯兰革命卫队（IRGC）作战人员批量发送虚假消息，谎称那名失踪的美军飞行员已经被找到，以此误导伊朗方面的搜捕方向，为营救行动争取时间。 美国官员此前已公开承认在此次行动中使用了情报欺骗手段，黑鸟查了一下，截至目前，没有任何官方人士明确提及使用了飞马软件，除了泰晤士报的独家报道，剩下的基本都是引用其来源。 由以色列创立的 NSO 集团开发的飞马软件，长期以来饱受国际社会争议。此前有大量报道证实，沙特阿拉伯、印度等多个国家和地区，曾利用这款软件针对特定目标进行监控。 截图来自 https://www.thetimes.com/world/middle-east/israel-iran/article/iran-war-how-cia-used-ghost-murmur-tool-detect-airman-heartbeat-jcbvk02ts

最近互联网安全领域出现了一个极具警示意义的异常

这种基于广告数据的监控技术被称为广告情报（ADINT）

Adobe 已为 Windows 和 macOS 平台的 Adobe Acrobat 和 Reader 发布安

Masjesu 僵尸网络是一种自 2023 年初开始运作并持续演进至 2026 年的复杂商业化物联网威胁。 该僵尸网络以隐秘性为核心，以DDoS 攻击租赁服务的形式，主要通过 Telegram 进行推广。 它针对路由器、网关等多种物联网设备，支持 i386、MIPS、ARM、AMD64 等多种架构。为实现持久化与低可见性，Masjesu 采用谨慎低调的传播策略，而非大规模感染，刻意避开美国国防部等列入黑名单的 IP 段，保障长期存活。 该僵尸网络使用基于异或（XOR）的加密混淆字符串、配置与载荷数据，大幅降低静态检测的有效性。传播时，恶意软件会随机扫描 IP，利用 D-Link、GPON、Netgear 等厂商设备的多个漏洞入侵。其命令与控制（C2）基础设施采用多域名 + 备用 IP 架构，支持 TCP、UDP、HTTP 洪水等多种 DDoS 攻击方式。 Masjesu 背后的攻击者仍以 Telegram 作为核心推广与获客平台。 有趣的是黑名单 IP 过滤机制 刻意避开以下网段，规避执法打击： 私有地址：0.0.0.0/8、10.0.0.0/8、127.0.0.0/8、172.16.0.0/12、192.168.0.0/16 美国国防部（DoD）：26.0.0.0/8、132.1.0.0/16、150.1.0.0/16 等 美国联邦机构、军方承包商、政府骨干网相关网段 原文链接： https://www.trellix.com/blogs/research/masjesu-rising-stealth-iot-botnet-ddos-evasion/

近期，国际数字权利组织 Access Now 与西亚北非地区数字安全机构 SMEX 联合和移动安全公司 Loo

钓鱼即服务（Phishing-as-a-Service，简称 PhaaS），是网络犯罪领域成熟的商业化模式，攻击者无需掌握复杂的技术开发能力，只需付费购买平台服务，即可快速发起大规模钓鱼攻击。

我们家家户户都在使用的电信光纤，能被改造成隐蔽的窃听装置，不仅能识别室内的人类活动、定位声源位置，甚至能还原出 2 米范围内超过 80% 的对话内容。

近几年新入行的同学们大概率已经没听过GandCrab和REvil勒索软件了，但是在过去那些年（2019-2021），这玩意响彻各大公司的安全运营的办公区，不少代付老哥都赚了不少。 如今在当年火的一塌糊涂，疯狂攻击国内的GandCrab/REvil领头人，终于在近日被锁定。//7年了，小鸟变老鸟了已经，而且当年这几个头目都是宣称赚够钱退休了的。 这么多年过去了，当年还在应急的兄弟姐妹们还有在做网络安全的吗。 不过说实话，黑鸟也没想到德国警方这么多年了，会一直坚持调查到现在才公布。 图中关于头目的相关分析文章来源： https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/ 通缉信息来源： https://www.bka.de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/CC_BW/DMS/Sachverhalt.html https://www.bka.de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/CC_BW/ASK/Sachverhalt.html

Keitaro 是一款自托管的广告流量分发与效果跟踪系统，原生具备的精细化流量路由、受众定向、内容伪装能力，被