每周高级威胁情报解读(2025.11.28~12.04)
2025.11.28~12.04攻击团伙情报摩诃草(APT-Q-36)利用 WebSocket 的新木马 StreamSpy 分析APT36利用ELF恶意软件瞄准印度政府机构Bloody Wolf组织
阅读全文【严重!已复现】React Server Components (CVE-2025-55182)远程代码执行漏洞安全风险通告
第一章 安全通告尊敬的客户:近日,奇安信CERT监测到官方修复React Server Components 远程代码执行漏洞(CVE-2025-55182)和Next.js 远程代码执行漏洞(CVE
阅读全文摩诃草(APT-Q-36)利用 WebSocket 的新木马 StreamSpy 分析
团伙背景摩诃草,又名 Patchwork、白象、Hangover、Dropping Elephant 等,奇安信内部跟踪编号 APT-Q-36。该组织被普遍认为具有南亚地区背景,其最早攻击活动可追溯到
阅读全文每周高级威胁情报解读(2025.11.21~11.27)
2025.11.21~11.27攻击团伙情报RomCom组织利用SocGholish向美国公司部署恶意软件Kimsuky 通过钓鱼邮件分发imJongRAT 变种第40部门曝光:伊朗伊斯兰革命卫队内部
阅读全文披露SetcodeRat:一款专为中文地区定制的Telegram窃密特马
背景近期,奇安信威胁情报中心红雨滴团队在运营私有情报生产流程过程中发现一款此前从未被披露过的特种木马,正在中文地区大规模传播,我们将其命名为“SetcodeRat”。该木马内置针对Telegram的定
阅读全文每周高级威胁情报解读(2025.11.14~11.20)
2025.11.14~11.20攻击团伙情报UNC1549 针对航空航天和国防生态系统发起攻击Dragon Breath 使用 RONINGLOADER 部署新的 gh0st RAT 变种APT42组
阅读全文每周高级威胁情报解读(2025.11.07~11.13)
2025.11.07~11.13攻击团伙情报KONNI 利用谷歌资产追踪功能 Find Hub 实现远程数据擦除攻击Lazarus Group 携 Comebacker 新变种再攻航空航天与国防工业蔓
阅读全文每周高级威胁情报解读(2025.10.31~11.06)
2025.10.31~11.06攻击团伙情报Curly COMrades:通过隐藏的 Hyper-V 虚拟机实现规避和持久化研究人员披露 Silent Lynx 组织的 Peek-a-Baku 活动研
阅读全文Operation South Star:针对国产手机的 0day 间谍活动
概述最近几年,奇安信威胁情报中心红雨滴团队在与东北亚地区的高级 APT 组织进行高强度对抗的过程中,发现了近 20 个涉及国产软件的 0day 漏洞,部分细节我们已经在 Operation Devil
阅读全文每周高级威胁情报解读(2025.10.24~10.30)
2025.10.24~10.30攻击团伙情报SideWinder 采用基于 ClickOnce 的新型感染链Lazarus Group 利用 DreamLoader 恶意软件发起攻击Lazarus 以
阅读全文研发人员请注意:你克隆的代码,可能“带毒”
背景近期,奇安信网络安全部和威胁情报中心观察到有多个政企客户研发人员从 Github 上下载不可信的工具或安装包,从而导致开发终端被植入窃密或挖矿软件,可能会对公司核心数据造成潜在的影响。本文重点剖析
阅读全文一次针对 iOS 间谍武器开发人员的 0day 攻击到美国十大政府承包商 L3Harris 的陷落
引子该事件一开始源于 2025/10/23 日,x 上大 v @jsrailton 基于一篇帖子的回复,从字里行间可以看出疑似给五眼联盟开发相关网络武器的厂商 Trenchant 发生了信息泄露,提到
阅读全文每周高级威胁情报解读(2025.10.17~10.23)
2025.10.17~10.23攻击团伙情报COLDRIVER 启用新的恶意软件BeaverTail 和 OtterCookie 推出新的 Javascript 模块UNC5342 使用“EtherH
阅读全文TA585 组织利用 ClickFix 钓鱼技术部署 MonsterV2 RAT 的深度技术分析
事件概述2025 年 2 月,Proofpoint 首次发现了一个新的网络犯罪组织 TA585,该组织利用美国国税局(IRS)为主题的钓鱼邮件,包含指向恶意 PDF 的链接,诱导受害者访问使用 Cli
阅读全文蔓灵花(APT-Q-37)以多样化手段投递新型后门组件
团伙背景蔓灵花,又名 Bitter,奇安信内部跟踪编号 APT-Q-37。该组织被普遍认为具有南亚地区背景,长期针对中国、巴基斯坦等国家进行攻击活动,定向攻击的目标包括政府、电力、军工等领域的单位,意
