网络安全威胁日报：AI恶意软件、物联网僵尸网络与加密货币洗钱等20余起事件解析

黑客们本周再次活跃。从仿冒语音通话和AI驱动的恶意软件，到巨额洗钱案件的破获和新骗局，网络世界发生了很多事。犯罪分子手段愈发“高明”——使用精巧的骗术窃取数据、模仿真人、并大隐于市。但他们并非唯一快速行动的一方。各国政府和安全团队正在反击，关闭虚假网络、禁止高风险项目并加强数字防御。

以下是本周值得关注事件的快速浏览——最大的黑客攻击、新出现的威胁以及值得了解的胜利成果。

基于Mirai的恶意软件伴随新的物联网攻击活动重现

基于Mirai的ShadowV2僵尸网络背后的威胁行为者被观察到正在感染各行业和各大陆的物联网设备。据称该活动仅在2025年10月底亚马逊网络服务（AWS）中断期间活跃。根据Fortinet的评估，该活动“可能是为未来攻击做准备的测试运行”。该僵尸网络利用多个漏洞来招募易受攻击的设备加入物联网僵尸大军，这些漏洞包括CVE-2009-2765 (DDWRT)、CVE-2020-25506、CVE-2022-37055、CVE-2024-10914、CVE-2024-10915 (D-Link)、CVE-2023-52163 (DigiEver)、CVE-2024-3721 (TBK) 以及 CVE-2024-53375 (TP-Link)。成功利用漏洞后，会执行一个下载器shell脚本，该脚本会传递ShadowV2恶意软件，用于后续的DDoS攻击。该公司表示：“物联网设备仍然是更广泛的网络安全格局中的薄弱环节。ShadowV2的演变表明，威胁行为者的目标行为发生了战略转变，转向了物联网环境。”不仅是ShadowV2。另一个名为RondoDox的DDoS僵尸网络也基于Mirai，并武器化了超过十几种漏洞利用程序来攻击物联网设备。F5表示：“攻击者不仅热衷于攻击存在漏洞的物联网设备，而且如果他们成功，还会接管先前被感染的设备，将其添加到自己的僵尸网络中。”

新加坡收紧消息规则以打击仿冒诈骗

新加坡已命令苹果和谷歌，在iMessage和Android支持RCS的“信息”应用中，拦截或过滤伪装成政府机构的短信。作为遏制日益增长的在线诈骗努力的一部分，要求该公司从2025年12月开始实施新的反欺骗保护措施。据《海峡时报》报道，苹果已根据《在线犯罪危害法》收到了指令，要求这家科技巨头阻止iMessage账户和群聊使用模仿新加坡政府机构或“gov.sg”发件人ID的名称。

Tor通过新的加密升级加强隐私保护

Tor项目背后的开发人员正在准备一次名为Counter Galois Onion（CGO）的重大升级，该升级将替换整个匿名网络中长期以来使用的中继加密方法。Tor项目表示：“它基于一种称为‘坚固伪随机置换’（RPRP）的结构：本质上，它是一种宽块密码的设计，能抵抗单向的可塑性（针对加密操作，而非解密操作）。如果我们部署它，使得客户端始终解密而中继始终加密，那么我们就能以低于完全SPRP（强伪随机置换）的成本获得抗标记密码！”这些更新旨在提高沿电路进行的主动攻击（如标记和流量拦截攻击）的成本，防止恶意行为者篡改加密流量，增加前向安全性，并使网络更具弹性。

报告显示2025年购物季期间钓鱼攻击激增

卡巴斯基表示，它在2025年前十个月识别了近640万次针对在线商店、支付系统和银行用户的钓鱼攻击。该公司称：“其中多达48.2%的攻击针对在线购物者。”并补充说，它“检测到超过200万次与在线游戏相关的钓鱼攻击”，并且“在11月的前两周拦截了超过146,000条以‘黑色星期五’为主题的垃圾邮件”。

