黑鸟

朝鲜勒索软件攻击的主要推动者之一是Lazarus组织的子组织Andariel，该组织大约在五年前开始涉足勒索软件攻击。现在正在使用 Medusa 勒索软件，并继续对美国医疗保健行业发起勒索攻击。  朝鲜长期以来一直参与勒索软件攻击，此前曾与 Maui 和 Play 勒索软件家族有关联合作情况。 证据表明，朝鲜攻击者曾使用Medusa勒索软件攻击中东地区的一个目标。 同一批攻击者还曾对美国一家医疗机构发起过一次未遂的攻击。  Medusa勒索软件由Spearwing网络犯罪集团运营，于2023年推出，以“勒索软件即服务”（RaaS）的形式运行，合作攻击者可以通过部署该勒索软件来换取一定比例的赎金，相关攻击者已声称使用Medusa勒索软件发动了超过366起攻击。图1 对 Medusa 泄露网站的分析显示，自 2025 年 11 月初以来，美国有四家医疗保健和非营利组织遭到攻击。 Lazarus 在使用Medusa勒索软件攻击活动中使用了一系列工具，其中包括： Comebacker：一款与 Lazarus 独家关联的定制后门和加载器。  Blindingcan：与 Lazarus 关联的远程访问木马 (RAT)。  ChromeStealer： 一款用于从 Chrome 浏览器中提取已存储密码的工具。 Curl：一个开源的命令行工具，用于使用各种网络协议传输数据。 Infohook：窃取信息的恶意软件。 Mimikatz：一款 公开可用的凭证导出工具。 RP_Proxy：一款自定义代理工具。 工具Hash列表 https://www.security.com/blog-post/lazarus-medusa-ransomware

三星设备出厂预装的天气应用，会以固定周期向天气频道公司（The Weather Company）的 API 接

在数字化工业时代，我们总以为 “硬件级安全加密” 是数据防护的铜墙铁壁。

2017 年，维基解密（WikiLeaks）公布了 Vault7：一批包含美国中情局（CIA）黑客工具与内部文

全新的安卓恶意软件家族 PromptSpy， 这是首个在执行过程中直接调用生成式 AI 实现上下文感知型 UI 操控的移动威胁，标志着安卓恶意软件正式迈入生成式 AI 赋能的新纪元。

依旧是iphone间谍软件的话题。

在你点击邮件的日程邀请的「接受」按钮前，务必三思, 这很可能是一场钓鱼骗局，近期有攻击者通过伪造微软与谷歌日程邀请，钓鱼定向窃取用户的登录凭证。 这类钓鱼邀约的伪装手段愈发精密，往往会高度复刻微软、谷歌等知名平台的官方界面样式，极具迷惑性。 攻击者盯上了商务场景中高频出现的日程会议邀约类邮件，通过仿冒用户的日常工作行为，诱导企业员工输入登录凭证。最常见的攻击形式，就是一封看似毫无风险的伪造会议邀请，正因为这类邮件是员工的日常工作内容，绝大多数人都会不假思索地点击操作。 如图1所示，在该攻击案例中，攻击者制作了一个高度复刻 Outlook 官方样式的按钮，以此误导用户，提升钓鱼攻击的成功率。攻击者通过使用用户熟悉的品牌配色，伪造带有紧急属性的日历邀请，让邮件看起来极具真实感。高度还原的配色极具迷惑性，能大幅提升邮件的视觉可信度，一旦吸引了目标用户的注意，用户就很可能因为按钮与官方样式完全一致，而不假思索地点击。 用户点击按钮后，会被重定向至钓鱼页面，页面会展示一个与微软官方登录界面高度相似的伪造页面（见图2）。但只要仔细核查页面 URL 就能发现，该网站的域名与微软官方登录页面完全不符，并非微软官方站点。用户一旦在该登录页面输入账号凭证，就意味着钓鱼攻击成功，用户的登录信息会在毫不知情的情况下被攻击者窃取。