阅读全文软硬件产品供应链攻击分析报告
摘要2025 年 8 月,与勒索组织 ShinyHunters 有关联的攻击团伙 GRUB1(又称 UNC6395)通过入侵 Salesloft 的 Drift 应用程序,窃取 OAuth 令牌,然后
阅读全文每周高级威胁情报解读(2025.10.10~10.16)
2025.10.10~10.16攻击团伙情报海莲花组织Havoc远控木马分析TwoNet 黑客组织瞄准 OT/ICSAPT35组织泄露的内部文件分析Mysterious Elephant利用 What
阅读全文另一个 SolarWinds 事件?F5 被攻击渗透事件简要信息整理及影响分析
事件概述2025 年 10 月 15 日,应用交付与安全领域巨头 F5 Networks 向美国证券交易委员会(SEC)提交了一份 8-K 表格,正式披露了一起重大网络安全事件。根据官方报告,一个被描
阅读全文利用 Oracle EBS 漏洞(CVE-2025-61882)的勒索活动综合技术分析报告
执行摘要本报告深入分析针对 Oracle E-Business Suite(EBS)的关键漏洞 CVE-2025-61882,以及其在大规模勒索活动中的实际利用情况。该漏洞 CVSS 评分为 9.8(
阅读全文每周高级威胁情报解读(2025.09.26~10.09)
2025.09.26~10.09攻击团伙情报Cavalry Werewolf 利用信任关系攻击袭击俄罗斯公共部门Confucius 攻击工具从窃取器向模块化后门演进分析 DPRK IT Workers
阅读全文揭秘魔罗桫(confucius)组织武器库源代码
背景在 2020 至 2021 年期间,我们曾系统性地披露了魔罗桫(Confucius)组织的《提菩行动》[1] 以及 Operation Angi[2] 等系列间谍活动。时隔多年,该组织的整体战术、
阅读全文奇安信威胁情报MCP V2.0全新升级:洞察“幕后黑手”,威胁行为体画像功能全面上线!
网络攻击来袭,仅凭一个IP😅,您能知晓什么?攻击者是谁🕵️🕵?来自何方🌎?有何图谋😈?惯用何技🛠?🔍奇安信威胁情报MCP V2.0全新升级!“威胁行为体画像“功能上线,一键深挖威胁表象;直击攻击组织核
阅读全文每周高级威胁情报解读(2025.09.19~09.25)
2025.09.19~09.25攻击团伙情报COLDRIVER 使用 BAITSWITCH 和 SIMPLEFIX 更新武器库Nimbus Manticore 针对欧洲目标部署新恶意软件Kimsuky
阅读全文每周高级威胁情报解读(2025.09.12~09.18)
2025.02.14~02.20攻击团伙情报绘制 MuddyWater 基础设施和恶意软件生态系统图APT28 组织 Phantom Net Voxel 行动揭秘深入分析“伪猎者”组织Github仓库
阅读全文Shai-Hulud 蠕虫蔓延NPM生态攻击与近期系列事件关联分析
Shai-Hulud 蠕虫攻击概述2025 年 9 月 15 日晚,一场针对 npm 生态系统的大规模供应链攻击开始爆发,这种被命名为"Shai-Hulud"的恶意软件以其自我复制能力迅速引起安全研究
阅读全文又又一起NPM供应链投毒:valorkin 和 scttcper 账户被入侵事件,影响广泛
事件概述2025 年 9 月 15 日,一起严重的 NPM 组件投毒事件,影响了两位知名开发者维护的近 40 个开源组件。这次攻击针对开发者 valorkin(维护 86 个开源项目)和 scttcp
阅读全文Plague 后门深度分析:Linux 系统中的隐形杀手
意外发现:YARA 规则与隐藏威胁Nextron Research 的研究人员在近期开展的持续性威胁狩猎行动中,发现了一种此前似乎未被公开记录的、极其隐蔽的 Linux 后门。该后门被研究人员命名为
阅读全文每周高级威胁情报解读(2025.09.05~09.11)
2025.09.05~09.11攻击团伙情报APT37 利用 Rust 后门和 Python 加载器攻击 WindowsAPT28 使用 GONEPOSTAL 进行攻击Contagious Inter
阅读全文泛滥的供应链攻击又一例 - GhostAction行动窃取凭证信息事件解析
事件概述2025 年 9 月 5 日,GitGuardian 安全研究团队发现了一起代号为"GhostAction"的大规模供应链攻击事件。这次攻击针对 GitHub 平台上的 CI/CD 流程,通过
阅读全文JavaScript 生态供应链又一暴击 - 最新 npm 精准投毒搞钱活动详析
引言:从粗放到精准的供应链攻击演化2025 年 9 月,JavaScript 生态系统遭遇了一次堪称"外科手术式"的供应链攻击。攻击者通过精心设计的社会工程学手段,成功获取了知名开发者 Josh Ju
阅读全文