网络安全威胁周报：AI恶意软件、物联网攻击、加密货币洗钱与20+关键事件

本周，黑客活动再度活跃。从虚假语音电话和AI驱动的恶意软件，到巨额洗钱案和新骗局，网络世界正经历诸多动荡。犯罪分子正变得更具创造性——他们运用巧妙的手段窃取数据、伪装真实身份并隐藏行踪。但并非只有他们在快速行动。各国政府和安全团队也在积极反击，关闭虚假网络、禁止高风险项目并加强数字防御。以下是对本周重大事件的快速概览——最大规模的黑客攻击、新出现的威胁以及值得关注的胜利。

Mirai变种恶意软件以新物联网活动重新出现

ShadowV2僵尸网络持续瞄准物联网设备

基于Mirai的ShadowV2僵尸网络背后的威胁行为者被观察到感染了各行业和各大洲的物联网设备。据称该活动仅在2025年10月底亚马逊网络服务（AWS）中断期间活跃。根据Fortinet评估，此活动“很可能是为未来攻击进行的测试运行”。该僵尸网络利用了多个漏洞，包括CVE-2009-2765（DDWRT）、CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915（D-Link）、CVE-2023-52163（DigiEver）、CVE-2024-3721（TBK）和CVE-2024-53375（TP-Link），以将易受攻击的设备招募到物联网设备的僵尸大军中。成功利用漏洞后，会执行一个下载器shell脚本，该脚本随后会投放ShadowV2恶意软件以进行DDoS攻击。该公司表示：“物联网设备仍然是更广泛的网络安全格局中的薄弱环节。”“ShadowV2的演变表明，威胁行为者的目标行为正朝着物联网环境进行战略转变。”不仅仅是ShadowV2。另一个名为RondoDox的DDoS僵尸网络同样基于Mirai，也已武器化了十几个漏洞来攻击物联网设备。F5表示：“攻击者不仅有意针对易受攻击的物联网设备，而且他们还计划在成功后接管先前已被感染的设备，将其添加到自己的僵尸网络中。”

新加坡加强消息规则以打击欺诈性诈骗

新加坡命令苹果和谷歌屏蔽冒充政府机构的短信

新加坡已命令苹果和谷歌在iMessage和Android上支持RCS的Messages应用中，屏蔽或过滤伪装成政府机构的消息，要求该公司从2025年12月开始实施新的反冒充保护措施，作为遏制日益增长的在线诈骗努力的一部分。据《海峡时报》报道，苹果已根据《在线刑事危害法案》收到指令，要求该科技巨头阻止iMessage账户和群聊使用模仿新加坡政府机构或“gov.sg”发件人ID的名称。

Tor通过新的加密升级增强隐私保护

Tor切换至新的Counter Galois洋葱中继加密算法

Tor项目背后的开发人员正在准备一个名为Counter Galois Onion（CGO）的重大升级，该升级将取代在整个匿名网络中长期使用的中继加密方法。Tor项目表示：“它基于一种称为Rugged Pseudorandom Permutation（RPRP）的构造：本质上，它是一种宽块密码的设计，可抵抗单向可塑性（针对加密操作，而非解密操作）。”“如果我们部署它，使得客户端始终解密而中继始终加密，那么我们就能以低于完全SPRP[强伪随机排列]的成本获得抗标记密码！”这些更新旨在提高沿线路进行主动攻击（如标记和流量拦截攻击）的成本，防止恶意行为者篡改加密流量，增加前向保密性，并使网络更具弹性。

报告显示2025年购物季网络钓鱼攻击激增

卡巴斯基在2025年标记了640万次网络钓鱼攻击

卡巴斯基表示，它在2025年前十个月识别了近640万次网络钓鱼攻击，这些攻击针对在线商店、支付系统和银行的用户。该公司称：“多达48.2%的攻击是针对在线购物者的。”并补充说，“检测到超过200万次与在线游戏相关的网络钓鱼攻击”，以及“在11月的前两周，拦截了超过146,000条以黑色星期五为主题的垃圾邮件”。

