政策法规方面，美国 CISA 发布无人机系统检测指南，旨在提升关键基础设施对无人机潜在威胁的监测与防护能力，强化公共安全和运营连续性；欧盟EDPS发布《人工智能系统风险管理指南》，为AI系统开发与部署提供风险识别、评估与缓解框架，推动人工智能应用合规、安全与可控，助力各行业在数字化转型中降低技术风险。

漏洞预警方面，多项高危漏洞正被在野积极利用，整体威胁快速上升。SonicOS SSLVPN 漏洞可被远程触发导致防火墙崩溃，引发拒绝服务风险；CISA将Fortinet FortiWeb新漏洞列入“已知被利用”目录，Fortinet亦紧急修补其在野 0day，强调相关产品面临高强度攻击。同时，RondoDox僵尸网络 借助XWiki未修补高危漏洞 大规模扩张，进一步放大企业暴露面。在广域威胁层面，0day、社交工程（LinkedIn 间谍活动）、加密犯罪、物联网漏洞与新型恶意软件攻击持续上升。设备层面，停产的D-Link DIR-878路由器爆出四个高危漏洞，因无补丁长期处于失防状态；服务器防护领域，Imunify AI-Bolit组件发现可导致主机被完全控制的高危漏洞。此外，runC新漏洞可导致Docker和Kubernetes环境的主机级入侵，进一步加剧云原生基础设施风险。

安全事件方面，捷豹路虎确认9月遭受的网络攻击造成1.96亿英镑损失并严重扰乱生产；欧洲光纤运营商Eurofiber披露其系统被黑客入侵，客户数据遭窃并面临勒索。大规模设备劫持方面，“Operation WrtHug”行动控制了5万余台华硕路由器，组建全球性间谍僵尸网络，影响范围广泛。勒索攻击持续升级：Everest声称入侵巴西石油巨头Petrobras，窃取176GB地震数据；LG能源子公司遭Akira 勒索，疑有1.7TB机密资料外泄。同时，意大利国家铁路集团Ferrovie dello Stato因IT供应商Almaviva遭攻击导致大规模数据泄露。

风险预警方面，近期事件显示，微软Azure遭遇迄今最大规模DDoS攻击，由Aisuru僵尸网络 发起，峰值达3.47 Tbps，影响广泛云服务可用性；伊朗APT组织通过劫持可信DLL并结合VDI技术渗透航空航天领域，凸显高级持续性威胁升级；TamperedChef活动利用日常应用程序部署恶意软件并开启远程访问，扩大攻击面。

政策法规

1.CISA发布无人机系统检测指南以强化关键基础设施防护
2025年11月21日，美国网络安全与基础设施安全局（CISA）于2025年11月21日发布三份关于无人航空系统（UAS）探测的新指南，旨在帮助关键基础设施运营方识别、评估并应对日益增长的无人机威胁。这些指南隶属于CISA“Be Air Aware”倡议，内容涵盖UAS探测技术选型、可疑无人机活动识别与报告流程，以及坠落无人机的安全处置措施。指南强调，组织应基于设施特性、威胁类型及资源状况开展UAS风险评估，并结合声学、光电/红外、雷达和射频四类传感器构建分层防御体系。同时，建议与执法部门、联邦航空管理局（FAA）等建立协作机制，将UAS应对纳入现有应急计划，并定期开展演练。CISA官员指出，此举响应了《第14305号行政命令》要求，旨在提升国家关键资产对空中威胁的韧性。
资料来源：http://0t2.d8k.top/w/s7OmS8

