2026-01-04 02:16:15 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档总结近期安全热点：伊朗InfyAPT利用新型木马攻击多国；针对以色列的IconCat行动伪装杀软植入木马；NutsBot僵尸网络利用React2Shell漏洞传播及挖矿；高危漏洞MongoBleed致8万台MongoDB数据泄露；Maven仓库遭供应链攻击投递CobaltStrike；以及针对微软365的OAuth钓鱼攻击。建议及时修补漏洞并警惕供应链与社会工程攻击。 综合评分： 86 文章分类： 威胁情报,漏洞分析,恶意软件,安全大事件,供应链安全

cover_image

近期安全热点 AI安全网空对抗国家APT

原创

暗镜

2026年1月3日 17:13 北京

1、近期活跃境外恶意网址和恶意IP

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、法国、德国、加拿大、澳大利亚、新加坡、沙特阿拉伯、越南。主要情况如下：

（一）恶意地址：deli.ydns.eu

关联IP地址：45.74.17.165

归属地：美国/弗吉尼亚州/阿什本

威胁类型：后门

病毒家族：Xworm

描述：这是一种.NET编译的后门木马，使用多种持久性和防御规避技术，能够收集并发送系统详细信息到C&C服务器并接收指令，实现包括键盘记录、屏幕捕获、自动更新、自毁、运行脚本、勒索软件操作、麦克风操作、摄像头监控，打开特定URL，监控活跃的窗口，进程管理，剪切板管理，远程shell执行、DDos攻击，获取地址位置，锁定屏幕，密码窃取、安装Ngrok、HVNC、隐藏RDP连接等操作。

（二）恶意地址：www.blazingelectricz.com

关联IP地址：164.132.75.23

归属地：法国/法兰西岛大区/巴黎

威胁类型：后门

病毒家族：RemCos

描述：RemCos是一款远程管理工具，发布于2016年。最新版本的RemCos能够执行多种恶意活动，包括键盘记录、截取屏幕截图和窃取密码，攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

（三）恶意地址：38.999apk.top

关联IP地址：91.195.240.12

归属地：德国/巴伐利亚邦/慕尼黑

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（四）恶意地址：duunntrews.duckdns.org

关联IP地址：178.16.55.5

归属地：德国/北莱茵－威斯特法伦州/杜塞尔多夫

威胁类型：后门

病毒家族：AsyncRAT

描述：这是一种后门木马，采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。其主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（五）恶意地址：botnnnaccgcc.xxbot.co

关联IP地址：185.225.74.140

归属地：加拿大/魁北克省/蒙特利尔

威胁类型：僵尸网络

病毒家族：MooBot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（六）恶意地址：as.ddos678.com

关联IP地址：103.212.227.29

归属地：澳大利亚/新南威尔士州/悉尼

威胁类型：僵尸网络

病毒家族：XorDDoS

描述：这是一种Linux僵尸网络病毒，主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（DDos）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

（七）恶意地址：parosh.didns.ru

关联IP地址：172.94.101.157

归属地：澳大利亚/昆士兰州/布里斯班

威胁类型：后门

病毒家族：RemCos

描述：RemCos是一款远程管理工具，发布于2016年。最新版本的RemCos能够执行多种恶意活动，包括键盘记录、截取屏幕截图和窃取密码。攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

（八）恶意地址：15.235.149.57

归属地：新加坡/新加坡/新加坡

威胁类型：僵尸网络

病毒家族：Gafgyt

描述：这是一种基于因特网中继聊天（IRC）协议的物联网僵尸网络病毒，主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描，攻击网络摄像机、路由器等IoT设备，攻击成功后，利用僵尸程序形成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大面积网络瘫痪。

（九）恶意地址：svchost1.linkpc.net

关联IP地址：37.56.20.182

归属地：沙特阿拉伯/麦加/吉达

威胁类型：后门

病毒家族：NjRAT

描述：该后门是一种由 C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（十）恶意地址：bato.cantdown.space

