黑鸟

英国《泰晤士报》报道，上周末美方在营救两名被击落美军飞行员中的第二名时，美国中央情报局（CIA）使用了以色列制造的 "飞马"（Pegasus）间谍软件在伊朗境内开展大规模欺骗行动。 这款被中情局广泛部署的间谍软件，最广为人知的用途是入侵智能手机等电子设备（安卓系统和IOS系统都有），窃听通话与即时通信内容，并秘密窃取设备内的所有数据。 但它还具备一项特殊功能： 操作人员可以冒用被入侵手机机主的身份，发送伪造的 WhatsApp 或 Signal 加密消息。 根据《泰晤士报》周五发布的独家报道，美国情报机构正是利用飞马软件的这一功能，向伊朗高层领导人及伊斯兰革命卫队（IRGC）作战人员批量发送虚假消息，谎称那名失踪的美军飞行员已经被找到，以此误导伊朗方面的搜捕方向，为营救行动争取时间。 美国官员此前已公开承认在此次行动中使用了情报欺骗手段，黑鸟查了一下，截至目前，没有任何官方人士明确提及使用了飞马软件，除了泰晤士报的独家报道，剩下的基本都是引用其来源。 由以色列创立的 NSO 集团开发的飞马软件，长期以来饱受国际社会争议。此前有大量报道证实，沙特阿拉伯、印度等多个国家和地区，曾利用这款软件针对特定目标进行监控。 截图来自 https://www.thetimes.com/world/middle-east/israel-iran/article/iran-war-how-cia-used-ghost-murmur-tool-detect-airman-heartbeat-jcbvk02ts

最近互联网安全领域出现了一个极具警示意义的异常

这种基于广告数据的监控技术被称为广告情报（ADINT）

Adobe 已为 Windows 和 macOS 平台的 Adobe Acrobat 和 Reader 发布安

Masjesu 僵尸网络是一种自 2023 年初开始运作并持续演进至 2026 年的复杂商业化物联网威胁。 该僵尸网络以隐秘性为核心，以DDoS 攻击租赁服务的形式，主要通过 Telegram 进行推广。 它针对路由器、网关等多种物联网设备，支持 i386、MIPS、ARM、AMD64 等多种架构。为实现持久化与低可见性，Masjesu 采用谨慎低调的传播策略，而非大规模感染，刻意避开美国国防部等列入黑名单的 IP 段，保障长期存活。 该僵尸网络使用基于异或（XOR）的加密混淆字符串、配置与载荷数据，大幅降低静态检测的有效性。传播时，恶意软件会随机扫描 IP，利用 D-Link、GPON、Netgear 等厂商设备的多个漏洞入侵。其命令与控制（C2）基础设施采用多域名 + 备用 IP 架构，支持 TCP、UDP、HTTP 洪水等多种 DDoS 攻击方式。 Masjesu 背后的攻击者仍以 Telegram 作为核心推广与获客平台。 有趣的是黑名单 IP 过滤机制 刻意避开以下网段，规避执法打击： 私有地址：0.0.0.0/8、10.0.0.0/8、127.0.0.0/8、172.16.0.0/12、192.168.0.0/16 美国国防部（DoD）：26.0.0.0/8、132.1.0.0/16、150.1.0.0/16 等 美国联邦机构、军方承包商、政府骨干网相关网段 原文链接： https://www.trellix.com/blogs/research/masjesu-rising-stealth-iot-botnet-ddos-evasion/

近期，国际数字权利组织 Access Now 与西亚北非地区数字安全机构 SMEX 联合和移动安全公司 Loo

钓鱼即服务（Phishing-as-a-Service，简称 PhaaS），是网络犯罪领域成熟的商业化模式，攻击者无需掌握复杂的技术开发能力，只需付费购买平台服务，即可快速发起大规模钓鱼攻击。

