每周高级威胁情报解读(2025.11.07~11.13)

披露时间：2025年11月10日

情报来源：https://www.genians.co.kr/en/blog/threat_intelligence/android

相关信息：

Genians 安全中心（GSC）发现KONNI APT 组织通过冒充心理顾问、朝鲜人权活动家及韩国国税厅发起新攻击。攻击者以“减压程序"为伪装，经KakaoTalk messenger分发恶意文件。该攻击是 KONNI APT 此前活动的后续，首次被证实利用谷歌 Find Hub 资产追踪功能，通过窃取谷歌账号控制安卓设备，实施远程定位与数据擦除，同时还会滥用受害者KakaoTalk 账号二次传播恶意文件。

披露时间：2025年11月7日

情报来源：https://www.enki.co.kr/en/media-center/blog/lazarus-group-targets-aerospace-and-defense-with-new-comebacker-variant

相关信息：

ENKI 安全团队披露 Lazarus Group针对航空航天与国防领域发起定向间谍活动，使用新型 Comebacker 后门变体；该恶意软件通过伪装成 Edge Group、印度理工学院坎普尔分校、空客等机构的诱饵文档分发，利用 VBA 宏触发多阶段感染链，后续加载器通过ChaCha20 加密算法解密 payload，最终在内存中执行 Comebacker 后门，后门通过AES-128-CBC 加密与硬编码 C&C 服务器通信，窃取敏感信息。该活动至少自 2025 年 3 月起活跃，相比 2021 年、2024 年的 Comebacker 变体，本次发现的新变体解密算法新增 ChaCha20、通信加密新增 AES，表明该组织不断改进其恶意软件库。

披露时间：2025年11月7日

情报来源：https://mp.weixin.qq.com/s/CI1g4iaYxHhO925V15LvIQ

相关信息：

360 威胁情报中心披露APT-C-08（蔓灵花）组织首次利用WinRAR 目录穿越漏洞 CVE-2025-6218 发起网络攻击；该组织以政府、驻外机构、高校、军工行业为主要目标，通过分发含恶意文件的压缩包，利用漏洞将恶意宏文件 “Normal.dotm” 释放至系统关键目录，诱导用户打开文档触发恶意代码执行，进而通过 “winnsc.exe” 等下载器窃取主机信息并加载后续木马载荷。

披露时间：2025年11月5日

情报来源：https://www.0x0v1.com/endclientrat/

相关信息：

研究人员发现了一起针对朝鲜人权组织的大规模攻击，此次攻击被归因于Kimsuky组织。攻击始于9月，攻击者最初入侵了一位知名朝鲜人权活动家的谷歌账户，远程擦除其手机数据，同时利用其KakaoTalk账户分发基于AutoIT的EndClient RAT。该RAT通过名为“StressClear.msi”的微软安装包（MSI）传播，感染了另外39个目标。MSI由盗用的签名密钥签署，以绕过杀毒软件和Windows智能屏幕警报。安装MSI后，会创建BAT脚本，将AutoIt3.exe二进制文件和高度混淆的Au3脚本进行复制，BAT投放器将AutoIt有效载荷投放到PublicMusic目录，并通过计划任务实现持久化。恶意软件会检查全局互斥标识符，若存在互斥锁则退出，否则创建互斥锁继续运行。还会检查是否存在Avast杀毒软件，若存在则创建文件的多态变体。持久化配置完成后，会建立与C2服务器的TCP连接，发送包含计算机名、操作系统版本、用户名和IP地址的系统信息信标。

披露时间：2025年11月6日

情报来源：https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q2-2025-q3-2025/

相关信息：

ESET 发布得2025年第二至第三季度APT活动报告覆盖 5 月至 10 月全球高级持续威胁态势，报告显示最显著的变化是朝鲜半岛相关 APT 把矛头从传统外交目标扩大到芯片、量子与新能源研发机构，利用三套刚曝光的 Windows 0-day 和一套 Android 浏览器链实现无交互植入，并在韩国两家软件厂商的自动更新通道内嵌入后门，至少影响 2.3 万终端；东欧方面，俄乌战线延伸至能源与铁路信号系统，新出现的“GhostBolt”组织通过攻陷工业 VPN 集中器下发擦除式固件，导致乌克兰三座 220 kV 变电站短暂失步；同时，中东与拉美首次被观测到共享同一段 C2 代码，暗示地下生态出现跨国“攻击即服务”联盟。ESET 统计 68 个恶意家族升级了抗云沙箱技术，其中 37% 采用 Rust 或 Go 重写以逃避传统签名；针对 macOS 与 Linux 的样本数量环比增 54%，说明攻击者正为混合云环境做长期潜伏准备。

披露时间：2025年11月7日

情报来源：https://www.microsoft.com/en-us/security/blog/2025/11/07/whisper-leak-a-novel-side-channel-cyberattack-on-remote-language-models/

