每周高级威胁情报解读(2025.11.28~12.04)

披露时间：2025年12月2日

情报来源：https://mp.weixin.qq.com/s/nTfpQW8QDE2GPOp7gMXFwQ

相关信息：

摩诃草组织（APT-Q-36）是一种具有南亚背景的网络间谍组织，其活动可追溯至2009年，主要针对亚洲地区的政府、军事和科研机构。近期，奇安信威胁情报中心发现该组织开发的新木马StreamSpy，该木马通过WebSocket和HTTP协议与C2服务器通信，能够执行远程命令、下载文件、收集设备信息等操作。StreamSpy木马通过伪装的PDF文件诱导用户运行恶意程序，其配置数据包含C2服务器信息和用于通信的URL路径。木马还具备持久化能力，可通过计划任务或注册表项实现。此外，StreamSpy与摩诃草组织的Spyder下载器存在关联，且与肚脑虫组织的样本共享数字签名，表明这些组织在资源共享方面存在联系。

披露时间：2025年11月29日

情报来源：https://www.cyfirma.com/research/apt36-python-based-elf-malware-targeting-indian-government-entities/

相关信息：

Cyfirma安全分析师发现APT36组织针对印度政府和战略部门发起了一场网络间谍活动。攻击者利用精心设计的鱼叉式网络钓鱼邮件，诱导收件人打开恶意的Linux快捷文件。这些文件看似正常，但在执行时会在后台悄悄下载并运行恶意组件。恶意软件以“Analysis_Proc_Report_Gem_2025.zip”为初始交付载体，存档包含的“.desktop”文件会伪装成正常文档，通过执行隐藏的shell命令，从攻击者控制的服务器下载名为swcbc的ELF二进制文件和shell脚本swcbc.sh。对ELF样本进行分析，它是一个基于Python的远程管理工具（RAT），具备跨平台能力，可在Linux和Windows环境下运行。该恶意软件能收集系统信息、建立唯一标识符、与攻击者服务器通信、执行任意命令、进行文件传输、实现持久化、进行数据窃取和屏幕截图等操作。

披露时间：2025年11月26日

情报来源：https://www.group-ib.com/blog/bloody-wolf/

相关信息：

Group-IB研究人员观察到，自2025年6月起，名为Bloody Wolf的威胁行为者发起针对吉尔吉斯斯坦的网络攻击活动，目标是交付NetSupport RAT。到2025年10初，其攻击范围扩大至乌兹别克斯坦。攻击者通过伪装成吉尔吉斯斯坦司法部，利用看似官方的PDF文档和域名，这些文档和域名又托管了旨在部署NetSupport RAT的恶意Java归档(JAR)文件。攻击采用社会工程学和易获取的工具，通过钓鱼邮件，诱使收件人点击链接下载恶意JAR加载器文件并安装Java Runtime，进而执行加载器以获取NetSupport RAT并建立持久化。在针对乌兹别克斯坦的攻击中还加入了地理围栏限制。

披露时间：2025年11月28日

情报来源：https://blog.synapticsystems.de/inside-gamaredon-2025-zero-click-espionage-at-scale/

相关信息：

2025 年 2 月至 11 月，俄罗斯关联黑客组织 Gamaredon 针对乌克兰军事、政府等机构发起大规模间谍活动，以零点击漏洞 CVE-2025-6218 为核心感染向量，通过伪装成乌克兰相关公文的 RAR/HTA/LNK 等钓鱼附件传播，依托DynDNS+Fast-Flux+Telegram+graph.org的混合 C2 架构与双层地理围栏防护，经 Pteranodon 二级加载器部署窃取、擦除、横向传播等模块，实现长期间谍活动与系统破坏，其攻击具备强针对性、高隐蔽性与灵活适配性。