我们家家户户都在使用的电信光纤，能被改造成隐蔽的窃听装置，不仅能识别室内的人类活动、定位声源位置，甚至能还原出 2 米范围内超过 80% 的对话内容。

近几年新入行的同学们大概率已经没听过GandCrab和REvil勒索软件了，但是在过去那些年（2019-2021），这玩意响彻各大公司的安全运营的办公区，不少代付老哥都赚了不少。 如今在当年火的一塌糊涂，疯狂攻击国内的GandCrab/REvil领头人，终于在近日被锁定。//7年了，小鸟变老鸟了已经，而且当年这几个头目都是宣称赚够钱退休了的。 这么多年过去了，当年还在应急的兄弟姐妹们还有在做网络安全的吗。 不过说实话，黑鸟也没想到德国警方这么多年了，会一直坚持调查到现在才公布。 图中关于头目的相关分析文章来源： https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/ 通缉信息来源： https://www.bka.de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/CC_BW/DMS/Sachverhalt.html https://www.bka.de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/CC_BW/ASK/Sachverhalt.html

Keitaro 是一款自托管的广告流量分发与效果跟踪系统，原生具备的精细化流量路由、受众定向、内容伪装能力，被

Podroid 是一个开源的 Android 应用项目 地址：https://github.com/ExTV/Podroid 全称：Rootless Podman for Android） 允许你在无需 root 的 Android 手机上运行 Linux 容器。 它通过 QEMU 虚拟化一个轻量级的 Alpine Linux 虚拟机，然后在里面提供完整的 Podman 容器运行时，并内置一个串口终端。 简单来说，它让你在手机上像在 Linux 服务器上一样拉取和运行任意 OCI 容器镜像（例如 Alpine、Nginx、Ubuntu 等），而且一切都打包在一个独立的 APK 里，无需安装 Termux 或其他额外工具。 主要特性： 容器支持：直接运行 podman run --rm -it alpine sh 等命令，支持任意 OCI 镜像。 内置终端：基于 Termux 的 TerminalView，提供完整的 xterm 仿真，支持 Ctrl、Alt、F1-F12、方向键等高级按键，还有粘性 Ctrl/Alt 切换、铃声震动反馈等优化。 持久化存储：使用 overlayfs + ext4 磁盘，重启手机后已安装的软件包、配置和拉取的容器镜像都不会丢失。 网络与端口转发：VM 通过 QEMU SLIRP（用户模式网络）上网，支持从虚拟机端口转发到 Android 本地（如把 VM 的 80 端口映射到手机的 8080），可在设置中添加持久转发规则。 完全自包含：只需安装一个 APK，无需 root、无需 Termux、无需额外 host 二进制文件。 前台服务：VM 以通知形式显示启动进度，即使后台也能保持运行。 其他：支持手动同步终端尺寸、键盘开关自动适配等移动端优化。 技术实现： 前端：Kotlin + Jetpack Compose UI。 虚拟化：嵌入式 QEMU（TCG 模式，无 KVM，仅 arm64），运行 aarch64 的 Alpine Linux。 容器引擎：Podman + crun + netavark + slirp4netns。 持久化：自定义 initramfs（init-podroid） + overlayfs。 终端桥接：通过 QEMU 串口（ttyAMA0）与 Android 的 TerminalView 通信。 网络：QEMU user-mode networking + QMP 动态控制端口转发。 与类似项目的区别相比需要 root、依赖 Termux 或其他复杂设置的方案，Podroid 的亮点在于完全自包含 + 良好持久化 + 移动端友好的终端和端口转发。 它不是简单的 Docker 兼容层，而是直接给你一个可用的 Podman 环境，适合想在手机上跑轻量 Linux 服务、开发测试或玩容器的人。 总体来说，这是一个很有趣且实用的项目，把 Linux 容器能力带到了普通 Android 手机上，适合对容器、虚拟化或 Linux on Android 感兴趣的用户。 致谢的项目也非常有参考价值。图8