隐蔽恶意软件瞄准OpenFind邮件服务器

ESET发现新的QuietEnvelope恶意软件

ESET披露了一种名为QuietEnvelope的新工具集的详细信息，该工具集专门针对OpenFind邮件服务器的MailGates电子邮件保护系统而开发。该工具集包括Perl脚本和三个隐蔽的后门程序，以及其他杂项文件。ESET表示：“Perl脚本主要负责部署三个被动后门，分别作为可加载内核模块（LKM）、Apache模块和注入的shellcode。”“它们共同使攻击者能够远程访问受感染的服务器。”LKM组件（“smtp_backdoor”）监控端口6400上的入口TCP流量，并在数据包包含魔法字符串EXEC_OPENFIND时触发以执行命令。该公司补充说：“Apache模块期望自定义HTTP头部OpenfindMaster中包含将通过popen执行的命令。”“第三个后门被注入到一个正在运行的mgsmtpd进程中。它能够检索文件内容和执行命令。默认情况下，它会回复250 OK，这表明该后门挂钩在可能负责生成SMTP响应的代码中。”鉴于其复杂性和融入环境的能力，该工具被认为是未知的国家资助威胁行为者的作品。ESET表示，它发现了用简体中文编写的调试字符串，简体中文主要在中国大陆使用。

与俄罗斯相关的黑客滥用MSC漏洞进行隐蔽感染

Water Gamayun利用MSC EvilTwin漏洞

搜索"belay"会引导至网站"belaysolutions[.]com"，据称该网站已被植入恶意JavaScript，该脚本会静默重定向至"belaysolutions[.]link"，该链接托管了一个伪装成PDF的双扩展名RAR有效载荷。打开初始有效载荷会利用MSC EvilTwin（CVE-2025-26633）将代码注入mmc.exe，最终导致部署一个能够安装后门程序或窃取程序的加载器可执行文件。Zscaler表示：“当mmc.exe运行时，它会解析加载恶意管理单元而非合法管理单元的MUI路径，触发嵌入的TaskPad命令与编码的PowerShell有效载荷。”“通过-EncodedCommand解码后，此脚本下载UnRAR[.]exe和一个受密码保护的RAR，提取下一阶段，短暂等待，然后对提取的脚本执行Invoke-Expression。”第二个脚本显示一个诱饵PDF，并下载并执行加载器二进制文件。由于命令与控制（C2）基础设施无响应，有效载荷的确切性质尚不清楚。此次攻击链已被归因于一个与俄罗斯结盟的APT组织，名为Water Gamayun（又名EncryptHub）。

英国国家犯罪局揭露与俄罗斯规避制裁相关的加密货币洗钱活动

英国曝光数十亿美元洗钱网络

英国揭露了两家公司Smart和TGR，它们为网络犯罪、毒品交易、枪支走私和移民犯罪的资金洗钱以收取费用，以创建俄罗斯国家随后可用于逃避国际制裁的“干净”加密货币。英国国家犯罪局（NCA）表示，这两个实体收购了吉尔吉斯斯坦的一家银行以伪装成合法业务。已知该网络至少在28个英国城镇运营。NCA表示：“Smart和TGR合作为涉及网络犯罪、毒品和枪支走私的跨国犯罪集团洗钱。”“他们还帮助其俄罗斯客户非法绕过金融限制在英国投资，威胁到我们经济的完整性。”

微软 Defender 更新可清除残留的恶意邀请

微软对恶意日历邀请采取行动

微软表示，它已更新Microsoft Defender for Office 365，以帮助安全团队移除Outlook在电子邮件传递过程中自动创建的日历条目。虽然可以使用诸如“移至垃圾邮件”、“删除”、“软删除”和“硬删除”等补救措施来消除用户收件箱中的电子邮件威胁，但这些操作并未触及原始邀请创建的日历条目。该公司表示：“通过此次更新，我们正在朝着弥合这一差距迈出第一步。”“‘硬删除’现在还将删除任何会议邀请电子邮件的关联日历条目。这确保威胁被完全根除——不仅从收件箱中，也从日历中——从而降低用户与恶意内容交互的风险。”

泰国打击类似Worldcoin的生物特征收集行为

泰国禁止世界虹膜扫描

泰国的数据监管机构已命令在该国代表Sam Altman创立的初创公司Tools for Humanity的TIDC Worldverse，停止收集虹膜生物特征以换取World（原Worldcoin）加密货币支付。它还要求删除已从120万泰国公民处收集的生物特征数据。该项目在巴西、菲律宾、印度尼西亚和肯尼亚也遭遇了类似的禁令。

