每周高级威胁情报解读(2025.12.19~12.25)
国家支持的黑客组织 LNK 恶意软件威胁分析情报报告;Cloud Atlas 组织在 2025 年上半年的攻击活动分析;ForumTroll 组织新的定向网络钓鱼活动针对俄罗斯政治学家;BlueDelta持续发起针对UKR.NET的攻击
奇安信威胁情报中心
EmEditor 供应链事件细节披露:分发窃密特马席卷国内政企
2025年12月23日,著名文档编辑器EmEditor官方发布公告,称12月19日至22日期间官网安装包被供应链攻击,MSI安装包被替换成带有非官方签名的恶意安装包。奇安信威胁情报中心红雨滴团队通过私有情报生产流程捕获后续最终载荷窃密特马。
每周高级威胁情报解读(2025.12.12~12.18)
Lazarus组织利用WinRAR漏洞部署Blank Grabber木马的技术分析;与哈马斯有关的Ashen Lepus利用新型AshTag恶意软件攻击中东外交机构;Sandworm 正以西方关键基础设施为目标
每周高级威胁情报解读(2025.12.05~12.11)
Operation Tornado:针对国产信创平台的网络间谍活动;Gamaredon 利用 CVE-2025-8088 进行网络钓鱼攻击活动;Lazarus组织开展针对美国多种行业IT员工的渗透行动
威胁情报“三连冠”:奇安信再获赛迪权威认证
赛迪顾问权威认证,奇安信威胁情报国内市场份额三连冠。
【附IOC】Next.js RCE漏洞在野利用事件分析
奇安信威胁情报中心红雨滴团队在私有情报生产流程发现最近披露的Next.js RCE(CVE-2025-55182)正在被海量黑客团伙利用,攻击者通过RCE漏洞启动反向shell,随后执行curl或者wget等命令下载后续payload并执行
Operation Tornado:针对国产信创平台的网络间谍活动
海莲花组织自2022年起持续针对国产信创平台及政务网发起攻击,通过Desktop、JAR、带Nday漏洞的epub文件等诱饵及内网供应链植入恶意代码,利用信创定制ELF木马、轻量化特马、IOT被动后门等武器,窃取政务数据、刺探国家政策。
每周高级威胁情报解读(2025.11.28~12.04)
摩诃草(APT-Q-36)利用 WebSocket 的新木马 StreamSpy 分析;APT36利用ELF恶意软件瞄准印度政府机构;Bloody Wolf组织通过冒充吉尔吉斯斯坦政府机构传播NetSupport RAT
【严重!已复现】React Server Components (CVE-2025-55182)远程代码执行漏洞安全风险通告
近日,奇安信监测到官方修复React Server Components远程代码执行漏洞(CVE-2025-55182)该漏洞利用简单、隐蔽性强,仅需一次HTTP POST请求即可触发。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
摩诃草(APT-Q-36)利用 WebSocket 的新木马 StreamSpy 分析
近期发现摩诃草的新木马StreamSpy,该木马与C2通信采用WebSocket和HTTP结合的方式,通过WebSocket获取指令与回传操作结果,HTTP完成文件传输等操作。该木马还与摩诃草的Spyder存在一定相似性。
每周高级威胁情报解读(2025.11.21~11.27)
RomCom组织利用SocGholish向美国公司部署恶意软件;Kimsuky 通过钓鱼邮件分发imJongRAT; 变种第40部门曝光:伊朗伊斯兰革命卫队内部将网络行动与暗杀行动联系起来的部门内幕
披露SetcodeRat:一款专为中文地区定制的Telegram窃密特马
近期,红雨滴团队发现一款此前从未被披露过的特种木马,正在中文地区大规模传播,我们将其命名为“SetcodeRat”。该木马内置针对Telegram的定制化功能,攻击者通过在TG封锁区域传播针对TG的木马,成功引起了我们的关注。
每周高级威胁情报解读(2025.11.14~11.20)
UNC1549针对航空航天和国防生态系统发起攻击;Dragon Breath使用RONINGLOADER部署新的gh0st变种;APT42针对国防和政府目标发动SpearSpecter间谍行动;MuddyWater近期钓鱼攻击活动分析
每周高级威胁情报解读(2025.11.07~11.13)
KONNI利用Find Hub实现远程数据擦除;Lazarus携Comebacker新变种再攻航空航天与国防工业;蔓灵花首次借WinRAR漏洞CVE-2025-6218实施攻击;Kimsuky利用EndClient RAT攻击朝鲜人权组织
每周高级威胁情报解读(2025.10.31~11.06)
Curly COMrades:通过隐藏的 Hyper-V 虚拟机实现规避和持久化;研究人员披露 Silent Lynx 组织的 Peek-a-Baku 活动;研究人员发现 Kimsuky 和 Lazarus 的工具
Operation South Star:针对国产手机的 0day 间谍活动
最近几年红雨滴团队在与东北亚APT对抗过程中,发现近20个涉及国产软件的0day,相关IOC涵盖多个组织且均有重叠,Operation South Star可能是MSMT合作框架下的取证活动。本文主要披露 Zipperdown 的在野利用
每周高级威胁情报解读(2025.10.24~10.30)
SideWinder采用基于ClickOnce的新型感染链;Lazarus利用DreamLoader发起攻击;Lazarus以虚假工作为诱饵引诱国防工程师窃取无人机机密;TransparentTribe使用DeskRAT攻击印度军事组织
研发人员请注意:你克隆的代码,可能“带毒”
近期,奇安信网络安全部和威胁情报中心观察到有多个政企客户研发人员从 Github 上下载不可信的工具或安装包,从而导致开发终端被植入窃密或挖矿软件,可能会对公司核心数据造成潜在的影响。
一次针对 iOS 间谍武器开发人员的 0day 攻击到美国十大政府承包商 L3Harris 的陷落
L3Harris子公司Trenchant网络业务总经理Peter Williams被控将同一批0day秘密出售,原iOS研究员Jay Gibson被误判为内鬼遭开除,事件暴露美国十大政府承包商双重失守:既被外部0day攻破,又出现内鬼外泄
每周高级威胁情报解读(2025.10.17~10.23)
COLDRIVER启用新的恶意软件;BeaverTail和OtterCookie推出新的Javascript模块;UNC5342使用“EtherHiding”传播恶意软件;疑似 APT36 组织的双平台后门StealthServer分析
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)