文章总结： 本期简讯涵盖：Resecurity利用蜜罐诱捕黑客并收集情报；RondoDox僵尸网络利用Next.js漏洞CVE-2025-55182发起全球攻击；CovenantHealth和东京FM分别遭遇勒索软件攻击和大规模数据泄露，影响数十万用户；ManageMyHealth平台泄露超十万用户数据；黑客滥用GoogleCloud工具发起新型钓鱼攻击窃取凭证。 综合评分： 65 文章分类： 数据泄露,漏洞预警,威胁情报,恶意软件,安全大事件

安全简讯（2026.01.04）

启明星辰安全简讯

2026年1月4日 16:05 北京

1. Resecurity蜜罐陷阱揭露网络攻击真相

1月3日，近日，网络安全公司Resecurity与“分散的漏洞猎人”（SLH）威胁行为者之间的攻防事件引发关注。SLH宣称已成功入侵Resecurity系统并窃取员工数据、内部通信、威胁情报报告及客户信息，包括Mattermost协作实例截图显示与Pastebin的恶意内容通信，并声称此次攻击是对Resecurity社会工程手段的报复，涉及ShinyHunters、Lapsus$等组织。然而，ShinyHunters发言人随后否认参与此次活动。Resecurity对此回应称，被攻击的系统实为故意部署的蜜罐，用于监控威胁行为者活动。该公司表示，2025年11月21日首次检测到威胁行为者探测其公开暴露系统，随后在隔离环境中部署包含虚假数据的蜜罐账户，包括由Stripe API生成的28,000条合成消费者记录和190,000条合成支付交易记录。攻击者在12月12日至24日期间通过大量住宅代理IP生成超188,000个请求，期间因代理连接故障暴露真实IP地址，Resecurity借此收集攻击者战术、技术及基础设施信息，并报告执法部门。

https://www.bleepingcomputer.com/news/security/hackers-claim-resecurity-hack-firm-says-it-was-a-honeypot/

2. RondoDox僵尸网络借React2Shell漏洞发起全球攻击

12月31日，近日，网络安全研究揭示，RondoDox僵尸网络正利用React2Shell严重漏洞（CVE-2025-55182）大规模感染Next.js服务器，部署恶意软件及加密货币挖矿程序。该漏洞为未经认证的远程代码执行漏洞，可通过单个HTTP请求触发，影响所有实现React Server Components“Flight”协议的框架，包括Next.js。截至2025年12月30日，Shadowserver基金会已检测到超94,000个暴露于互联网的易受攻击资产。RondoDox最早由Fortinet于2025年7月记录，是一个利用多n天漏洞发起全球攻击的大型僵尸网络。其2025年运营分为三个阶段：3月至4月进行侦察与漏洞测试；4月至6月实施自动化Web应用漏洞利用；7月至今则转向大规模物联网僵尸网络部署。11月，VulnCheck发现其新变种利用XWiki平台的CVE-2025-24893漏洞。CloudSEK报告指出，RondoDox自12月8日起扫描存在漏洞的Next.js服务器，三天后开始部署僵尸网络客户端，并在12月六天内发起超40次攻击尝试，每小时针对Linksys、Wavlink等消费级及企业级路由器发起物联网攻击浪潮，以招募新僵尸节点。

https://www.bleepingcomputer.com/news/security/rondodox-botnet-exploits-react2shell-flaw-to-breach-nextjs-servers/

3. Covenant Health遭麒麟勒索软件攻击

1月3日，天主教医疗机构Covenant Health于2025年5月遭遇严重网络攻击，导致478,188人敏感信息泄露，涉及姓名、地址、出生日期、医疗记录号码、社会保障号码、健康保险信息及治疗详情等。该组织在缅因州、马萨诸塞州、新罕布什尔州、宾夕法尼亚州、罗德岛州和佛蒙特州运营三家医院及多家康复中心、辅助生活住所和社区健康机构。调查显示，黑客于5月18日至26日期间访问其IT系统，事件已于12月10日调查结束并通报联邦执法部门。此次攻击对缅因州圣约瑟夫医院、圣玛丽健康系统及新罕布什尔州圣约瑟夫医院造成显著影响：圣玛丽医院实验室仅能处理纸质医嘱，新罕布什尔州圣约瑟夫医院实验室服务受限且需纸质医嘱。Covenant Health于除夕夜开始向受害者寄送违规通知信，并提供一年期信用监控服务。麒麟勒索软件团伙宣称对此次攻击负责。