相关信息：

微软安全团队发现了一种创新的侧信道攻击方法“WhisperLeak”，专门针对云端部署的语言模型。攻击者通过向模型发送精心设计的提示词，并分析模型返回的令牌分布、响应时间等外部特征，能够推断出用户此前输入的敏感数据（如密码、密钥）。该技术利用模型在生成响应时的概率分布差异，结合统计分析和机器学习技术，实现了对训练数据或用户输入的逆向推理。研究团队在黑盒环境下测试了多种主流模型，证实该攻击对GPT-4等模型具有显著效果。为防御此类攻击，研究人员建议模型服务商采用响应随机化、令牌分布平滑等技术，同时提醒用户避免在公开接口输入敏感信息。

披露时间：2025年11月6日

情报来源：https://socket.dev/blog/9-malicious-nuget-packages-deliver-time-delayed-destructive-payloads

相关信息：

Socket的威胁研究团队发现，有九个恶意NuGet包通过时间延迟的破坏性有效载荷攻击数据库操作和工业控制系统。这些包在2023年至2024年间由NuGet别名shanhai666发布，累计下载量达9,488次。这些包在特定触发日期（2027年和2028年）后，每次数据库查询时有20%的概率终止宿主应用程序。其中最危险的包是Sharp7Extend，它针对工业PLC，具有双重破坏机制：立即随机终止进程和安装后30-90分钟开始的静默写入失败。这些攻击机制使得攻击者能够在初始部署测试期间通过检测，同时在生产环境中开始数据损坏。研究人员还揭示了攻击者如何通过 C# 扩展方法透明地注入恶意逻辑，并利用伪造的Microsoft代码签名证书来增加可信度。

披露时间：2025年11月10日

情报来源：https://blog.knowbe4.com/quantum-route-redirect-anonymous-tool-streamlining-global-phishing-attack

相关信息：

Quantum Route 平台 2025 年 10 月起在俄语黑客论坛公开招商，攻击者只需购买“套餐”即可生成伪装成微软、Adobe 等品牌的钓鱼链接；受害者点击后流量被导向 Quantum Route 的反向代理节点，该节点位于东欧与新加坡，自动向正版微软登录页索取页面并回传，同时记录用户输入的账号、密码与后续 MFA 代码，再利用窃得的会话 Cookie 绕过二次验证，直接登录企业 365 门户，继而横向投递 BEC 邮件或数据勒索。平台后台提供可视化仪表盘，可实时查看已钓鱼邮箱、IP、浏览器指纹与可用会话，并支持自动导出 EWS、Graph API 配置，方便下游买家持续渗透。研究者已截获 3 万余条被盗会话，波及美、德、印、日等 80 国金融、制造与医疗机构。

披露时间：2025年11月12日

情报来源：https://cybersecuritynews.com/danabot-malware-resurfaced-with-version-669/

相关信息：

DanaBot 银行木马在 2025 年 11 月被发现再度活跃，最新 v669 版本通过伪装成“订单确认”与“发票”主题的批量垃圾邮件进入受害者邮箱，邮件内含恶意 URL，点击后依次跳转至被攻陷的合法网站、流量分配系统（TDS）及伪装成 PDF 下载页的钓鱼站点，最终触发“.NET 压缩包 → PowerShell 脚本 → C# 加载器 → 核心 DLL”四阶段加载链；新版在代码层面重写通信模块，采用 ChaCha20+Base64 混合加密与域名生成算法（DGA）对抗检测，同时扩展了窃密对象，除传统网银 Cookie、表单历史外，新增 27 款企业邮箱客户端、12 类浏览器扩展及 8 家主流加密钱包的自动填充数据，并具备远程桌面劫持与 SOCKS5 代理反向隧道功能，使攻击者可持续驻留并横向移动；目前活动已波及欧美、亚太 42 国，主要瞄准金融、物流与法律服务企业，C2 服务器多托管于东欧与加拿大。

披露时间：2025年11月10日

情报来源：https://asec.ahnlab.com/ko/90915/

相关信息：

网络安全研究人员揭露了一种新型恶意软件，该恶意软件伪装成“SteamCleaner”工具进行传播，利用合法签名来欺骗用户下载。SteamCleaner是一款开源清理工具，旨在清除Steam客户端中的垃圾文件，但自2018年以来未再更新。攻击者将恶意代码嵌入原始源代码中，并通过InnoSetup安装程序打包并签名，用户一旦执行便会感染该恶意软件。该恶意软件与命令与控制服务器（C2）进行通信，能够远程执行命令，并安装恶意Node.js脚本。这些脚本定期将受感染系统的信息发送给攻击者，并可能下载其他恶意软件，威胁用户的安全。