关联IP地址：103.110.33.164

归属地：越南/胡志明市/胡志明市

威胁类型：僵尸网络

病毒家族：Mirai

2、伊朗Infy APT组织携新型恶意软件进行攻击活动

威胁研究人员发现与伊朗黑客组织Infy（又名波斯王子）相关的新活动，距该组织上次针对瑞典、荷兰和土耳其受害者已过去近五年。安全公司 SafeBreach 研究副总裁 Tomer Bar 向《黑客新闻》提供的技术分析报告中表示：”波斯王子的活动规模远超我们最初预期，这个威胁组织仍然活跃且危险。”

SafeBreach 最新发现显示，该组织使用升级版 Foudre（34版）和 Tonnerre（12-18版及50版）针对伊朗、伊拉克、土耳其、印度、加拿大及欧洲受害者发起隐蔽攻击。最新版 Tonnerre 于2025年9月被发现。攻击链已从包含宏的 Excel 文件转变为在文档中嵌入可执行文件来安装 Foudre。该组织最显著的特点是使用域名生成算法（DGA）增强其命令控制（C2）基础设施的韧性。

Foudre 和 Tonnerre 会通过下载 RSA 签名文件验证 C2 域名真实性，随后使用公钥解密并与本地存储的验证文件比对。SafeBreach分析发现 C2 服务器上存在名为”key”的验证目录，以及存储通信日志和窃取文件的文件夹。Bar 指出：”Foudre 每日下载威胁行为者用 RSA 私钥加密的专属签名文件，再通过内嵌公钥验证域名合法性，请求格式为：’https://<域名>/key/<域名><年份后两位><年内第几天>.sig'”

C2 服务器还存在用途暂未明确的”download”目录，疑似用于下载新版本。而最新版 Tonnerre 新增通过 C2 服务器联系 Telegram 群组（波斯语名”سرافراز”意为”自豪”）的机制，该群组包含两个成员：可能用于发令和收集数据的机器人”@ttestro1bot”，以及用户”@ehsan8999100″。值得注意的是，相关 Telegram 群组信息存储在 C2 服务器”t”目录下的”tga.adr”文件中，且仅针对特定受害者 GUID 列表触发下载。

SafeBreach 强调：”尽管波斯王子组织在2022年看似沉寂，实则相反。我们持续研究发现这个多产而隐秘的组织在过去三年中的活动细节、C2服务器及恶意软件变种。”此次披露恰逢 DomainTools 对迷人小猫泄密数据的分析显示，该黑客组织运作模式更似政府部门，以”文书精度开展间谍活动”，并被揭露为 Moses Staff 背后的操控者。该公司指出：”APT35 这个负责德黑兰长期凭证钓鱼行动的管理机器，也运作着支撑 Moses Staff 勒索软件表演的后勤系统。这些所谓的黑客活动分子与政府网络部门不仅共享工具和目标，还使用同一套应付账款系统。其宣传部门与间谍部门实为同一工作流程的两个产物——相同内部票务制度下的不同’项目’。”

3、击者利用伪装成杀毒软件的Word和PDF文档攻击以色列组织

Seqrite实验室的安全研究人员发现了一项名为”Operation IconCat”的攻击行动，攻击者使用伪装成合法安全工具的恶意文档针对以色列组织实施攻击。

该攻击始于2025年11月，已成功入侵信息技术、人力资源服务和软件开发等多个行业的公司。攻击的核心在于心理欺骗：攻击者制作仿冒Check Point和SentinelOne等知名杀毒软件厂商的虚假文档。当受害者打开这些伪装文件时，会在不知情的情况下下载隐藏在知名品牌背后的恶意软件。这项行动展示了社会工程学与技术手段相结合如何绕过传统安全防御。