谷歌Chrome浏览器发现了多个漏洞，其中最严重的漏洞可能允许执行任意代码。成功利用这些漏洞，攻击者可以在已登录用户的上下文中执行任意代码。根据用户的权限，攻击者可以安装程序；查看、更改或删除数据；或者创建具有完整用户权限的新帐户。 Google 已知晓 CVE-2026-5281 漏洞已被利用 该漏洞为UAF内存破坏漏洞，存在于 Chrome 浏览器的 Dawn 组件中， Dawn 是 WebGPU 标准的开源跨平台实现。更准确地说，它实现了与 WebGPU IDL（接口定义语言）映射的 webgpu.h 规范。Dawn 被设计为可集成至大型系统中，同时也是 Chromium 浏览器内核里 WebGPU 能力的底层实现方案。 漏洞成因是 Dawn 组件在设备注销、资源析构时，未正确清理待处理的回调与内存指针，导致内存释放后仍可被非法引用，触发内存访问异常。 危害等级：CVSS 3.1 评分 8.8，综合评级为高危。 成功利用该漏洞的攻击者，可在诱导用户访问恶意构造的 HTML 页面、执行特制 JavaScript 代码后，突破 Chrome 浏览器的沙箱安全边界，在 GPU 进程中执行任意代码，最终实现终端完全控制、用户敏感数据窃取、后续渗透攻击等恶意行为。 受影响的系统： Windows 和 Mac 版 Chrome 浏览器 146.0.7680.177/178 之前的版本 Linux 版 Chrome 146.0.7680.177 之前的版本 这次提交漏洞的都是c6eed09fc8b174b0f3eebedcceb1e792，一口气提交了好几个Chrome的漏洞，也包括本次的在野漏洞，引得海外社区猜测此人身份。

WireTapper 是一款无线开源情报（Wireless OSINT）工具，基于被动信号情报技术，实现对射频设备的发现、测绘与分析。它为调查人员、研究人员与安全分析师，提供了对周边不可见无线环境的实时可视化能力。 WireTapper 可对各类通用无线技术的信号进行检测与关联分析，无需主动入侵，即可帮助用户掌握设备的存在情况、大致位置，以及设备间的交互行为。 WireTapper 可基于具备隐私保护能力的 k - 匿名化查询机制，识别泄露的 Wi-Fi 网络凭据。 项目：https://github.com/h9zdev/WireTapper WireTapper 可识别并分析以下来源的信号： Wi-Fi 接入点与客户端、Wi-Fi 凭据泄露检测 蓝牙与低功耗蓝牙（BLE）设备 无线闭路电视（CCTV）/ 网络摄像机（IP Camera） 对外发射射频信号的车载设备（车载信息娱乐系统、遥测系统、无钥匙进入系统） 耳机、可穿戴设备及各类智能终端 智能电视与物联网家电 蜂窝基站与移动网络信标 WireTapper 可集成多款外部服务以拓展情报能力，用户需自行从以下平台获取 API 密钥： Wigle.net全球无线网络位置数据库(Wi-Fi/蜂窝/蓝牙) wpa-sec—分布式 WPA-PSK 审计数据库 OpenCellID—开源蜂窝基站数据库 Shodan—联网设备搜索引擎 科普： k - 匿名化查询方案（k-Anonymity query scheme） 是基于经典 k - 匿名隐私保护模型，专为客户端 - 服务端的敏感数据查询场景设计的隐私增强查询机制。它的核心价值是：在不向服务端暴露客户端完整查询意图、原始敏感数据的前提下，完成数据匹配与结果校验，从根源上避免查询过程中的隐私泄露。 常规的敏感数据查询，是客户端把完整的敏感特征（比如 Wi-Fi 密码哈希、密码明文哈希）直接发给服务端，服务端匹配后返回结果， 这会直接导致服务端获取用户的完整查询目标，造成隐私泄露（比如 WireTapper 场景中，第三方 API 就能知道用户正在调查哪个 Wi-Fi 网络）。 而 k - 匿名化查询方案彻底重构了交互流程，全程不泄露用户的真实查询目标，核心分为 3 步： 客户端不对服务端暴露完整的敏感标识符，仅发送标识符的短前缀片段（比如 SHA-1 哈希的前 5~8 位）作为准标识符； 服务端收到前缀后，不做精准匹配，直接返回数据库中所有匹配该前缀的完整记录集（至少 k 条数据），全程不感知客户端的真实查询目标。 客户端在本地设备中，将自己的完整敏感标识符，与服务端返回的批量记录做精准比对，自行判断是否存在匹配、拿到最终结果。