披露时间：2025年12月2日

情报来源：https://www.trendmicro.com/en_us/research/25/l/water-saci.html

相关信息：

Water Saci是一个针对巴西用户的恶意软件活动，通过WhatsApp传播，利用多格式攻击链（包括HTA文件、ZIP存档和PDF）和AI技术增强其传播能力。攻击者通过社会工程学手段诱导用户下载恶意文件，如HTA文件，这些文件包含多层混淆的VB脚本，用于下载和安装银行木马。攻击者还利用Python脚本自动化WhatsApp的传播过程，包括批量发送恶意文件和联系人列表的提取。

披露时间：2025年12月2日

情报来源：https://www.welivesecurity.com/en/eset-research/muddywater-snakes-riverbank/

相关信息：

MuddyWater是一个自2017年以来活跃的伊朗相关APT组织，主要针对中东和北美地区的政府和关键基础设施。在此次活动中，MuddyWater使用了新的自定义工具，如Fooder加载器和MuddyViper后门，以提升其攻击的隐蔽性和持久性。Fooder加载器能够将MuddyViper后门反射加载到内存中执行，而MuddyViper则可以收集系统信息、执行文件和命令、窃取Windows登录凭证和浏览器数据。此外，该组织还使用了CE-Notes和LP-Notes等工具来窃取浏览器数据和用户凭证。此次攻击活动表明MuddyWater的技术手段和操作复杂性有所提升，其攻击目标主要集中在以色列和埃及的多个行业，包括工程、地方政府、制造业、技术和交通等。

披露时间：2025年11月29日

情报来源：https://medium.com/@meeswicky1100/unmasking-a-new-dprk-front-company-dredsoftlabs-bf9ed544d690

相关信息：

研究人员分析了朝鲜支持的APT组织Wagemole如何利用虚假公司DredSoftLabs进行恶意活动。Wagemole通过伪造身份和虚假招聘广告，利用被盗的个人信息在西方国家获取远程工作机会。这些虚假身份包括伪造的护照和驾驶执照，攻击者还准备了面试指南，利用生成式AI生成结构化的回答。他们通过Upwork和Indeed等平台寻找目标，并利用自动化脚本创建账户。文章通过GitHub上的恶意代码库揭示了Wagemole的活动模式，这些代码库包含用于传播恶意软件的配置信息。通过高级搜索，作者发现了77个恶意GitHub仓库，这些仓库与Wagemole的活动相关。文章还指出，DredSoftLabs的LinkedIn页面和网站上的链接也符合Wagemole的典型手法，进一步证实了DredSoftLabs是Wagemole的虚假前端公司。

披露时间：2025年11月29日

情报来源：https://blog.alyac.co.kr/5682

相关信息：

近期，与Kimsuky组织有关联的KimJongRAT恶意软件以 .hta文件为载体，通过伪装成「国税通知书.pdf (tax_notice).zip」的钓鱼邮件进行传播。压缩包内隐藏着伪装成PDF的lnk快捷方式文件，运行后会经过Base64解码URL、调用mshta.exe下载tax.hta文件（内含VBScript加载器）。该攻击还会根据Windows Defender是否激活的状态分发不同的攻击载荷，最终窃取系统信息、浏览器数据、加密货币钱包信息等各类敏感数据，并通过run注册表项确保持久化。该攻击主要针对韩国国内目标，HTA文件因依托合法的系统进程容易规避检测，需注意系统更新与文件校验。

披露时间：2025年12月2日

情报来源：https://www.malwarebytes.com/blog/news/2025/12/sleeper-browser-extensions-woke-up-as-spyware-on-4-million-devices

相关信息：

Koi研究人员发现了一个长达七年的恶意软件活动，攻击者通过浏览器扩展感染了430万Chrome和Edge用户，利用这些扩展进行远程代码执行、数据收集和隐私侵犯。该活动分为多个阶段进行，在第一阶段，通过伪装成壁纸或生产力工具的145个扩展进行简单的联盟欺诈，通过在用户点击特定网站时注入联盟跟踪代码来获利。第二阶段，攻击者开始劫持浏览器的核心功能，如搜索重定向和Cookie窃取。第三阶段，通过长期运营的扩展（如Clean Master）积累了大量用户后，通过更新机制将这些扩展武器化，实现远程代码执行和完整的浏览器监控。第四阶段，通过5个扩展（包括WeTab）收集了超过400万用户的浏览历史、搜索查询和鼠标点击数据。这些扩展仍然活跃在Microsoft Edge市场中，随时可能被武器化。