第一波攻击涉及名为help.pdf的PDF文件，伪装成Check Point安全扫描器手册。该文档指示用户从Dropbox下载名为”Security Scanner”的工具（密码为”cloudstar”），文件中包含如何运行安全扫描的详细说明，并配有逼真的截图。这个PDF是部署PYTRIC恶意软件的入口点，该恶意软件基于Python并使用PyInstaller技术打包。

PYTRIC具备超出典型恶意软件行为的危险能力。分析显示它包含扫描整个系统文件、检查管理员权限以及执行擦除系统数据和删除备份等破坏性操作的功能。该恶意软件通过名为Backup2040的Telegram机器人进行通信，使攻击者能够远程控制受感染机器。这种组合表明攻击者不仅意图窃取信息，还计划完全销毁数据。

第二波攻击采用类似模式，但使用名为RUSTRIC的基于Rust语言的植入程序。鱼叉式钓鱼邮件冒充以色列合法人力资源公司L.M. Group，使用伪造域名l-m.co.il。邮件附件包含带有隐藏宏的损坏Word文档，这些宏会提取并执行最终有效载荷。

RUSTRIC展示了高级侦察能力，能够检测28种不同杀毒软件的存在，包括Quick Heal、CrowdStrike和Kaspersky。通过Windows Management Instrumentation执行后，它会运行系统命令识别受感染计算机并建立与攻击者控制服务器的连接。

4、国家互联网应急中心关于NutsBot新型僵尸网络利用React2Shell漏洞传播的风险提示

近期，CNCERT和绿盟科技伏影实验室联合监测到黑客利用React2Shell（CVE-2025-55182）漏洞传播僵尸网络NutsBot。

React2Shell（CVE-2025-55182）漏洞是2025年12月3日公开披露的一个高危安全漏洞，具备影响范围广、攻击门槛低、危害程度高等特点。该漏洞源于React服务器组件（RSC）协议层的不安全反序列化缺陷，允许未经认证的攻击者通过构造恶意请求在受影响的服务器上执行任意代码，进而实现完全控制、内网渗透或部署恶意软件。

NutsBot是一款新型僵尸网络家族，该家族不仅继承了传统DDoS攻击能力，还集成了信息窃取、远程命令执行、挖矿牟利等多重功能，并通过动态基础设施、复杂认证协议及多种反检测技术，展现出较强的隐蔽性、抗干扰能力和持续演进特征。

近期以来，NutsBot利用新曝光的React2Shell（CVE-2025-55182）漏洞进行传播，并持续对国内外目标频繁发起攻击活动，本报告旨在深入剖析NutsBot僵尸网络的技战术特点、传播态势及造成的现实威胁，并提供相关防范建议。

攻击者在部署该僵尸网络木马时，常使用“nuts”作为恶意软件的存放目录名。基于这一特征，我们将其命名为 NutsBot 僵尸网络家族。“nuts”一词在英文中兼有“疯狂”与“坚果”的双重含义，这一命名恰好影射了该僵尸网络的行为特征与防御特点：一方面，其传播迅速、活动猖獗，体现出“疯狂”般的攻击性；另一方面，其采用多层认证、反追踪等严密防护机制，犹如“坚果”般难以破解。

NutsBot僵尸网络在功能上除了DDoS还内置多重常规IoT僵尸网络家族不具备的功能：

信息收集：不同于常规的IoT类僵尸网络家族，NutsBot僵尸网络会收集并上传主机信息，为后续的横向移动或更有针对性的攻击提供了信息基础。

命令执行：NutsBot僵尸网络家族具备命令执行的功能，能够执行kill自身，重启及远程shell命令，这使得其具备的威胁性陡然提升；

DDoS攻击：其DDoS攻击模块复用了Mirai家族的核心代码结构，支持十余种攻击向量，并扩展了新的指令字段，表明其持续进行功能演进。攻击指令可通过网络动态下发，实现对指定目标的精准打击。