2.欧盟EDPS发布《人工智能系统风险管理指南》
2025年11月19日，欧盟数据保护监督局（EDPS）于2025年11月11日发布《人工智能系统风险管理指南》。该指南旨在帮助公共部门数据控制者在开发、采购和部署人工智能系统时，依据《2018/1725号条例》（EUDPR）开展数据保护风险评估。指南强调风险管理应为持续迭代过程，包括风险识别、分析、评估与处理四个阶段，并贯穿AI系统生命周期的九大环节：从构思、数据准备、开发、验证，到部署、运行监控、持续验证、复审及退役。重点指出训练数据偏见、模型过度拟合、算法设计偏差等五大AI特有风险，并提出相应缓解措施。指南特别强调可解释性（面向技术人员）与可说明性（面向用户和监管者）对确保AI透明、可信和合规的关键作用，呼吁在采购环节强化技术透明度与供应商监督。
资料来源：https://www.secrss.com/articles/85164

漏洞预警

3.SonicOS SSLVPN漏洞可致防火墙远程崩溃
2025年11月21日，SonicWall披露其SonicOS SSLVPN服务中存在一个关键的栈缓冲区溢出漏洞（CVE-2025-40601，CVSS评分7.5），允许未经身份验证的远程攻击者通过发送特制请求触发拒绝服务，导致防火墙设备崩溃并中断网络服务；该漏洞影响启用SSLVPN功能的Gen7和Gen8系列硬件及虚拟防火墙，包括TZ270至NSsp 15700等多款型号，其中Gen7设备运行7.3.0-7012及更早固件、Gen8设备运行8.0.2-8011及更早版本均受影响，而Gen6及SMA 1000/100系列不受波及；SonicWall已发布修复版本（Gen7升级至7.3.1-7013或更高，Gen8升级至8.0.3-8011或更高），并建议在无法立即打补丁时限制SSLVPN访问源IP或从互联网关闭该服务；目前尚无在野利用或公开PoC报告。
资料来源：https://cybersecuritynews.com/sonicos-sslvpn-vulnerability-firewall-crash/

4.CISA将Fortinet FortiWeb新漏洞列入已知被利用漏洞目录
2025年11月19日，美国网络安全与基础设施安全局（CISA）于2025年11月18日将Fortinet FortiWeb中的一个新漏洞CVE-2025-58034正式纳入其“已知被利用漏洞目录”（KEV）。该漏洞为操作系统命令注入（OS Command Injection，CWE-78），CVSS评分为6.7，允许经过身份验证的攻击者通过构造恶意HTTP请求或CLI命令在底层系统上执行任意代码。Fortinet已于近期发布补丁，并确认该漏洞已在野被积极利用。受影响版本包括FortiWeb 8.0.0–8.0.1、7.6.0–7.6.5、7.4.0–7.4.10、7.2.0–7.2.11及7.0.0–7.0.11，建议用户分别升级至8.0.2、7.6.6、7.4.11、7.2.12和7.0.12或更高版本。值得注意的是，这已是CISA在数日内第二次将FortiWeb漏洞列入KEV目录——此前CVE-2025-64446（CVSS 9.1，路径遍历漏洞）也因被大规模利用而被收录。CISA同时呼吁私营部门尽快排查并修补相关漏洞。
资料来源：http://yu1.d1k.top/w/2Qfw2U

5.Fortinet紧急修复FortiWeb 0day漏洞，已遭在野利用
2025年11月19日，网络安全厂商Fortinet已发布补丁，修复其FortiWeb Web应用防火墙中一个正被积极利用的0day漏洞CVE-2025-58034。该漏洞为操作系统命令注入（OS Command Injection，CWE-78），CVSS评分为6.7，允许经身份验证的攻击者通过构造恶意HTTP请求或CLI命令在底层系统执行任意代码。该漏洞由Trend Micro研究员Jason McFadyen发现并报告，Fortinet确认其已在野被利用。受影响版本涵盖FortiWeb 8.0.0–8.0.1、7.6.0–7.6.5、7.4.0–7.4.10、7.2.0–7.2.11及7.0.0–7.0.11，官方建议分别升级至8.0.2、7.6.6、7.4.11、7.2.12和7.0.12或更高版本。值得注意的是，这已是近期Fortinet第二次修补被大规模利用的FortiWeb零日漏洞；此前CVE-2025-64446（CVSS 9.1）因路径遍历问题也已被CISA列入“已知被利用漏洞目录”。Fortinet建议用户若无法立即升级，应限制管理接口的互联网暴露以降低风险。
资料来源：http://yk3.d1k.top/w/29ZCXf