21岁网络安全专家因批评国家被拘留

俄罗斯以叛国罪逮捕科技企业家

21岁的科技企业家兼网络安全专家Timur Kilin上周晚些时候在莫斯科因叛国罪被捕。虽然案件细节不详，但据推测Kilin可能是在批评国家支持的消息应用Max和政府的反网络犯罪立法后引起了当局的注意。

中文团伙将全球Smishing攻击范围扩展至埃及

Smishing Triad瞄准埃及金融部门和邮政服务

与Smishing Triad相关的威胁行为者已扩大其关注范围，通过建立冒充埃及主要服务提供商（包括Fawry、埃及邮政和Careem）的恶意域名来瞄准埃及。Smishing Triad是一个讲中文的网络犯罪集团，专门使用名为Panda的网络钓鱼工具包在全球范围内进行大规模Smishing（短信钓鱼）活动。Dark Atlas表示：“除了冒充美国服务外，该短信钓鱼工具包还提供广泛的国际模板，包括模仿Du（阿联酋）等知名ISP的模板。”“这些模板旨在从不同地区的受害者那里收集个人身份信息（PII），显著扩大了该活动的全球覆盖范围。”最近，Google在美国纽约南区地方法院对一个名为Lighthouse的大规模网络钓鱼即服务（PhaaS）平台提起民事诉讼，该平台已诱骗了120多个国家的超过100万用户。Lighthouse是Smishing Triad使用的PhaaS服务之一。PhaaS工具包主要通过一个名为Wang Duo Yu（@wangduoyu8）的威胁行为者在Telegram上分发。

隐私服务因与数据经纪人争议相关而终止

Mozilla将关闭Monitor Plus

Mozilla宣布计划于2025年12月17日关闭Monitor Plus服务，该服务允许用户从数据经纪人门户中删除自己的数据。该服务将通过与有争议的公司Onerep的合作提供，该公司的白俄罗斯籍CEO Dimitiri Shelest被发现在2010年以来运营着数十家人员搜索引擎服务。Mozilla表示：“Mozilla Monitor的免费监控服务将继续提供实时警报和分步指南，以降低数据泄露的风险。”

网络钓鱼活动向俄罗斯企业目标投放RAT

NetMedved利用RAT攻击俄罗斯公司

一个名为NetMedved的新威胁行为者正在通过包含ZIP压缩包的钓鱼邮件攻击俄罗斯公司，ZIP包内包含一个伪装成采购请求的LNK文件，以及其他诱饵文档。打开LNK文件会触发一个多阶段的感染序列，投放NetSupport RAT。根据Positive Technologies的说法，该活动在2025年10月中旬被观察到。与此同时，F6详细介绍了由VasyGrek（又名Fluffy Wolf）发起的新攻击，VasyGrek是一个讲俄语的电子犯罪行为人，自2016年以来因攻击俄罗斯公司以投放远程访问木马（RAT）和窃取程序恶意软件而闻名。2025年8月至11月期间记录的最新一系列攻击涉及使用Pay2Key勒索软件，以及由PureCoder开发的恶意软件，包括PureCrypter、PureHVNC和PureLogs Stealer。

区块链托管的载荷投放AMOS、Vidar、Lumma窃取程序

攻击利用EtherHiding和ClickFix投放信息窃取程序

威胁行为者正在使用被植入恶意JavaScript的合法网站，向网站访问者提供假的CAPTCHA检查，其中包含一个Base64编码的有效载荷，通过使用EtherHiding技术显示适合操作系统的ClickFix诱饵。这涉及在区块链上隐藏中间JavaScript有效载荷，并利用部署在币安智能链（BSC）上的四个智能合约来确保受害者不是机器人，并将其引导至特定于操作系统（OS）的合约。然而，只有在对一个响应“yes”或其他值的“门”合约进行调用后，才会交付特定于操作系统的JavaScript。Censys表示：“这扇门为攻击者提供了一个远程控制的功能开关。”“通过更改链上状态，操作者可以选择性地为特定受害者启用或禁用交付、限制执行速度，或暂时禁用整个活动。”在整个链中分发的有效载荷包括常见的窃取程序，如AMOS和Vidar。根据NCC Group的说法，类似的“路过式”攻击也被发现会显示利用ClickFix策略来投放Lumma Stealer的假冒CAPTCHA验证。