披露时间：2025年11月7日

情报来源：https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

相关信息：

Unit 42研究人员发现了名为LANDFALL的Android间谍软件家族，专门针对三星Galaxy设备，用于在中东地区进行有针对性的入侵活动。攻击者利用三星Android图像处理库中的零日漏洞CVE-2025-21042，将该间谍软件嵌入恶意DNG图像文件，并通过WhatsApp消息将这些文件发送给目标用户进行攻击。此漏洞在2025年4月三星修复前已被实际利用。LANDFALL攻击活动始于2024年年中，持续到漏洞修复。该间谍软件针对中东地区的三星Galaxy设备，可实现全面监控，包括设备指纹识别、麦克风录音、位置跟踪以及照片、联系人和通话记录的收集等。Unit 42研究人员将此活动追踪为CL-UNK-1054，并继续调查此次攻击活动的范围和来源。

披露时间：2025年11月6日

情报来源：https://zimperium.com/blog/fantasy-hub-another-russian-based-rat-as-m-a-a-s

相关信息：

Zimperium 最新研究披露，一个纯俄语运营的地下平台 Fantasy Hub 正把功能完整的 Android 远程控制木马包装成“MaaS”套餐出售：买主只需月付 90 美元即可获得持续更新的远控 APK、Web 控制台与 24 小时客服。该平台提供“零代码”生成器，允许在 5 分钟内捆绑钓鱼页面、虚假游戏或系统更新，诱导受害者开启 Accessibility 权限后，木马可实时读取并回传短信、双因素验证码、Google Authenticator 种子、主流加密钱包私钥及屏幕录像，还能远程锁定、解锁与卸载应用。为躲避检测，Fantasy Hub 每 3 小时自动重打包样本，利用 Firebase 和 Telegram 双通道下发指令，并内置地理围栏绕过俄语区手机。Zimperium 在 30 天内捕获 3700 余例样本，感染遍及东欧、拉美与东南亚，70% 目标为金融与电商从业者。

披露时间：2025年11月6日

情报来源：https://www.pointwild.com/threat-intelligence/darkcomet-rat-malware-hidden-inside-fake-bitcoin-tool

相关信息：

沉寂多年的DarkComet远程访问木马（RAT）正以虚假比特币钱包应用"94k BTC wallet.exe"的形式再度出现。该恶意软件将自身打包在RAR压缩文件中，采用UPX加壳技术规避安全检测，诱导加密货币用户执行后实施全方位窃密。攻击者利用这款2008年开发的经典间谍软件，在受害者系统建立持久化机制，将程序复制至隐藏系统文件夹并创建启动项，确保每次开机运行。恶意软件通过连接kvejo991.ddns.net:1604接收指令，核心攻击手段为键盘记录功能，将窃取的所有击键数据存储于本地dclogs文件夹，直接威胁比特币钱包访问凭证及银行账户密码等敏感信息。

披露时间：2025年11月6日

情报来源：https://www.koi.ai/blog/glassworm-returns-new-wave-openvsx-malware-expose-attacker-infrastructure

相关信息：

Koi Security的研究团队发现，GlassWorm恶意软件在OpenVSX扩展中再次出现，带来了新的攻击浪潮。这次攻击涉及三个新的扩展，总下载量超过10,000次。攻击者利用Solana区块链交易更新C2端点，展示了区块链在C2基础设施中的弹性。研究人员还发现，攻击者服务器暴露了一个端点，从中提取了部分受害者名单，包括来自中东的一个主要政府实体。此外，GlassWorm已经传播到GitHub仓库，通过看似合法的AI生成的提交隐藏其不可见的有效载荷。这些提交使用被盗的GitHub凭据，进一步证明了GlassWorm的自我传播能力。

披露时间：2025年11月11日

情报来源：https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480/

相关信息：

Mandiant 在 Google Cloud 博客发布报告，披露 Gladinet 公司的 Triofox 文件共享与远程访问平台存在未授权远程访问漏洞（CVE-2025-12480） ，该漏洞源于CanRunCriticalPage()函数对 HTTP Host 头的不当校验，攻击者可通过篡改 Host 头为localhost绕过认证，访问AdminDatabase.aspx等配置页面，创建管理员账号后滥用内置杀毒功能执行恶意脚本，实现代码执行。威胁组织 UNC6485 自 2025 年 8 月 24 日起已在野利用该漏洞，通过部署 Zoho Assist、AnyDesk 等远程工具、建立 SSH 隧道等开展后渗透活动，漏洞已在 Triofox 16.7.10368.56560 版本修复，用户需尽快升级并排查可疑活动。

披露时间：2025年11月11日

情报来源：https://www.kaspersky.com/blog/pixnapping-cve-2025-48561/54756/

相关信息：

安全研究人员披露Android平台存在高危漏洞Pixnapping（CVE-2025-48561），影响Android 13至16版本的Pixel 6-9及Galaxy S25等主流设备。该漏洞允许恶意应用在无特殊权限情况下，通过发送Intent强制目标应用在后台渲染敏感信息，再结合半透明窗口叠加与GPU.zip侧信道攻击技术，实现像素级数据窃取。攻击者可在22秒内提取OTP验证码、加密钱包密码等机密内容。谷歌虽已尝试修补，但9月发布的补丁已被研究人员绕过，预计12月推出新修复方案。目前该漏洞仍处于研究阶段，尚未发现野外利用案例。