亮点 | 国际刑警打击网络犯罪，美国制裁朝鲜IT诈骗计划

国际刑警组织宣布在“塞伦盖蒂行动2.0”中逮捕超过1200名嫌疑人，这是针对非洲网络犯罪的三个月打击行动。行动于6月至8月期间开展，摧毁了11,432个恶意基础设施，查获9740万美元，并阻止了影响全球近8.8万名受害者的攻击。来自18个非洲国家和英国的调查人员在非洲联合反网络犯罪行动框架下协作，并得到多家私营部门合作伙伴的支持。行动目标包括勒索软件运营者、网络诈骗分子及商业邮件入侵（BEC）团伙。

这是非洲一系列协同行动中的最新举措，此前已有“红牌行动”和“塞伦盖蒂行动（2024年）”等成功案例。国际刑警强调，每项行动都加强了跨境合作，扩展了情报共享和调查专业知识，从而在打击跨国网络犯罪中取得更大、更具影响力的成果。

美国财政部海外资产控制办公室（OFAC）制裁了两名个人和两个实体，这些实体与朝鲜非法的远程IT工作者计划有关，该计划为其武器和导弹项目提供资金。俄罗斯公民Vitaliy Sergeyevich Andreyev、朝鲜官员Kim Ung Sun、中国沈阳金丰里网络科技有限公司以及朝鲜新进贸易公司被指涉嫌欺诈美国企业。Andreyev被指控协助转移近60万美元的加密货币至现金支付，而沈阳金丰里自2021年以来已产生超过100万美元的利润。

该IT工作者计划 specifically 通过伪造身份和被盗文件将朝鲜IT工作者嵌入全球公司。近期调查显示，该计划日益依赖AI工具制作虚假简历、通过面试并交付工作。当局警告称，该行动还可能导致恶意软件植入、数据窃取和针对目标企业的勒索行为。

隐患 | UpCrypter恶意软件加载程序通过虚假语音邮件传播RAT有效载荷

一场新的钓鱼活动正在分发名为UpCrypter的恶意软件加载程序，使用虚假语音邮件通知和采购订单作为诱饵。该活动自2025年8月初开始活跃，主要针对制造业、科技、医疗保健、建筑和零售/酒店行业的组织，感染案例分布于奥地利、白俄罗斯、加拿大、埃及、印度、巴基斯坦等多个国家。

攻击始于精心制作的钓鱼邮件，内含恶意URL，指向嵌入受害者域名和标识的欺诈登录页面。受害者被诱导下载看似语音邮件或PDF的文件，实际为包含混淆JavaScript文件的ZIP压缩包。一旦执行，脚本会检查网络连接，扫描取证工具或沙箱环境，然后从外部服务器获取下一阶段恶意软件。

UpCrypter作为多种远程访问工具（RAT）的投放器，包括PureHVNC RAT、DCRat和Babylon RAT，这些工具使攻击者能完全控制受感染系统，实现远程监控、凭证窃取和命令执行。有效载荷可能以明文传递，或通过隐写术隐藏在图像中。另一种并行分发方式使用基于微软中间语言（MSIL）的加载程序，在执行类似反分析检查后获取混淆的PowerShell脚本、DLL及主有效载荷。

最终执行序列将DLL和有效载荷数据直接嵌入内存，绕过文件系统以最小化取证痕迹。安全研究人员警告，UpCrypter不断演进的设计结合了分层混淆、沙箱规避和灵活的RAT部署，表明其是一个积极维护的投递生态系统，能够在仅依赖传统防御的环境中持续存在。

危机 | Salt Typhoon通过路由器漏洞扩大全球网络间谍活动

来自美国、英国、加拿大、德国和日本等13个国家的当局联合发布安全公告，将三家中国科技公司与高级持续性威胁（APT）组织Salt Typhoon（亦追踪为UNC2286）关联。该中国背景的攻击者获得情报服务、网络工具和窃取数据，得以加强其全球网络间谍行动。自2019年起，其目标主要集中在电信、政府、交通和军事基础设施。

该组织专注于利用骨干网、提供商边缘（PE）和客户边缘（CE）路由器中的漏洞，如CVE-2018-0171、CVE-2023-20198、CVE-2023-20273、CVE-2023-46805、CVE-2024-21887和CVE-2024-3400。受控设备通过通用路由封装（GRE）隧道、修改的访问控制列表（ACL）、自定义容器和添加IP控制端口实现持久化。攻击者进一步利用TCP/49端口的终端访问控制器访问控制系统增强版（TACACS+）认证流量获取高权限管理员凭证，实现横向移动。

截至目前，Salt Typhoon已攻击超过80个国家的600多家组织。公告强调，对电信和交通网络的入侵使中国情报部门能够全球追踪通信和移动。专家敦促防御者关注配置变更、容器活动、异常隧道以及固件和日志的完整性问题。

为应对Salt Typhoon及类似威胁，指南呼吁快速打补丁、采用零信任模型、禁用未使用服务并加强认证。官员警告称，对手将愈发复杂，强调需淘汰过时系统并强化防御。