微软将1300万封钓鱼邮件与顶级PhaaS运营关联

Tycoon 2FA成为最活跃的PhaaS平台

微软表示，被称为Tycoon 2FA（又名Storm-1747）的PhaaS工具包已成为该公司今年观察到的最多产的平台。仅在2025年10月，Microsoft Defender for Office 365就拦截了超过1300万封与Tycoon 2FA相关的恶意邮件。该公司称：“微软拦截的所有需要CAPTCHA验证的钓鱼攻击中，超过44%归因于Tycoon 2FA。”“Tycoon2FA还与10月份检测到的近25%的所有二维码钓鱼攻击直接相关。”Tycoon 2FA首次发现于2023年，已演变为一个强大的工具，利用实时中间人攻击（AitM）技术来捕获凭据、窃取会话令牌和一次性代码。CYFIRMA表示：“该平台为Microsoft 365、Gmail和Outlook提供高保真的钓鱼页面，并因其基于订阅的低门槛运营模式而成为威胁行为者的首选工具。”

恶意软件利用AI模仿技术规避行为防御

Xillen Stealer更新以规避AI检测

Xillen Stealer的新版本引入了高级功能，通过模仿合法用户以及调整CPU和内存使用率以模拟正常应用，来规避基于AI的检测系统。其主要目标是窃取浏览器、密码管理器和云环境中的凭据、加密货币和敏感数据。它在Telegram上以每月99至599美元不等的价格出售。最新迭代还包括使用AI基于加权指标和字典中定义的相关关键字来检测高价值目标的代码。这些目标包括加密货币钱包、银行数据、高级账户、开发人员账户和企业电子邮件，以及包含美国、英国、德国、日本等高价值国家及其他支持加密货币的国家和金融中心的位置指标。虽然该功能尚未由其作者Xillen Killers完全实现，但Darktrace表示，这一进展显示了威胁行为者如何在未来的活动中利用AI。

FCC撤销电信网络安全政策

FCC废除电信网络安全规则

美国联邦通信委员会（FCC）已废除了一套电信网络安全规则，这些规则是在去年的Salt Typhoon间谍活动曝光后引入的，旨在防止国家支持的黑客入侵美国运营商。该规定于2025年1月生效。这一政策逆转是在FCC所称的来自运营商的“广泛、紧急和协调的努力”之后发生的，这些努力旨在降低运营风险并更好地保护消费者。该机构补充说，此举是在“与通信服务提供商进行长达数月的接触之后进行的，他们已经在Salt Typhoon之后展示了加强的网络安全态势”，并表示已经“采取了一系列措施来强化通信网络并改善其安全态势，以加强该机构对网络事件导致的通信网络中断的调查过程。”这包括成立一个国家安全委员会，并通过规则来解决关键通信基础设施的网络安全风险，而不会“施加僵化和模糊的要求”。然而，FCC的公告没有提供有关如何监控或执行这些改进的细节。

青少年嫌疑人否认伦敦交通局黑客攻击指控

英国青少年对TfL攻击表示不认罪

两名被指控因去年对伦敦交通局（TfL）进行网络攻击而违反《计算机滥用法案》的英国青少年，在上周出庭时表示不认罪。19岁的Thalha Jubair和18岁的Owen Flowers分别于2025年9月在伦敦东部和沃尔索尔的家中被英国国家犯罪局（NCA）的官员逮捕。

未修复的漏洞允许AI语音代理实施大规模诈骗

Retell AI API中的安全漏洞

Retell AI API中披露了一个安全漏洞，该API创建了具有过多权限和功能的AI语音代理。这源于缺乏足够的护栏，导致其大型语言模型（LLM）输出意料之外的内容。攻击者可以利用此行为发起大规模的社会工程、网络钓鱼和错误信息活动。CERT协调中心（CERT/CC）表示：“该漏洞利用了Retell AI易于部署和可定制性的特点，以执行可扩展的网络钓鱼/社会工程攻击。”“攻击者可以向Retell AI的API提供公开可用的资源以及一些指令，以生成大量自动化的虚假呼叫。这些虚假呼叫可能导致未经授权的操作、安全漏洞、数据泄露和其他形式的操纵。”该问题目前仍未修复。

