APT 组织
30 篇文章
国家级与高级持续性威胁行动、攻击组织与工具链。
HIGH秘密暴雪升级Kazuar后门为P2P僵尸网络
秘密暴雪将Kazuar发展为具有150个配置选项的模块化P2P僵尸网络,绕过AMSI/ETW,并拥有静音模式节点。微软详细介绍了三模块架构。
HIGHOceanLotus APT 利用 PyPI 包分发 ZiChatBot 恶意软件
卡巴斯基将 PyPI 供应链活动归因于 OceanLotus APT,使用假冒的 wheel 包来投放滥用 Zulip 聊天 API 进行 C2 的 ZiChatBot 恶意软件,影响 Windows 和 Linux 系统。
HIGHAPT37 针对中国境内朝鲜族人使用 Android BirdCall 恶意软件
ESET 表示 APT37 破坏了 Sqgame 纸牌游戏平台,向 Android 设备传递 BirdCall 后门,窃取延边朝鲜族人的短信、通话记录和私钥。
CRITICAL朝鲜洗钱2026年被盗加密货币的76%
朝鲜黑客在2026年洗钱了所有被盗加密货币的76% —— 23亿美元 —— 根据Chainalysis的数据。
HIGHAPT29, Intellexa, NSO 共享相同的漏洞链
Google TAG 发现 APT29 使用的漏洞链与 Intellexa 和 NSO Group 部署的漏洞链相同,暗示共享零日供应商或漏洞转售。
HIGHSilver Dragon APT 针对东南亚、欧洲进行间谍活动
Check Point Research 追踪到 Silver Dragon,一个与 APT41 有操作联系的中国对齐 APT 组织,针对东南亚和欧洲的政府和电信实体进行攻击,使用...
HIGH伊朗冲突蔓延:针对关键基础设施的网络威胁
ESET 警告称,随着中东冲突的升级,针对全球能源、水和交通部门的伊朗网络活动增加。
HIGHSilver Fox APT 伪装成日本税务邮件在目标活动中
ESET 详细描述 Silver Fox APT 针对日本公司,使用以税务为主题的网络钓鱼邮件,在税务季节通过武器化的 Excel 附件传递恶意软件。
HIGH网络攻击者利用电压波动对抗电网
Dark Reading 报告称攻击者正在操纵电压以破坏电网 —— 这是一个日益增长的网络物理威胁向量,针对没有补丁的电力基础设施进行攻击…
HIGHGopherWhisper APT 针对蒙古政府进行间谍活动
ESET 发现与中国对齐的 APT GopherWhisper 针对蒙古政府机构使用基于 Go 的定制恶意软件,利用合法服务进行 C2。
HIGHLazarus 通过 ClickFix 劫持 macOS 以针对高管
Lazarus APT 利用 ClickFix 社会工程学来传递 macOS 恶意软件 —— 假的浏览器更新提示诱使高管运行 AppleScript 有效载荷,这些载荷窃取凭证并…
HIGHTropic Trooper APT 劫持家用路由器以针对日本网络
中国政府支持的 Tropic Trooper 正在破坏家用路由器作为代理据点,以渗透日本组织,转向新的 TTPs 和受害者行业。
HIGHUnit 42 追踪 TGR-STA-1030 在中南美洲的活动
Palo Alto Unit 42 报告称 TGR-STA-1030 在中南美洲保持活跃,针对政府和能源部门使用定制恶意软件和本地存活技术。
HIGH朝鲜黑客通过木马化软件窃取1200万美元加密货币
朝鲜黑客在2026年第一季度使用木马化的交易应用程序如CoinStats和TradingView AI Agent窃取了超过1200万美元的加密货币,以窃取恢复短语和…
HIGH中国关联的GopherWhisper攻击12个蒙古国政府系统
ESET识别出与China对齐的APT GopherWhisper,自2026年初以来,利用基于Go的后门、注入器和加载器侵入12个蒙古国政府系统。
HIGHGopherWhisper APT 使用 Go 工具,合法服务在政府攻击中
GopherWhisper,一个新的国家支持的 APT,针对政府实体使用基于 Go 的工具包滥用 Outlook、Slack 和 Discord 进行 C2。
HIGHLotus Wiper 针对委内瑞拉能源部门在美国干预前发起攻击
Lotus Wiper 恶意软件针对委内瑞拉国有能源公司 PDVSA,通过覆盖驱动器和删除文件破坏数据,在美国领导的干预行动之前,即 2026 年 3 月。
HIGH英国网络机构每周处理四起重大事件
英国NCSC报告称每周处理四起具有全国意义的网络事件,其中大部分现在归因于像中国和俄罗斯这样的敌对外国,从每周两起增加...