一般威胁行为者登录系统时，绝不会使用真实 IP 地址。

据境外媒体获取的文件及消息人士透露，既是媒体机构、同时也是数据经纪商的汤森路透（Thomson Reuters

你扫了一眼网址，看到熟悉的品牌名便点击进去，结果却把账号密码拱手交给了攻击者，这个肉眼难以察觉的视觉误差，正是同形字符攻击（Homoglyph Attacks）利用核心。 同形字符，指视觉上与另一个字符几乎完全一致的字符。 典型示例： 拉丁字母 a（U+0061）vs 西里尔字母 а（U+0430） 拉丁字母 o（U+006F）vs 希腊字母 ο（omicron，U+03BF） 拉丁大写字母 I（i 的大写，U+0049）vs 拉丁小写字母 l（L 的小写，U+006C）vs 西里尔字母 І（U+0406） 同形攻击用视觉上容易混淆的替代方式替换标识符（域名、文件名、电子邮件显示名）中的一个或多个字符，以冒充可信资源。 在国际化域名（IDN）中使用时，这些域名以 Punycode（xn-- 前缀）表示，但在浏览器中通常使用原始 Unicode 字符渲染——为用户提供看起来真实的 URL。 Punycode 示例如下： 页面显示域名：gοogle-example[.]com（使用希腊字母 omicron 替代了拉丁字母 “o”） 底层 ASCII Punycode 编码：xn--gogle-example-abc[.]com 同形字符攻击的核心，是利用拉丁、西里尔、希腊等不同语言文字体系中的视觉相似字符。这些形近字母不仅能欺骗用户、仿冒可信域名，甚至可以绕过部分自动化过滤系统。 图1 列出钓鱼与仿冒攻击活动中，最常被滥用的同形字符对照参考表。 后续几张图是近些年来比较经典的攻击域名，目前列出这些内容主要是由于在某些场景下对大模型的使用会有些许帮助，仅记录备忘。

2026 年 3 月 27 日，美国白宫正式发布官方通稿，宣布上线全新的白宫官方移动应用。

JCal，一个将“已故”亿万富翁 Jeffrey Epstein 的活动记录以 Google 日历形式精确呈现的创新工具。 通过这个工具，读者可以直观地一窥这位备受争议人物过去 20 多年的日常安排，包括航班、会议、旅行、约会以及与各种知名人士的互动。 这项技术不仅让复杂的 Epstein 文件档案变得易读易懂，也揭示了个人隐私在数字时代的脆弱性，同时引发了对如何保存和呈现历史记录的深刻反思。 “通过 JCal，Jeffrey Epstein 的每一场会议、每一次旅行都被精确地记录在 Google 日历中，仿佛他从未离开。” JCal 核心亮点 熟悉的 Google Calendar 界面： 支持日视图、周视图、月视图，以及强大的搜索功能（可按人物、事件类型或关键词过滤），操作体验与日常使用的日历工具几乎一致。 基于公开文件的真实数据： 所有事件均来源于美国司法部等机构公开释放的 Epstein 文件和邮件档案，涵盖上百个详细记录，包括航班路线（如纽约飞往西棕榈滩）、与 Ghislaine Maxwell 等人的会议、医生预约、社交聚会等。部分事件带有原始文件中的 [REDACTED] 标记，保留了档案的真实性。 交互式细节查看： 点击任意事件，即可展开额外上下文备注、相关邮件链接或原始文档，帮助用户快速理解事件背景和人际网络。 JCal (jmail[.]world/calendar)是 JMail 团队（曾推出 Epstein 邮件 Gmail 克隆工具）的又一力作，旨在让原本散落在 PDF 和扫描文件中的海量信息，以时间线的形式变得“超易读”（hyperlegible）。 无论你是研究者、记者，还是对这段历史感兴趣的普通人，都能通过这个工具更清晰地探索 Epstein 的活动时间脉络与社会连接。 这不仅仅是一个日历工具，更是一种对数字历史呈现方式的创新尝试，在便利与反思之间，留给每位访客自己的判断。 顺带一提，加上这个模块，已经完成9大模块了 Jmail、JPhotos、JDrive、JFlights、JVR、Jamazon、JeffTube、Jwiki、JCal，甚至还有一个AI对话模块，见图片。

全球首例利用 WebRTC 数据通道作为核心通信信道的支付盗刷脚本。该脚本成功绕过一家市值超千亿美元车企的全链路安全防护，完成恶意载荷注入与支付数据窃取。