6.RondoDox僵尸网络利用未修补XWiki高危漏洞大规模扩张
2025年11月17日，恶意组织RondoDox正积极利用XWiki平台中的远程代码执行漏洞CVE-2025-24893（CVSS评分9.8）扩展其僵尸网络。该漏洞位于XWiki的SolrSearch功能中，允许未经身份验证的攻击者通过特制请求向RSS生成机制注入Groovy代码，从而在服务器上执行任意指令，严重威胁系统机密性、完整性与可用性。尽管官方已于2025年2月在版本15.10.11、16.4.1和16.5.0RC1中发布修复补丁，但大量用户仍未更新。美国CISA已于2025年10月30日将此漏洞列入“已知被利用漏洞目录”（KEV）。据VulnCheck报告，RondoDox自11月3日起开始利用该漏洞，活动持续增长，并通过特定User-Agent和载荷名称可追踪。此外，多个独立攻击者也迅速跟进，部署加密货币挖矿程序、反向Shell及自动化扫描工具。专家警告，此类“一攻即众随”模式凸显了及时修补的关键性，早期检测仍是防御唯一有效手段。
资料来源：http://wq3.d1k.top/w/KTDusT

7.0day漏洞、LinkedIn间谍、加密犯罪、物联网漏洞和新一轮恶意软件攻击
2025年11月20日，近期全球网络安全形势严峻，多项重大事件集中爆发。英国MI5警告中国情报人员利用LinkedIn伪装猎头，大规模接触议员、政府官员及智库专家以获取政治情报；欧盟拟修订GDPR，允许在“合法利益”下未经用户同意处理个人数据用于AI训练，引发隐私组织强烈批评。安全研究人员发现多款Chrome和Edge浏览器扩展（如“VPN Professional”）实为数据窃取工具，累计安装超3.1万次。Oracle Identity Manager曝出CVSS 9.8分的预认证远程代码执行漏洞CVE-2025-61757，已获修复。Shelly Pro 4PM智能继电器存在CVE-2025-11243漏洞，可致设备反复重启。加密货币领域，一名加州男子承认洗钱2500万美元赃款；Samourai钱包两名创始人因协助洗钱2.37亿美元被判刑。此外，俄罗斯黑客Denis Obrezko在泰国被捕，涉嫌隶属Void Blizzard间谍组织；乌克兰籍Jabber Zeus开发者被引渡至美国受审。X平台正式推出端到端加密聊天功能，支持语音、视频及防截屏通知。
资料来源：https://thehackernews.com/2025/11/threatsday-bulletin-0-days-linkedin.html

8.D-Link DIR-878路由器曝四个高危漏洞，停产设备无补丁风险加剧
2025年11月18日，D-Link披露其已于2021年1月31日停止生产的DIR-878路由器存在四个严重安全漏洞，影响所有硬件与固件版本。由于设备已结束生命周期，D-Link明确表示不会提供任何安全补丁或固件更新。其中两个漏洞可被远程利用：CVE-2025-60672（CVSS 9.8）存在于cgi脚本的SetDynamicDNSSettings功能中，攻击者通过操控NVRAM中的ServerAddress和Hostname参数，经twsystem()函数执行任意命令；CVE-2025-60673同样允许未经身份验证的远程代码执行，源于SetDMZSettings函数对IPAddress参数缺乏校验，可注入iptables命令。另两个漏洞需本地或有限权限：CVE-2025-60674为USB存储模块中的堆栈缓冲区溢出（CVSS 8.4），读取USB序列号时写入超长数据导致内存破坏；CVE-2025-60676（CVSS 8.8）涉及timelycheck和sysconf二进制文件，若攻击者可写入/tmp/new_qos配置文件，即可注入并执行任意命令。D-Link建议用户立即更换设备、备份数据，并联系区域支持。无法替换者应关闭远程管理、实施网络分段、启用强认证及定期更新密码以缓解风险。
资料来源：https://gbhackers.com/multiple-flaws-in-eol-eos-routers/

