间谍软件允许网络威胁行为者针对即时通讯应用用户

发布日期：2025年11月24日

美国网络安全和基础设施安全局（CISA）发现多个网络威胁行为者正在积极利用商业间谍软件针对移动即时通讯应用用户。这些网络行为者使用复杂的定向攻击和社会工程学技术来传播间谍软件，未经授权访问受害者的通讯应用，为进一步部署恶意载荷创造条件，从而持续危害受害者的移动设备。

这些网络行为者使用的攻击手法包括：

• 通过钓鱼攻击和恶意设备关联二维码入侵受害者账户，将其关联到攻击者控制的设备
• 利用零点击漏洞，无需设备用户执行任何操作即可完成攻击
• 冒充Signal和WhatsApp等即时通讯平台

虽然当前攻击仍以机会性为主，但有证据表明这些网络行为者主要针对高价值个人，包括现任和前任高级政府、军事和政治官员，以及美国、中东和欧洲地区的公民社会组织和个人。

CISA强烈建议即时通讯应用用户查阅更新的《移动通信最佳实践指南》和《资源有限情况下的网络威胁缓解：公民社会指南》，了解保护移动通信和即时通讯应用的具体步骤，以及对抗间谍软件的缓解措施。

注释

1. Dan Black，《多个俄罗斯关联威胁行为者积极针对Signal通讯应用》，谷歌威胁情报博客，2025年2月19日更新
2. Unit 42，《LANDFALL：针对三星设备漏洞链的新型商业级Android间谍软件》，Unit 42威胁研究博客，2025年11月7日更新；Ravie Lakshmanan，《WhatsApp修补针对iOS和macOS设备的零点击漏洞》，The Hacker News，2025年8月30日
3. Vishnu Pratapagiri，《ClayRat：针对俄罗斯的新型Android间谍软件》，Zimperium博客，2025年10月9日；Bill Toulas，《Android间谍软件活动冒充Signal和ToTok通讯应用》，Bleeping Computer，2025年10月2日；Pierluigi Paganini，《ClayRat活动使用Telegram和钓鱼网站分发Android间谍软件》，Security Affairs，2025年10月9日
4. Courtney Rozen，《备忘录显示美国众议院设备禁用WhatsApp》，路透社，2025年6月23日；Andrew Solender，《众议院工作人员设备禁用WhatsApp》，Axios，2025年6月23日
5. Suzanne Smalley，《法官禁止NSO使用间谍软件针对WhatsApp用户，标志性案件赔偿金额降低》，The Record，2025年10月20日
6. Suzanne Smalley，《研究人员发现针对阿联酋通讯应用用户的间谍软件》，The Record，2025年10月2日
7. Paganini，《ClayRat活动使用Telegram和钓鱼网站分发Android间谍软件》