一款名为 ZeroDayRAT 的新型移动间谍软件平台正在 Telegram 上公开销售，该平台于 2026 年 2 月 2 日首次被捕获，无技术使用门槛，可让不同技术能力的攻击者，对 iOS 和 Android 用户发起隐蔽的恶意攻击。 https://iverify.io/blog/breaking-down-zerodayrat---new-spyware-targeting-android-and-ios 该间谍软件的开发商搭建了专属的销售、客户支持和版本定期更新渠道，为买家提供一站式入口，可直接访问功能齐全的间谍软件管控面板，实现对目标 Android 或 iOS 设备的完全远程控制。 系统适配范围：覆盖 Android 5 至 Android 16 全版本，以及 iOS 26 系统（含 iPhone 17 Pro 机型）。苹果修复动态链接器漏洞：曾被用于针对特定个人的极其复杂攻击 攻击者需将恶意二进制文件（Android 端为 APK 安装包、iOS 端为对应攻击载荷）植入目标设备，最核心的攻击途径为短信钓鱼：受害者点击短信内的链接，下载并安装伪装成合法应用的恶意程序。 此外，钓鱼邮件、虚假应用商店，以及通过 WhatsApp、Telegram 分享的恶意链接，均为有效的感染渠道。 设备感染后，攻击者可通过管控面板的概览页，一站式获取目标设备型号、操作系统版本、电池电量、所属国家 / 地区、锁定状态、SIM 卡与运营商信息、双卡手机号码、分时段应用使用情况、实时活动时间线、近期短信预览等数据，足以完整勾勒受害者的社交对象、高频应用、活跃时段、所处网络等个人画像，还可直接查看截获的银行、运营商及个人联系人的相关信息。 实时提取 GPS 坐标，通过内嵌谷歌地图展示位置轨迹，同步掌握受害者当前位置与历史行踪； 单独抓取设备所有通知，涵盖 WhatsApp、Instagram、Telegram、YouTube 平台消息、未接来电及系统事件，攻击者无需打开对应应用，即可被动获取手机几乎全部活动信息； 完整列示设备内所有注册账户及对应的用户名、邮箱地址，为攻击者实施账户接管、定向社会工程学攻击提供完整素材。 攻击者可通过监控面板，对目标设备实现实时物理访问，包括摄像头实时直播、屏幕录制、麦克风实时监听；结合 GPS 追踪能力，可同步完成对目标的观察、监听与位置定位。 可捕获受害者每一次按键输入，同步记录对应应用上下文与毫秒级时间戳，搭配面板右侧的实时屏幕预览，攻击者可同步掌握目标的操作行为与输入内容； 黑鸟祝大家，新春快乐！

刷网页、读长文时，你一定见过页面上那个醒目的 “用 AI 总结全文” 按钮。

dyld（dynamic linker 动态链接器）是苹果操作系统（iOS、iPadOS、macOS、watc

2025年12月29日，波兰电网相关的多个目标遭遇了一系列协同网络攻击，受攻击目标包括至少30座风电场、光伏电

2026 年欧洲开源开发者大会现场，随着各国对数字主权的关注度持续提升，同时希望将数据从企业云平台迁移至机构自

当下快速发展的个人 AI Agent 生态，正沦为恶意软件的全新传播渠道。

甚至还出了一道ctf的题目

一名安全研究人员在其全新游戏主机上，频繁遭遇周期性弹出的烦人控制台窗口干扰，最终定位到该异常程序为 AMD 的自动更新（AutoUpdate）软件。 因该程序的干扰行为，该研究人员决定通过反编译分析其运行逻辑，却在过程中意外发现了一个极易利用的远程代码执行（RCE）漏洞。 研究人员首先发现，该程序将更新地址存储在自身的app.config应用配置文件中；尽管其在生产环境中使用了开发环境（Development）的 URL，该行为存在异常，但该地址采用 HTTPS 协议，理论上具备基础安全性。 图1 真正的安全隐患在于，在浏览器中访问该更新地址后可发现，所有可执行文件的下载链接均采用 HTTP 协议。 图2 这意味着，目标网络中的恶意攻击者，或是具备运营商网络访问权限的国家级主体，均可轻松实施中间人（MITM）攻击，将网络响应替换为任意恶意可执行文件。 该研究人员原本期望 AMD 会配置证书校验等机制，避免程序下载并运行未签名可执行文件，但对反编译代码的分析显示，该自动更新程序未做任何此类校验，会直接执行下载完成的文件。 图3 发现该高危漏洞后，研究人员认为该问题严重性较高，遂向 AMD 进行漏洞上报。 图4 但该漏洞最终被 AMD 判定为超出漏洞收录范围（out of scope），AMD 未将其认定为安全漏洞，也未计划开展修复工作。 时间线（日 / 月 / 年） 2026 年 1 月 27 日 —— 漏洞被发现 2026 年 2 月 5 日 —— 漏洞完成上报 2026 年 2 月 5 日 —— 漏洞报告被关闭，标注为不予修复 / 超出范围 2026 年 2 月 6 日 —— 漏洞相关博客发布