9.Imunify AI-Bolit组件曝高危漏洞，可致服务器被控制
2025年11月18日，Imunify安全平台的AI-Bolit恶意软件扫描器被发现存在严重安全漏洞，可能允许攻击者在Linux服务器上执行任意代码并提升至root权限，威胁全球数百万托管服务器。该漏洞源于AI-Bolit反混淆逻辑中的deobfuscateDeltaOrd与deobfuscateEvalHexFunc函数，在分析恶意文件或数据库条目时，未经充分过滤即通过Helpers::executeWrapper()执行用户控制的PHP代码。受影响产品包括Imunify360、ImunifyAV+和ImunifyAV的32.7.4-1之前版本。研究员Aleksejs Popovs通过负责任披露上报漏洞，Imunify于2025年10月23日发布补丁，引入安全函数白名单机制，阻断攻击路径。截至11月17日，绝大多数服务器已自动更新；CentOS 6用户获提供向后移植版本32.1.10-2.32.7.4。公司确认尚无在野利用证据。临时缓解措施包括关闭文件与数据库扫描功能。Imunify强调自动更新对防御此类风险的关键作用，并感谢研究人员协助披露。
资料来源：https://gbhackers.com/imunify-ai-bolit-flaw-allows-arbitrary-code-execution/

10.runC的新漏洞使Docker和Kubernetes环境面临潜在的主机入侵风险
2025年11月20日，安全研究人员披露两个影响runC容器运行时的高危漏洞——CVE-2025-6177（CVSS 8.6）和CVE-2025-6178（CVSS 7.0），可能被攻击者利用实现容器逃逸，从而完全控制底层宿主机系统。runC是Docker、containerd、Podman及Kubernetes等主流容器平台的核心组件，负责创建和运行符合OCI标准的容器。其中，CVE-2025-6177源于runC在处理恶意镜像时对挂载点路径校验不足，允许攻击者通过特制容器镜像绕过命名空间隔离；CVE-2025-6178则涉及竞态条件问题，在容器初始化阶段可能被利用执行任意代码。成功利用任一漏洞均可使攻击者从受限容器环境突破至宿主机，进而横向移动、窃取敏感数据或部署持久化后门。目前，runC项目组已于2025年11月发布1.1.13版本修复上述漏洞，Docker、Red Hat、SUSE等厂商也已同步更新其产品。专家强烈建议用户立即升级至最新版本，并避免运行来源不可信的容器镜像，同时启用用户命名空间（user namespaces）等纵深防御机制以降低风险。
资料来源：http://h23.d1k.top/w/RnrTjr

安全事件

11.捷豹路虎确认9月网络攻击致1.96亿英镑损失，生产严重中断
2025年11月17日，英国豪华汽车制造商捷豹路虎（Jaguar Land Rover, JLR）确认，其于2025年9月遭遇的网络攻击造成重大运营中断和财务损失。此次事件由黑客组织“Scattered Lapsus$ Hunters”宣称负责，迫使JLR于9月初主动关闭全球系统以遏制影响，导致Solihull生产基地停产，直至10月8日才全面恢复生产。公司初步声明称未发现客户数据被盗，但随后承认发生了数据泄露，未披露具体信息类型。根据JLR公布的2025年第三季度（7月1日至9月30日）财报，该攻击直接导致1.96亿英镑（约合2.2亿美元）的损失，并计入2.38亿英镑的特别支出项中。受此影响，Q2营收同比下降24%至49亿英镑，税前亏损达4.85亿英镑。为稳定供应链与就业，英国政府于9月28日宣布提供15亿英镑贷款担保支持。英国央行亦指出，此次攻击是拖累2025年第三季度GDP增长弱于预期的因素之一。
资料来源：http://en3.d1k.top/w/pZB99t