隐蔽恶意软件针对OpenFind邮件服务器

ESET披露了一个名为QuietEnvelope的新工具集的细节，该工具集专门针对OpenFind邮件服务器的MailGates电子邮件保护系统而开发。该工具集包含Perl脚本和三个隐蔽后门，以及其他杂项文件。ESET表示：“Perl脚本主要负责部署三个被动后门，分别作为可加载内核模块（LKM）、Apache模块和注入的shellcode。它们共同使攻击者能够远程访问被入侵的服务器。”LKM组件（“smtp_backdoor”）监控端口6400上的入口TCP流量，并在数据包包含魔数字符串EXEC_OPENFIND时触发以执行命令。它补充说：“Apache模块期望自定义HTTP头OpenfindMaster中包含通过popen执行的命令。第三个后门被注入到正在运行的mgsmtpd进程中。它能够检索文件内容和执行命令。默认情况下，它响应250 OK，这表明后门被挂接到可能负责生成SMTP响应的代码中。”鉴于其复杂性和融入环境的能力，该工具被认为是某个未知的国家级威胁行为者的作品。ESET表示，发现了用简体中文编写的调试字符串，简体中文主要在中国大陆使用。

与俄罗斯相关的黑客滥用MSC漏洞进行隐蔽感染

在Bing中搜索"belay"会导向网站"belaysolutions[.]com"，据称该网站被恶意JavaScript攻陷，该JavaScript会静默重定向到托管伪装成PDF的双扩展名RAR载荷的"belaysolutions[.]link"。打开初始载荷会利用MSC EvilTwin（CVE-2025-26633）将代码注入mmc.exe，最终导致部署能够安装后门或窃密程序的加载器可执行文件。Zscaler表示：“运行时，mmc.exe解析MUI路径，加载恶意的管理单元而非合法的，从而触发嵌入的TaskPad命令，其中包含编码的PowerShell载荷。通过-EncodedCommand解码后，该脚本会下载UnRAR[.]exe和一个受密码保护的RAR文件，提取下一阶段，短暂等待，然后对提取的脚本执行Invoke-Expression。”第二个脚本显示一个诱饵PDF，并下载和执行加载器二进制文件。由于命令与控制（C2）基础设施无响应，载荷的确切性质尚不清楚。该攻击链被归因于一个与俄罗斯结盟的APT组织，名为Water Gamayun（又名EncryptHub）。

英国国家犯罪局揭露与俄罗斯逃避制裁相关的加密货币洗钱活动

英国揭露了两家公司，Smart和TGR，它们通过收取费用，为来自网络犯罪、毒品贸易、枪支走私和移民犯罪的资金洗钱，以创造俄罗斯政府随后可以用来逃避国际制裁的“干净”加密货币。英国国家犯罪局（NCA）表示，这两个实体收购了吉尔吉斯斯坦的一家银行，以冒充合法业务。已知该网络在至少28个英国城镇运营。NCA表示：“Smart和TGR合作为涉及网络犯罪、毒品和枪支走私的跨国犯罪集团洗钱。他们还帮助他们的俄罗斯客户非法绕过金融限制在英国投资，威胁我们经济的完整性。”

Defender更新清除残留的恶意会议邀请

微软表示，它已更新Microsoft Defender for Office 365，以帮助安全团队删除Outlook在电子邮件传递期间自动创建的日历条目。虽然可以使用“移至垃圾邮件”、“删除”、“软删除”和“硬删除”等补救措施来消除用户收件箱中的电子邮件威胁，但这些操作并未触及原始邀请创建的日历条目。该公司表示：“通过此更新，我们迈出了缩小这一差距的第一步。‘硬删除’现在也将删除任何会议邀请邮件关联的日历条目。这确保威胁被完全根除——不仅从收件箱，也从日历中——降低了用户与恶意内容交互的风险。”

泰国打击Worldcoin式的生物特征收集

泰国的数据监管机构已命令在该国代表Sam Altman创立的初创公司Tools for Humanity的TIDC Worldverse，停止收集虹膜生物特征以换取World（前身为Worldcoin）加密货币支付。它还要求删除已从120万泰国公民收集的生物特征数据。该项目在巴西、菲律宾、印度尼西亚和肯尼亚也遭到了类似的禁令。