挖矿：监测发现，攻击者利用同一传播渠道分发挖矿木马，并主动清除宿主机上已有的其他挖矿程序（如XMRig），以独占系统资源。这揭示了攻击者不仅追求直接的破坏性攻击，更致力于将受控设备“变现”为可持续牟利的资产。

通过跟踪监测，我们发现NutsBot主要通过React2Shell漏洞（CVE-2025-55182）传播。React2Shell漏洞源于React服务器组件（RSC）所采用的“Flight”协议中存在不安全反序列化缺陷。在处理客户端提交的RSC载荷时，服务端未能对传入数据实施有效的验证与过滤。攻击者可据此构造包含恶意JavaScript代码的HTTP请求，发往启用RSC功能的任意端点。由于漏洞存在，服务器会将恶意载荷错误识别为可执行的代码逻辑予以解析并运行，从而实现攻击绕过。

此漏洞影响范围广泛，涉及以下核心框架版本：React 19.0.0、19.1.0、19.1.1及19.2.0。由于其利用过程无需身份认证且稳定性高，成功利用可导致以下严重后果：

完全控制服务器：攻击者能够执行任意系统命令，窃取服务器敏感数据与凭证。

横向移动渗透：以受控服务器为跳板，对内网其他系统进行进一步渗透。

部署恶意软件：在实际攻击中已观察到攻击者借此植入挖矿程序、后门、勒索软件等高危远控恶意代码。

监测显示，CVE-2025-55182 在公开曝光仅一天（12月4日）后，NutsBot僵尸网络就成功将其武器化，迅速进入实际攻击阶段。

5、MongoBleed高危漏洞遭在野利用8万台MongoDB服务器暴露风险

一款影响多个MongoDB版本的高危漏洞——MongoBleed（CVE-2025-14847）正被黑客在野活跃利用，目前全球公网暴露的潜在易受攻击服务器已超8万台。该漏洞的公开利用工具及相关技术细节已被披露，攻击者可借助此漏洞，从暴露的MongoDB服务器中远程窃取密钥、凭证及其他敏感数据。该漏洞的CVSS评分达8.7分，被列为“紧急修复级别”。自12月19日起，自托管MongoDB实例的修复补丁已正式发布。

MongoBleed漏洞的根源在于MongoDB服务器对zlib库处理网络数据包（用于无损数据压缩）的逻辑缺陷。

Ox Security的研究人员解释，该漏洞的核心问题是：MongoDB在处理网络消息时，返回的是“分配的内存大小”，而非“解压后的数据长度”。

攻击者可发送构造畸形的网络消息，谎报解压后的数据尺寸，诱使服务器分配更大的内存缓冲区。在此过程中，服务器会将包含敏感信息的内存数据泄露给攻击者。

通过这种方式泄露的敏感信息包括但不限于：账号凭证、API密钥/云服务密钥、会话令牌、个人身份信息（PII）、内部日志、配置文件、路径信息及客户端相关数据。

由于网络消息的解压过程发生在身份认证之前，攻击者利用MongoBleed漏洞无需提供有效的登录凭证，攻击门槛极低。

这款名为“MongoBleed”的公开PoC利用工具由Elastic安全研究员开发，其核心功能就是窃取内存中的敏感数据。该PoC工具有效且操作简单：“只需获取MongoDB实例的IP地址，就能开始挖掘内存中的数据库密码（明文存储）、AWS密钥等信息。”

云安全平台Wiz的遥测数据显示，该漏洞对云环境的影响同样严重——42%的可见系统中“至少存在一个受CVE-2025-14847漏洞影响的MongoDB实例”。

这些实例既包括内部资源，也涵盖公网暴露节点。目前已监测到MongoBleed（CVE-2025-14847）的在野利用行为，建议企业优先完成补丁更新。

另有未经证实的消息称，部分威胁者宣称在近期育碧《彩虹六号：围攻》在线平台入侵事件中，就利用了MongoBleed漏洞。

补丁更新仅为应对MongoBleed漏洞的一部分，企业还需排查是否已遭入侵。安全研究员提出一种检测方法：重点监控“发起数千次连接，但未产生任何元数据事件的源IP地址”。