12.Eurofiber确认遭黑客入侵，客户数据被盗并遭遇勒索
2025年11月19日，欧洲光纤运营商Eurofiber证实，其于2025年11月13日遭遇网络安全事件，攻击者利用软件漏洞入侵了公司用于法国业务的票务管理系统及ATE客户门户（隶属Eurofiber Cloud Infra France），窃取敏感数据并试图实施勒索。受影响品牌包括Avelia、Eurafibre、FullSave和Netiwan，但比利时、德国和荷兰客户未受波及。Eurofiber强调，核心系统、银行信息未被触及，所有服务保持正常运行。公司已修复漏洞、加固平台，并向法国国家信息与自由委员会（CNIL）和国家网络安全局（ANSSI）通报，同时就勒索行为提起刑事诉讼。据SOCRadar监测，攻击者在暗网论坛宣称通过GLPI系统的SQL注入漏洞，在10天内提取约1万条bcrypt密码哈希，并获取SSH私钥、VPN配置、API密钥、SQL备份、源代码、支持工单及网络架构图等高价值资产。Eurofiber未披露确切受影响人数，但表示正逐案通知客户并提供支持。
资料来源：http://6f1.d1k.top/w/zb7DHV

13.Operation WrtHug劫持超5万台华硕路由器组建全球间谍僵尸网络
2025年11月19日，安全研究机构SecurityScorecard披露，名为“Operation WrtHug”的大规模网络攻击行动已成功劫持全球超过50,000台华硕（ASUS）WRT系列路由器，主要集中在台湾、美国和俄罗斯，并蔓延至东南亚与欧洲。该行动专门针对已停止支持的终端设备（End-of-Life），利用六个已知漏洞实施入侵，包括AiCloud服务中的OS命令注入（CVE-2023-41345至CVE-2023-41348）、任意命令执行（CVE-2024-12912）及身份验证缺陷（CVE-2025-2492）。攻击者通过部署一个有效期长达100年的自签名TLS证书（自2022年4月起）实现持久化控制，99%的受感染设备运行华硕AiCloud服务。研究人员指出，该行动具有国家背景特征，旨在构建隐蔽、持久的全球间谍网络，并可能与此前发现的AyySSHush僵尸网络存在协同关系。尽管华硕已修复所有相关漏洞，但大量未更新的老旧设备仍面临风险。报告强调，此类“Nth Day”漏洞利用凸显了淘汰设备安全管理的重要性。
资料来源：http://4×2.d8k.top/w/g7obJb

14.Everest勒索组织宣称攻破巴西石油巨头Petrobras，窃取逾176 GB地震数据
2025年11月20日，Everest 勒索软件组织在其暗网泄露站点发布两条针对巴西国家石油公司 Petrobras（及其合作伙伴 SAExploration）的勒索通告，宣称窃取了总计超过176 GB 的地震勘探数据，其中约90 GB属于Petrobras本身。根据通告，这些数据包含极为敏感的技术细节，如船舶定位、设备配置、水听器（hydrophone）读数、深度测量、质量控制文档、元数据及地面处理报告等。通告还指出，另一批数据为 Petrobras 在坎波斯盆地（Campos Basin）开展的3D与4D地震调查成果，这批数据同样累计超过 90 GB，涵盖航线坐标、震源压力、仪器对准角度、节点配置等信息。Everest 要求 Petrobras 在四天内通过其提供的 qTox 加密通道与其联络，并贴出倒计时威胁，若未回应将采取后续行动。安全分析人士指出，这类被盗地震数据对石油公司的行业竞争力构成极大风险：如果竞争对手得知 Petrobras 的航迹和仪器策略，将可能仿制其勘探方案，降低成本或在合同谈判中获得优势。目前 Petrobras 对此尚未公开回应。Cybernews 报道称，该公司表示被入侵的是其服务提供商的系统，其核心业务系统暂未受影响。
资料来源：https://hackread.com/everest-ransomware-brazil-petrobras-breach/