21岁网络安全专家因批评国家被拘留

21岁的科技企业家兼网络安全专家Timur Kilin上周晚些时候在莫斯科因叛国罪被捕。虽然案件细节尚不清楚，但据推测Kilin可能是在批评国家支持的即时通讯应用Max以及政府的反网络犯罪立法后引起了当局的注意。

中文团伙将全球短信钓鱼范围扩展到埃及

与“短信钓鱼三人组”相关的威胁行为者已将其关注点扩展到埃及，通过建立冒充埃及主要服务提供商（包括Fawry、埃及邮政和Careem）的恶意域名。短信钓鱼三人组是一个专门从事大规模全球短信钓鱼活动的中文网络犯罪团伙，使用名为Panda的钓鱼工具包。Dark Atlas表示：“除了冒充美国服务外，该短信钓鱼工具包还提供广泛的国际模板，包括模仿Du（阿联酋）等知名互联网服务提供商的模板。这些模板旨在从不同地区的受害者那里收集个人身份信息，显著扩大了该活动的全球覆盖范围。”最近，谷歌向美国纽约南区联邦地区法院（SDNY）提起民事诉讼，指控一个名为Lighthouse的大规模“钓鱼即服务”（PhaaS）平台，该平台已诱骗了超过120个国家的100多万用户。Lighthouse是短信钓鱼三人组使用的PhaaS服务之一。这些PhaaS工具包主要通过一个名为Wang Duo Yu (@wangduoyu8)的威胁行为者在Telegram上分发。

隐私服务在涉及数据经纪人争议后终止

Mozilla宣布计划关闭Monitor Plus服务，该服务允许用户数据从数据经纪人门户中删除。该服务将于2025年12月17日逐步停止。它是通过与Onerep的合作提供的，Onerep是一家有争议的公司，其白俄罗斯籍CEO Dimitiri Shelest被发现在2010年以来运营着数十个人们搜索引擎服务。Mozilla表示：“Mozilla Monitor的免费监控服务将继续提供实时警报和分步指南，以降低数据泄露的风险。”

钓鱼活动在俄罗斯公司目标上投放远程访问木马

一个新的名为NetMedved的威胁行为者正通过包含ZIP存档的钓鱼邮件攻击俄罗斯公司，ZIP存档中包含一个伪装成采购请求的LNK文件以及其他诱饵文档。打开LNK文件会触发一个多阶段感染序列，投放NetSupport远程访问木马。根据Positive Technologies的信息，该活动在2025年10月中旬被观察到。与此同时，F6详细介绍了由VasyGrek（又名Fluffy Wolf）发起的新攻击，这是一个自2016年以来以攻击俄罗斯公司而闻名的俄语电子犯罪行为者，旨在投放远程访问木马（RAT）和窃密程序恶意软件。2025年8月至11月期间记录的最新一系列攻击涉及使用Pay2Key勒索软件，以及由PureCoder开发的恶意软件，包括PureCrypter、PureHVNC和PureLogs Stealer。

区块链托管的载荷投放AMOS、Vidar、Lumma窃密程序

威胁行为者正在利用被恶意JavaScript注入攻陷的合法网站，向访问者提供包含Base64编码载荷的虚假验证码检查，以通过EtherHiding技术显示适合操作系统的ClickFix诱饵。这涉及将中间JavaScript载荷隐藏在区块链上，并使用在币安智能链（BSC）上部署的四个智能合约来确保受害者不是机器人，并将其定向到特定于操作系统（OS）的合约。然而，只有在调用一个响应"是"或其他值的网关合约后，才会交付特定于操作系统的JavaScript。Censys表示：“此网关为攻击者提供了远程控制的功能标志。通过改变链上状态，操作者可以有选择地为特定受害者启用或禁用交付、限制执行速度，或暂时禁用整个活动。”通过链条分发的载荷包括常见的窃密程序，如AMOS和Vidar。根据NCC Group的信息，类似的偷渡式攻击也被发现利用ClickFix策略显示假冒的验证码验证，以投放Lumma Stealer。