研究表明网络犯罪就业市场反映了现实世界经济

暗网就业市场是什么样的？

卡巴斯基的一项新分析显示，暗网继续作为一个平行的劳动力市场运作，拥有自己的规则、招聘实践和薪资预期，同时也受到当前经济力量的影响。该公司表示：“大多数求职者没有指定专业领域，69%的人表示愿意从事任何可用的工作。”“与此同时，市场上也出现了广泛的职位，尤其是在IT领域。开发人员、渗透测试人员和洗钱者仍然是最受欢迎的专业人士，逆向工程师的平均薪资最高。我们还观察到青少年在市场中的显著存在，许多人寻求快速赚取小额收入，并且通常已经熟悉欺诈计划。”

Android恶意软件利用被黑合法网站隐藏流量

恶意应用使用被入侵的合法网站作为C2服务器

AhnLab表示，它发现了一个Android APK恶意软件（“com.golfpang.golfpanggolfpang”），该软件冒充韩国知名的配送服务，同时采取措施使用混淆和打包技术来规避安全控制。该恶意软件窃取的数据被泄露到一个被入侵的合法网站，该网站被用作命令与控制（C2）服务器。AhnLab表示：“当应用程序启动时，它会向用户请求执行恶意行为所需的权限。”在类似的事态发展中，一个伪装成SteamCleaner的恶意程序正在通过宣传破解软件的网站传播，该程序投放一个能够定期与C2服务器通信并执行攻击者发出的命令的Node.js脚本。虽然尚不清楚通过C2通道发送了哪些命令，但AhnLab表示，该活动可能导致代理软件和其他有效载荷的安装。这些假冒安装程序托管在威胁行为者管理的GitHub仓库中。

澳大利亚安全情报组织负责人警告国家支持的针对关键系统的网络威胁

澳大利亚间谍主管警告网络破坏活动

澳大利亚安全情报组织（ASIO）的负责人、安全总干事Mike Burgess透露，代表中国政府和军队行事的威胁行为者探测了该国的电信网络和关键基础设施。Burgess警告称，威权政权“越来越愿意使用网络破坏手段来破坏或摧毁关键基础设施”。据估计，间谍活动在2024年给该国造成了125亿澳元（81亿美元）的损失。然而，中国驳斥了这些言论，称其“散布虚假叙事，蓄意挑起对抗”。

假市长因运营大规模网络诈骗团伙被判终身监禁

菲律宾判处中国女子终身监禁以运营诈骗园区

35岁的中国女子Alice Guo，在2022年冒充当地人并当选为Bamban市市长后，因在其运营一个位于在线赌场（当地称为菲律宾离岸博彩运营Pogo）之下的大型网络诈骗园区中所扮演的角色而被判犯有人口贩运罪，被判处终身监禁。Guo与另外三人一起被判处终身监禁和200万比索（33,832美元）的罚款。

旧的Windows协议仍然是凭证窃取的主要目标

威胁行为者继续滥用NTLM

威胁行为者利用了Microsoft Windows中的多个漏洞来泄露NTLM哈希并增强其攻击后利用效果。这些漏洞包括CVE-2024-43451，已被BlindEagle和Head Mare滥用；CVE-2025-24054，在针对俄罗斯的网络钓鱼攻击中被用于投放Warzone RAT；以及CVE-2025-33073，在对乌兹别克斯坦金融部门某个未具名目标的“可疑活动”中被滥用。在此次攻击中，威胁行为者利用该漏洞检查其是否拥有足够的权限来使用运行侦察命令的批处理文件执行代码、建立持久性、转储LSASS内存，并尝试横向移动到另一台主机的管理共享（未成功）。未检测到进一步的活动。卡巴斯基表示：“尽管微软已宣布计划逐步淘汰它，但该协议在遗留系统和企业网络中的普遍存在使其仍然相关且脆弱。”“威胁行为者正在积极利用新披露的漏洞来改进凭证中继攻击、提升权限并在网络内横向移动，这突显出NTLM仍然是一个重大的安全隐患。”

以上就是本周ThreatsDay的总结。大局如何？网络犯罪正变得更快、更智能且更难发现——但保持警惕仍然胜过恐慌。请确保您的软件保持更新，对任何感觉不对劲的事情保持警惕，不要匆忙点击。我们所有人都越保持敏锐，攻击者就越难获胜。