15.LG能源子公司遭Akira勒索攻击，疑泄露1.7TB机密数据
2025年11月20日，韩国电池巨头LG Energy Solution确认其旗下一家海外工厂遭到Akira勒索团伙的定向攻击，虽然总部及其他全球工厂未受影响。该公司称已快速遏制攻击并恢复运营，目前正在展开全面安全排查。Cybercrime组织Akira声称窃取了约1.67 TB公司文件和46 GB SQL数据库，涉及员工个人敏感信息（护照、签证、医疗记录、身份证、住址、电话、电邮等），以及财务数据、合同、NDA（保密协议）、客户／合作伙伴资料和多项商业机密。LG表示正在调查这些说法，但尚未确认数据泄露规模。若Akira的主张属实，这些资料在暗网上价值巨大，可能被用于售卖或发动高精准钓鱼攻击，对员工隐私和企业竞争力构成严重威胁。
资料来源：https://cybermaterial.com/ransomware-hits-lg-battery-subsidiary/

16.意大利国家铁路巨头Ferrovie dello Stato因Almaviva IT商遭遇重大数据泄露
2025年11月21日，意大利国有铁路运营商 Ferrovie dello Stato（FS）通过其IT服务提供商Almaviva遭到大规模网络攻击，黑客声称窃取了2.3 TB敏感数据。泄露内容覆盖FS集团内部多个子公司（包括Trenitalia、RFI等）的技术文档、多公司共享存储库、合同、财务报表、人力资源档案，以及 FS 的投资规划（2017–2035年）等战略文件。同时，还包括机密通信、司法报告、贸易机密、投标文件，以及乘客和员工的个人资料，如护照号、电子邮件、电话号码、薪资和身份证号等。同时，还包括机密通信、司法报告、贸易机密、投标文件，以及乘客和员工的个人资料，如护照号、电子邮件、电话号码、薪资和身份证号等。泄露范围之大、涉密程度之高，不仅对FS及其员工构成重大隐私和运营风险，也对国家基础设施安全构成潜在挑战。
资料来源：http://ij3.d1k.top/w/CzWIw3

风险预警

17.亚太地区网络威胁加速升级：AI攻击、地缘政治与混合云风险交织
2025年11月19日，Darktrace最新发布的《亚太威胁态势：模式、行为体与新兴风险》报告显示，2024至2025年间，亚太及日本（APJ）地区网络威胁显著加剧，主要受AI驱动攻击、地缘政治紧张及混合云环境脆弱性三重因素叠加影响。报告指出，84%的APJ组织认为AI将在未来威胁中扮演关键角色，但仅42%制定了相关安全使用政策。朝鲜关联攻击者正广泛采用名为“ClickFix”的新型社交工程手段绕过传统防御。关键基础设施、金融和政府机构持续遭Lazarus、APT40、Earth Lamia和SilverFox等组织定向攻击。云与OT环境中，因配置错误、老旧系统及可见性不足，成为攻击跳板；勒索软件团伙普遍转向“数据窃取+加密”双重甚至三重勒索模式，并利用部分文件加密规避检测。此外，生成式AI降低了钓鱼攻击门槛，供应链漏洞导致约15%的数据泄露。报告强调，区域网络安全成熟度差异显著，发展中经济体因资源受限和监管碎片化更易受攻击。Darktrace呼吁APJ组织转向主动防御，整合AI安全平台，强化IT/OT/云协同治理与人员培训。
资料来源：http://vn4.d8k.top/w/s8IYsc