不过研究员表示，该检测方法基于当前公开的PoC工具逻辑，攻击者可能通过伪造客户端元数据或降低攻击速度等方式规避检测。

MongoDB已针对MongoBleed漏洞发布修复公告，强烈建议管理员将服务器升级至安全版本：8.2.3、8.0.17、7.0.28、6.0.27、5.0.32或4.4.30。

官方提示，受该漏洞影响的MongoDB版本范围极广：既包括2017年底发布的部分旧版本，也涵盖2025年11月刚发布的新版本，具体如下：

·MongoDB 8.2.0 至 8.2.3

·MongoDB 8.0.0 至 8.0.16

·MongoDB 7.0.0 至 7.0.26

·MongoDB 6.0.0 至 6.0.26

·MongoDB 5.0.0 至 5.0.31

·MongoDB 4.4.0 至 4.4.29

·所有MongoDB Server v4.2版本

·所有MongoDB Server v4.0版本

·所有MongoDB Server v3.6版本

MongoDB Atlas（全托管多云数据库服务）的用户无需手动操作，官方已自动完成补丁更新。MongoDB表示，该漏洞暂无临时规避方案。若暂时无法升级版本，建议用户在服务器上禁用zlib压缩功能，官方已提供具体操作指南。

6、攻击者伪造Jackson JSON库入侵Maven中央仓库

一场新型恶意软件攻击活动通过伪装成合法的Jackson JSON库扩展，成功入侵了Java开发者最信赖的代码仓库之一——Maven中央仓库。这个恶意软件包以org.fasterxml.jackson.core/jackson-databind命名空间发布，通过误植域名攻击（typosquatting）在Maven中央仓库发现的首批复杂恶意软件案例之一。

攻击者利用了巧妙的命名空间混淆策略：合法Jackson库使用com.fasterxml.jackson.core命名空间，而恶意版本则使用org.fasterxml.jackson.core。这种细微差别使得开发者很容易在项目中误引入有害软件包。

该恶意软件活动显示出明显的精心策划特征。攻击者创建了虚假域名fasterxml.org来镜像合法的fasterxml.com，采用了与软件包命名空间相同的.com到.org替换策略。该域名注册于2025年12月17日，就在Aikido安全分析师发现威胁的八天前。这种从域名注册到部署的短暂间隔是恶意软件操作的常见模式，旨在降低早期检测和被列入黑名单的几率。

该软件包在被发现后1.5小时内即被报告给Maven中央仓库并下架，但在此之前可能已经危害了开发者系统。

Aikido分析师指出，该恶意软件采用了多层混淆技术来隐藏其真实目的。jar文件中的代码经过严重混淆，甚至试图通过提示注入技术（prompt injection）来干扰基于机器学习的分析工具。在未正确处理Unicode字符的编辑器中打开时，代码会显示大量干扰信息，使人工检查变得困难。经过仔细分析，研究团队成功解混淆了恶意代码，揭示其作为木马下载器的真实功能——连接命令控制服务器并在受感染系统上执行有害负载。

恶意软件通过七阶段感染流程运作，始于开发者将恶意依赖项添加到其pom.xml文件时。一旦被包含，当Spring Boot应用启动时，该软件包会自动执行，因为Spring会扫描@Configuration类并发现JacksonSpringAutoConfiguration。恶意软件会检查ApplicationRunner.class（该文件始终存在于Spring Boot环境中），确保恶意代码无需开发者显式调用即可运行。

感染机制包括持久性检查，恶意软件会在工作目录中搜索名为.idea.pid的文件。这个文件名巧妙地混入IntelliJ IDEA项目文件中，降低了开发者发现项目结构中异常文件的可能性。随后，恶意软件通过检查System.getProperty(“os.name”)进行环境指纹识别，确定系统运行的是Windows、macOS还是Linux，并据此下载适合检测到的操作系统的负载。