披露时间：2025年11月28日

情报来源：https://securelist.com/tomiris-new-tools/118143/

相关信息：

研究人员介绍了Tomiris组织在2025年的新攻击活动，主要针对外交和政府机构。攻击者使用多种编程语言（如Go、Rust、C/C++、Python等）开发恶意软件，并通过钓鱼邮件中的恶意附件进行初始感染。这些工具包括反向Shell、文件窃取器和基于Havoc及AdaptixC2框架的后渗透工具。攻击者还利用Telegram和Discord作为C2服务器，通过公共API与恶意软件通信，以躲避安全检测。研究人员通过分析发现，Tomiris组织的攻击具有明显的多语言特征，并且攻击手法更加隐蔽和复杂。

披露时间：2025年11月28日

情报来源：https://www.nextron-systems.com/2025/11/28/thor-vs-silver-fox-uncovering-and-defeating-a-sophisticated-valleyrat-campaign/

相关信息：

研究人员发现Silver Fox 团伙通过钓鱼邮件和恶意广告传播伪装成 Telegram、Chrome 等热门工具的恶意安装程序，借助多层混淆、端点安全篡改、BYOVD 等技术实施复杂攻击，经多阶段载荷投递后最终部署ValleyRat 远控木马以维持长期控制。核心攻击链分为 6 个阶段，各阶段关键目的明确：1. 初始执行阶段通过伪装安装程序tg.exe创建异常目录并篡改 Defender 配置，规避初始检测；2. 载荷提取阶段通过重命名 7-Zip 工具解压加密包，部署核心控制组件men.exe；3. 组件部署阶段侦察系统防御状态，释放权限提升、驱动等关键组件并锁定目录权限；4. 权限提升与持久化阶段通过 UAC 绕过获取高权限，创建伪装计划任务确保长期运行；5. 防御规避阶段通过双驱动滥用削弱系统防御，最终激活 ValleyRat；6. 远控阶段通过 C2 通信实现长期控制与数据窃取，形成完整攻击闭环。

披露时间：2025年11月26日

情报来源：https://www.darktrace.com/blog/castleloader-castlerat-behind-tag150s-modular-malware-delivery-system

相关信息：

TAG-150 是一家自 2025 年 3 月起活跃的移动应用即服务 (MaaS) 运营商，它利用 CastleLoader 和 CastleRAT 发起多阶段攻击。CastleLoader 作为加载器，通过欺骗性域名和恶意 GitHub 代码库检索并执行其他恶意软件；而 CastleRAT 则作为远程访问木马，为攻击者提供系统控制、命令执行和数据窃取能力。

披露时间：2025年12月3日

情报来源：https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets

相关信息：

Albiriox是一种针对Android设备的新型恶意软件，能够使攻击者完全远程控制受感染的智能手机，进而实施金融诈骗。该恶意软件通过VNC模块实现屏幕实时流媒体传输，甚至可以绕过双重认证等安全措施。Albiriox的运作由讲俄语的威胁行为者（TA）控制，以MaaS的形式提供，攻击者只需订阅即可使用。其感染过程包括通过SMS发送钓鱼链接，诱导用户下载伪装应用，随后通过多阶段下载器安装最终恶意软件。Albiriox使用Golden Crypt技术进行混淆，以躲避静态分析检测，并利用无障碍功能权限进行覆盖攻击和键盘记录。它针对全球400多个金融和加密货币应用，通过未加密的TCP通信与C2服务器交互。

披露时间：2025年12月2日

情报来源：https://www.zscaler.com/blogs/security-research/technical-analysis-matanbuchus-3-0