HIGH朝鲜假工作诈骗通过'传染式面试'传播恶意软件
朝鲜特工使用一种'传染式面试'策略,其中被入侵开发者的GitHub仓库将RATs传播给其他求职者。
HIGHSideWinder APT 部署假 Chrome PDF 查看器和 Zimbra 克隆以窃取
SideWinder APT 针对南亚政府机构发起网络钓鱼活动,使用假 Chrome PDF 查看器和克隆的 Zimbra 登录门户窃取网络邮件凭证,活动自 2026 年 2 月开始。
CRITICALLazarus Group 窃取 KelpDAO 跨链桥攻击中的 2.9 亿美元
朝鲜的 Lazarus Group 利用智能合约漏洞从 KelpDAO 跨链桥窃取了 2.9 亿美元,标志着 2026 年最大的 DeFi 抢劫案之一,并突显了跨链基础设施中持续存在的风险。
HIGH朝鲜特工使用AI和假身份通过远程面试渗透公司
根据Flare研究,朝鲜特工正在使用AI工具和伪造文件通过远程工作面试。这种策略旨在将威胁行为者长期安置在目标公司内,进行间谍活动和网络访问。
HIGHUNC1069 针对加密专业人士使用假 Zoom 和 Teams 会议
根据最新研究,朝鲜威胁行为者 UNC1069 利用假 Zoom 和 Microsoft Teams 会议吸引 Web3 专业人士,部署窃取加密货币的恶意软件。
HIGHUAC-0247 威胁行为者针对乌克兰目标部署数据窃取恶意软件
乌克兰 CERT-UA 将新活动归因于威胁行为者 UAC-0247,该行为者使用网络钓鱼诱饵部署恶意软件,窃取政府和医疗系统上的 Chromium 浏览器和 WhatsApp 数据。
HIGHSapphire Sleet 针对 macOS 用户的假 Zoom SDK 更新
朝鲜威胁行为者 Sapphire Sleet 通过假 Zoom SDK 安装程序分发新的 macOS 恶意软件,通过多阶段社会工程活动窃取密码、加密钱包和个人数据。
HIGHAPT37 通过 Facebook 针对个人部署 RokRAT 恶意软件
朝鲜的 APT37 组织正在 Facebook 上进行一场社会工程学活动,使用假档案建立信任并向目标个人传递 RokRAT 远程访问木马。
HIGHAPT41 部署隐蔽后门以窃取云凭证
与中国有关的威胁行为者 APT41 正在针对 AWS、Google、Azure 和阿里巴巴云部署一种新型的、低检测率的后门,以窃取凭证并建立持久性。
HIGHFancy Bear APT 利用未修补漏洞进行全球间谍活动
俄罗斯的 APT28(Fancy Bear)正在进行一场全球网络间谍活动,利用路由器和网络设备中未修补的漏洞渗透政府和国防目标。
HIGH伊朗 CyberAv3ngers 加剧对美国水、工业基础设施的攻击
得到伊朗支持的威胁行动者 CyberAv3ngers,与伊朗革命卫队(IRGC)有关,已经从黑客行动主义演变为针对美国水务设施和可编程逻辑控制器(PLCs)进行破坏性网络行动。
HIGH朝鲜Lazarus集团通过Axios供应链攻击入侵OpenAI
朝鲜的Lazarus集团通过Axios客户端库的供应链攻击入侵了OpenAI的内部系统,使用被盗的macOS代码签名证书来签名恶意软件。
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。