命令控制通信通过”http[:]//m[.]fasterxml[.]org:51211/config[.]txt”进行，该地址提供AES加密的配置数据。

恶意软件使用硬编码的AES-ECB密钥（9237527890923496）解密每个支持平台的负载URL。解密后的格式遵循os|url模式，例如Windows系统的win|http[:]//103.127.243[.]82:8000/http/192he23/svchosts.exe。下载二进制文件payload.bin到系统临时目录后，恶意软件会执行该文件，同时在Unix系统上将输出重定向到/dev/null，在Windows上重定向到NUL，以抑制任何可见活动。Windows负载故意使用svchosts.exe名称（仿冒合法的svchost.exe进程）来避免检测。

通过VirusTotal对下载负载的分析证实，Linux和macOS二进制文件是Cobalt Strike信标——一种强大的渗透测试工具，常被勒索软件运营商和APT（高级持续性威胁）组织用于远程访问、凭证窃取和网络横向移动。

7、新一轮OAuth钓鱼攻击来袭：微软365账户成攻击目标

最新发现，多个威胁者正借助OAuth设备代码授权机制，通过钓鱼攻击攻陷微软365账户。攻击者会诱骗受害者在微软官方设备登录页面输入设备代码，在受害者毫无察觉的情况下，完成对攻击者控制应用的授权，无需窃取凭证或绕过多因素认证，即可获取目标账户的访问权限。

尽管该攻击手段并非首次出现，但自今年9月以来，此类攻击的数量大幅增长，发起攻击的既包括TA2723这类以牟利为目的的网络犯罪分子，也有与国家相关联的威胁组织。

安全研究员监测到多个威胁团伙正利用设备代码钓鱼，诱使用户向威胁者开放微软365账户的访问权限，且此类攻击流程被用于大规模攻击活动的情况“极为反常”。

黑客通过诱骗受害者在微软官方设备登录门户输入设备代码。在部分攻击中，设备代码会被伪装成一次性密码；在另一些攻击中，诱饵则是令牌重新授权通知。

研究人员发现攻击中使用了两款钓鱼工具包：SquarePhish v1、v2，以及Graphish，这些工具简化了钓鱼攻击的实施流程。

SquarePhish是一款公开可用的红队工具，通过二维码针对OAuth设备授权流程发起攻击，仿冒微软MFA/TOTP的合法配置流程。

Graphish是在地下论坛传播的恶意钓鱼工具包，支持OAuth权限滥用、Azure应用注册，以及中间人攻击。

针对监测到的攻击活动，研究人员在报告中重点提及三类：

薪资奖金攻击：该攻击活动以文档共享为诱饵，搭配本地化的企业品牌标识，诱使收件人点击攻击者控制的网站链接。随后受害者会被要求在微软官方设备登录页面输入指定代码，完成“安全认证”，实则为攻击者控制的应用完成授权。

TA2723攻击活动：TA2723是一个从事大规模凭证钓鱼的威胁组织，此前曾仿冒微软OneDrive、LinkedIn与DocuSign发起攻击，今年10月起开始使用OAuth设备代码钓鱼手段。该活动初期可能使用SquarePhish2工具，后续攻击浪潮则可能转向Graphish钓鱼工具包。

国家关联攻击活动：自2025年9月起，监测机构监测到一个疑似与俄罗斯相关联的威胁组织（追踪代号UNK_AcademicFlare），正滥用OAuth设备代码授权机制实施账户接管。该组织先攻陷政府与军方的邮箱账户，以此建立信任，随后分享仿冒OneDrive的链接，诱导受害者进入设备代码钓鱼流程。攻击主要针对美国与欧洲的政府、学术、智库及交通行业机构。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM《近期安全热点 AI安全网空对抗国家APT》