https://therecord.media/covenant-health-breach-qilin

4. 新西兰ManageMyHealth数据泄露影响超10万用户

1月2日，近日，新西兰数字健康平台ManageMyHealth发生数据泄露事件，约180万注册用户中可能有6%至7%（即10.8万至12.6万用户）受到影响。此次事件涉及允许临床医生访问患者医疗记录的在线服务，受影响客户将在未来48小时内收到公司通知，明确其信息是否及如何被访问。ManageMyHealth首席执行官Vino Ramayah强调，公司始终将健康信息保护视为核心责任。他表示：“我们深知健康信息的私密性与敏感性，此类事件可能引发用户焦虑。目前团队正全力确定受影响人员，并将以直接、透明的方式与其沟通。”隐私专员办公室已获悉事件，并正与平台合作履行隐私立法义务。新西兰卫生部长西蒙·布朗称此次违规“令人担忧”，但明确表示“目前无证据表明包括我的健康账户在内的任何HNZ（新西兰健康促进协会）系统遭到破坏，因ManageMyHealth拥有独立系统”。他强调，新西兰卫生部正与平台密切合作，确保事件妥善处理，且医疗服务将持续正常运转，无临床影响。

https://www.1news.co.nz/2026/01/02/managemyhealth-data-breach-more-than-108k-users-potentially-affected/

5. 东京FM数据泄露，超300万用户信息受威胁

1月1日，日本知名广播电台东京FM广播株式会社遭遇重大网络安全事件。一个自称“受害者”的团体宣称已入侵该公司内部计算机系统，并窃取超过300万条个人及技术数据记录。此次事件因涉及敏感信息量庞大且发生在跨年特殊时段，引发广泛关注。据攻击者披露，被盗数据涵盖用户全名、生日、电子邮件地址等基础个人信息，以及IP地址、用户代理（可识别设备类型）等技术细节。更严重的是，攻击者声称获取了公司内部系统的登录ID及员工工作信息，若属实，可能威胁企业运营安全及员工隐私。目前，数据真实性仍处于专家核实阶段，但潜在风险已引发安全机构警觉。东京FM作为日本最具影响力的广播电台之一，掌握大量听众及员工信息，长期成为网络犯罪分子目标。尽管此次事件被初步定性为普通网络犯罪案件，但数据泄露规模及涉及维度（从个人隐私到企业系统凭证）已远超常规范畴。安全专家提醒，若攻击者掌握真实数据，可能导致精准诈骗、身份盗用等次生风险。

Tokyo FM Data Breach: Hacker Claims Over 3 Million Records Stolen

6. Google Cloud工具被滥用发动新型网络钓鱼攻击

1月2日，Check Point研究人员发现，网络犯罪分子正利用Google Cloud Application Integration中的合法功能发起大规模网络钓鱼攻击。该攻击通过多层重定向技术绕过传统安全检测，两周内发送近9400封伪造邮件，影响约3200名用户。攻击者滥用Google Cloud的”发送电子邮件”自动化工具，从官方域名mailto:[email protected]发送邮件，利用受信任的云服务基础设施提高可信度。邮件高度模仿Google官方风格，以语音邮件提醒、共享文件访问等常规场景为诱饵诱导点击。攻击链包含三个阶段：首先通过storage.cloud.google.com链接建立初始信任；随后重定向至googleusercontent.com显示虚假验证码规避自动扫描；最终指向非微软域名的伪造微软登录页面窃取凭证。此次攻击主要针对制造业和工业企业，科技/SaaS及金融机构次之，专业服务、零售、媒体、教育、医疗、能源、政府等行业也受到不同程度影响。地域分布显示，美国受害者最多，亚太和欧洲活动活跃，拉丁美洲中巴西和墨西哥受影响最严重。

Phishing campaign abuses Google Cloud Application to impersonate legitimate Google emails

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：启明星辰安全简讯 《安全简讯（2026.01.04）》