微软将1300万封钓鱼邮件与顶级钓鱼即服务平台关联

微软表示，被称为Tycoon 2FA（又名Storm-1747）的钓鱼即服务（PhaaS）工具包已成为该公司今年观察到的最多产的平台。仅在2025年10月，Microsoft Defender for Office 365就拦截了超过1300万封与Tycoon 2FA相关的恶意电子邮件。该公司称：“微软拦截的所有验证码防护钓鱼攻击中，超过44%可归因于Tycoon 2FA。Tycoon2FA还直接关联到10月份检测到的所有二维码钓鱼攻击的近25%。”Tycoon 2FA于2023年首次被发现，现已演变为一个强大的工具，利用实时中间对手（AitM）技术来捕获凭据、窃取会话令牌和一次性代码。CYFIRMA表示：“该平台提供针对Microsoft 365、Gmail和Outlook的高保真钓鱼页面，并因其基于订阅、低门槛的运营模式而成为威胁行为者的首选工具。”

恶意软件使用AI模仿技术绕过行为防御

新版本的Xillen Stealer引入了高级功能，通过模仿合法用户并调整CPU和内存使用率以模仿正常应用程序，来规避基于AI的检测系统。其主要目标是窃取浏览器、密码管理器和云环境中的凭据、加密货币和敏感数据。它在Telegram上以每月99美元到599美元不等的价格出售。最新版本还包括使用AI根据加权指标和字典中定义的相关关键字来检测高价值目标的代码。这些包括加密货币钱包、银行数据、高级账户、开发者账户和商务电子邮件，以及位置指标，包括美国、英国、德国和日本等高价值国家，以及其他对加密货币友好的国家和金融中心。Darktrace表示，虽然该功能尚未被其作者Xillen Killers完全实现，但这一进展显示了威胁行为者如何在未来活动中利用AI。

FCC改变电信网络安全政策

美国联邦通信委员会（FCC）已废除了一套电信网络安全规则，这些规则是在去年的Salt Typhoon间谍活动曝光后引入的，旨在防止国家支持的黑客入侵美国运营商。该裁决于2025年1月生效。政策逆转是在FCC所谓的运营商“广泛、紧急和协调的努力”以降低运营风险和更好地保护消费者之后发生的。该机构补充说，该行动是在“与通信服务提供商进行了长达数月的接触之后采取的，他们在Salt Typhoon事件后展示了加强的网络安全态势”，并补充说它已经“采取了一系列措施来强化通信网络并改善其安全态势，以增强该机构对网络事件导致的通信网络中断的调查过程”。这包括成立一个国家网络安全委员会，并通过规则来解决关键通信基础设施面临的网络安全风险，而“不施加僵化和模糊的要求”。然而，FCC的公告并未提供这些改进将如何监控或执行的细节。

青少年嫌疑人否认伦敦交通局黑客攻击指控

两名被指控因去年对伦敦交通局（TfL）进行网络攻击而违反《计算机滥用法》的英国青少年，在上周出庭时表示不认罪。19岁的Thalha Jubair和18岁的Owen Flowers分别于2025年9月在伦敦东部和沃尔索尔的家中被英国国家犯罪局（NCA）的官员逮捕。

未修补漏洞让AI语音代理能够实施大规模诈骗

Retell AI API中披露了一个安全漏洞，该API创建的AI语音代理具有过多的权限和功能。这源于缺乏足够的防护措施，导致其大型语言模型（LLM）产生意外输出。攻击者可以利用此行为来发起大规模的社会工程、钓鱼和虚假信息活动。CERT协调中心（CERT/CC）表示：“该漏洞利用Retell AI易于部署和可定制的特性，来执行可扩展的钓鱼/社会工程攻击。攻击者可以将公开可用的资源以及一些指令输入Retell AI的API，以生成大量自动化的虚假电话。这些虚假电话可能导致未经授权的操作、安全漏洞、数据泄露和其他形式的操纵。”该问题仍未修补。