18.微软Azure遭遇史上最大DDoS攻击，Aisuru僵尸网络峰值达3.47Tbps
2025年11月21日，微软披露其Azure云平台于2025年10月遭遇有史以来规模最大的分布式拒绝服务（DDoS）攻击，峰值流量高达3.47 Tbps，由名为Aisuru的新型僵尸网络发起。此次攻击持续约15分钟，主要针对欧洲某客户，采用HTTP/2协议漏洞实施应用层攻击。Aisuru通过感染全球数万台设备构建，具备高度自动化和动态调整能力，能绕过传统防护机制。微软强调，该僵尸网络与Mirai等已知家族无关联，代表攻击者正利用云原生技术发起更复杂的威胁。为应对挑战，微软已在Azure DDoS防护系统中部署增强型AI检测模型，并建议客户启用多层防御策略，包括速率限制、Web应用防火墙（WAF）及实时流量分析。此次事件凸显云服务商与用户协同防御的重要性，尤其在AI赋能攻击工具日益普及的背景下，需持续提升弹性与响应能力。
资料来源：http://aw2.d8k.top/w/OvydDM

19.伊朗APT组织通过劫持可信DLL文件并执行VDI突破攻击渗透航空航天领域
2025年11月19日，网络安全公司Mandiant披露，疑似隶属于伊朗的高级持续性威胁（APT）组织UNC1549自2024年中以来，持续针对全球航空航天、航空及国防领域发动高度复杂的网络间谍活动。该组织采用双重入侵策略：一方面通过高度定制化的钓鱼邮件（常伪装为招聘机会）诱骗员工；另一方面利用受信任的第三方供应商关系作为跳板，绕过主目标的强安全防护。攻击者成功实施Citrix、VMware和Azure虚拟桌面（VDI）环境中的“VDI breakout”技术，突破虚拟会话限制实现横向移动。其核心战术包括滥用Windows DLL搜索顺序劫持机制，在Fortinet、VMware、Citrix等合法软件中植入定制后门，如TWOSTROKE（C++ SSL加密后门）、LIGHTRAIL（增强型SOCKS代理）及Linux平台的DEEPROOT（Golang后门）。所有载荷均具备唯一哈希以规避检测。此外，UNC1549广泛使用DCSYNCER.SLICK窃取NTLM哈希、SIGHTGRAB截屏、TRUSTTRAP伪造登录界面，并结合RDP、SCCMVNC等合法工具进行隐蔽横向移动。其最终目标为长期窃取网络架构、知识产权及敏感邮件。
资料来源：http://wa3.d1k.top/w/XX4kg1

20.TamperedChef 活动利用日常应用程序部署恶意软件并启用远程访问
2025年11月20日，Acronis威胁研究部门披露了一项名为TamperedChef的全球性恶意广告活动，攻击者通过伪造浏览器、PDF编辑器、电子书阅读器等常用软件诱导用户下载植入后门的安装程序。该活动利用SEO优化、欺诈性数字证书及高度逼真的虚假下载页面，绕过安全检测。其代码签名证书由美国特拉华州和怀俄明州注册的空壳公司（如Performance Peak Media LLC）获取，一旦被吊销即迅速更换新实体以维持“合法性”。约80%受害者位于美洲，医疗保健、建筑和制造业为重灾区，因这些行业常需搜索专业设备手册，易受操纵性搜索结果诱导。所有恶意域名均采用“download.”前缀（如download.allmanualsreader.com），通过NameCheap注册并启用冰岛隐私保护，且仅注册一年以利快速轮换。安装后，木马通过task.xml创建每24小时执行的计划任务实现持久化，并运行高度混淆的JavaScript后门，支持远程代码执行、系统指纹识别及基于HTTPS的XOR+Base64加密通信。
资料来源：https://gbhackers.com/tamperedchef-campaign/