相关信息：

Matanbuchus 3.0是一种复杂的恶意软件，其攻击过程包括初始感染、下载器模块和主模块的部署。攻击者通过QuickAssist和社交工程获取系统访问权限，随后下载并执行一个恶意的Microsoft Installer (MSI)包，该包包含一个名为HRUpdate.exe的可执行文件，用于侧载恶意DLL。这个DLL是Matanbuchus的下载器模块，负责下载主模块。Matanbuchus使用ChaCha20流密码算法进行字符串解密和数据加密，并通过动态解析Windows API函数和插入垃圾指令来增加分析难度。下载器模块通过长时间运行的循环来延迟功能执行，以躲避沙箱分析。主模块则通过C2服务器注册受感染主机，并请求任务执行，支持多种网络命令，包括下载和执行有效载荷、收集系统信息和执行系统命令。Matanbuchus还通过创建计划任务实现持久化，并在执行时检查配置的有效期。

披露时间：2025年11月29日

情报来源：https://www.nextron-systems.com/2025/11/29/analysis-of-the-rust-implants-found-in-the-malicious-vs-code-extension/

相关信息：

2025 年 11 月 29 日，Nextron 威胁研究团队发布分析报告，指出一款伪装成「Material Icon Theme」的恶意 VS Code 扩展（5.29.1 版本）内置两个Rust 植入程序，通过模仿合法扩展目录结构隐藏文件，激活后 Windows 系统调用 os.node DLL、macOS 系统调用 darwin.node dylib，从Solana 区块链钱包地址获取 C2 指令，经 Base64 解码后下载 AES-256-CBC 加密的下一阶段载荷，还可通过Google 日历事件（含隐形 Unicode 字符） 作为备用 C2 地址，该技术与 GlassWorm 样本一致。

披露时间：2025年11月30日

情报来源：https://secureannex.com/blog/glassworm-continued/

相关信息：

Secure Annex发现Glassworm恶意软件活动再次抬头，攻击者通过模仿流行的VS Code扩展（如Flutter、Tailwind、Vim等）并更新恶意代码，试图在代码市场中传播恶意软件。攻击者通过操纵下载量，使恶意扩展看起来更可信，并在用户界面中与真实扩展并列显示，增加了用户误安装的风险。Secure Annex指出，攻击者在扩展发布后能够轻松更新恶意代码，绕过检测。

披露时间：2025年12月1日

情报来源：https://www.gdatasoftware.com/blog/2025/12/38306-arkanix-stealer

相关信息：

Arkanix Stealer是一种新发现的恶意软件，旨在通过窃取用户数据实现短期快速获利。该恶意软件通过Discord和在线论坛传播，提供Python和C++两种版本。Python版本通过Nuitka打包，生成自包含的可执行文件，而C++版本则通过“Chrome Elevator”工具绕过Chrome的App Bound Encryption（ABE）保护机制，窃取浏览器数据。Arkanix Stealer能够从多种Chromium浏览器（如Edge、Chrome、Opera等）中收集信息，包括浏览器历史记录、自动填充信息、VPN数据、Steam账户、Wi-Fi密码和加密钱包数据。此外，它还能从桌面、文档和下载文件夹中搜索特定扩展名的文件并上传到恶意服务器。该恶意软件还支持通过Discord自我传播，进一步扩大感染范围。

披露时间：2025年12月4日

情报来源：https://mp.weixin.qq.com/s/w0kQeB6oQMAjTlBazBcrsA

相关信息：

奇安信CERT监测到官方修复了React Server Components和Next.js的远程代码执行漏洞（CVE-2025-55182和CVE-2025-66478），主要影响react-server-dom-webpack的Server Actions功能。攻击者可利用该漏洞通过构造恶意表单请求，调用Node.js内置模块，在服务器上执行任意系统命令、读写文件，甚至完全接管服务。Next.js 15.x和16.x版本因依赖存在缺陷的React服务端DOM包，也受影响。该漏洞利用简单，仅需一次HTTP POST请求即可触发，影响范围较大。奇安信CERT已成功复现该漏洞，并建议用户尽快更新至最新版本（React Server 19.0.1、19.1.2、19.2.1），以避免安全风险。