研究显示网络犯罪就业市场与现实世界经济相似

卡巴斯基的一项新分析显示，暗网继续作为一个平行的劳动力市场，拥有自己的规则、招聘实践和薪资期望，同时也受到当前经济力量的影响。该公司表示：“大多数求职者没有指定专业领域，69%的人表示愿意接受任何可用的工作。与此同时，各类职位都有代表，特别是在IT领域。开发人员、渗透测试人员和洗钱者仍然是最抢手的专家，逆向工程师的平均薪资最高。我们还观察到市场上有大量青少年存在，许多人寻求快速的小额收入，并且往往已经熟悉欺诈计划。”

Android恶意软件利用被黑的合法网站隐藏流量

AhnLab表示，它发现了一个Android APK恶意软件（“com.golfpang.golfpanggolfpang”），它冒充韩国知名送餐服务，同时采取混淆和打包技术来规避安全控制。该恶意软件窃取的数据被外泄到一个被攻陷的合法网站，该网站被用作C2服务器。AhnLab表示：“当应用程序启动时，它会向用户请求执行恶意行为所需的权限。”在类似的事态发展中，一个伪装成SteamCleaner的恶意程序正通过宣传破解软件的网站传播，以投放一个能够定期与C2服务器通信并执行攻击者发出命令的Node.js脚本。虽然尚不清楚通过C2通道发送了哪些命令，但AhnLab表示，该活动可能导致代理软件和其他载荷的安装。这些假冒安装程序托管在威胁行为者管理的GitHub存储库中。

澳大利亚间谍主管警告针对关键系统的国家支持网络威胁

澳大利亚安全情报组织（ASIO）局长Mike Burgess披露，代表中国政府和军方运作的威胁行为者探测了该国的电信网络和关键基础设施。Burgess警告说，威权政权“越来越愿意使用网络破坏来干扰或摧毁关键基础设施”。据估计，间谍活动在2024年使该国损失了125亿澳元（8.1亿美元）。然而，中国驳斥了这些言论，称其“散布虚假叙事，故意挑起对抗”。

假市长因运营大规模网络诈骗团伙被判终身监禁

35岁的中国女子Alice Guo曾冒充当地人并于2022年当选为Bamban市市长，因在运营一个以在线赌场（当地称为菲律宾离岸博彩运营，Pogo）为幌子的大型网络诈骗团伙中所扮演的角色，被判犯有人口贩运罪，被判处终身监禁。Guo与其他三人一起被判处终身监禁，并罚款200万比索（33,832美元）。

旧的Windows协议仍然是凭据盗窃的关键目标

威胁行为者继续滥用NTLM协议。威胁行为者利用了Microsoft Windows中的多个漏洞来泄露NTLM哈希值并加强他们的后期利用活动。这些包括已被BlindEagle和Head Mare滥用的CVE-2024-43451、在针对俄罗斯的钓鱼攻击中被滥用以投放Warzone RAT的CVE-2025-24054，以及在对乌兹别克斯坦金融部门一个未具名目标的“可疑活动”中被滥用的CVE-2025-33073。在这次攻击中，威胁行为者利用该漏洞检查他们是否拥有足够的权限来使用运行侦察命令、建立持久性、转储LSASS内存以及尝试横向移动到另一台主机的管理共享（未成功）的批处理文件来执行代码。未检测到进一步的活动。卡巴斯基表示：“虽然微软已宣布计划逐步淘汰它，但该协议在遗留系统和企业网络中的普遍存在使其仍然相关且易受攻击。威胁行为者正在积极利用新披露的漏洞来完善凭据中继攻击、提升特权并在网络内横向移动，这突显了NTLM仍然是一个重大的安全漏洞。”

以上就是本周的网络安全威胁日报。大局是什么？网络犯罪正变得更快、更聪明、更难以察觉——但保持警惕仍然胜过恐慌。请保持软件更新，对任何感觉不对劲的事情保持警惕，不要匆忙点击。我们所有人都保持警惕，攻击者就越难获胜。