文章总结： 本周报聚焦工业网络安全。政策涉及汽车与电网发展意见。漏洞涵盖MongoDB、Fortinet及IBM等高危缺陷。事件含欧航局被入侵、罗马尼亚能源遭勒索及韩航数据泄露。风险预警显示LLMs降低攻击门槛，Rootkit与零日漏洞威胁加剧。建议及时修补漏洞，强化供应链与开发环境防护。 综合评分： 90 文章分类： 漏洞预警,威胁情报,政策法规,恶意软件,供应链安全

工业网络安全周报-2026年第1期

OT网络安全领军者

安帝Andisec

2026年1月4日 17:40 北京

本文预计阅读时间27分钟

BREAKING NEWS

本 期 摘 要

政策法规方面，工信部等四部门联合印发《汽车行业数字化转型实施方案》；国家能源局等印发《关于促进电网高质量发展的指导意见》。

漏洞预警方面，MongoDB最新漏洞已导致全球超8.7万台服务器暴露，攻击者可在未认证情况下读取敏感数据。RondoDox僵尸网络利用React2Shell漏洞大规模入侵服务器和物联网设备，自动部署恶意载荷与加密货币挖矿程序。Fortinet旧版FortiOS认证绕过漏洞也被重新利用。IBM API Connect存在严重认证绕过缺陷，允许远程未授权访问企业应用。Apache StreamPipes特权升级漏洞可让攻击者将普通用户提升为管理员，获取完整控制权。

安全事件方面，欧洲航天局（ESA）确认其部分外部服务器遭到入侵，可能导致内部数据泄露，机构已启动取证调查。罗马尼亚奥尔特尼亚能源综合体遭“Gentlemen”勒索软件攻击，核心IT系统被加密瘫痪，影响ERP、邮件及文档管理系统，但国家能源运行未受影响。韩国航空约3万名员工个人信息因餐饮与免税供应商系统遭黑客入侵而泄露。

风险预警方面，大型语言模型（LLMs）已被攻击者用于自动生成漏洞利用代码，使缺乏专业技能的攻击者也能快速实施攻击，显著降低入侵门槛。间谍组织HoneyMyte通过内核级Rootkit深度植入亚洲政府网络，其ToneShell后门隐蔽性强，可实现长期控制。开发环境同样面临威胁，Shai Hulud恶意软件变种可窃取API密钥、环境变量及版本控制凭据，对企业开发与云平台构成风险。此外，XSpeeder设备存在零日远程代码执行漏洞，全球超过7万台系统暴露于攻击，可被远程获取根权限并部署恶意代码。韩国电信Femtocell小型基站存在长期证书管理不当问题，攻击者可伪装基站窃听通信并实施微支付欺诈。

政策法规

1、工信部等四部门联合印发《汽车行业数字化转型实施方案》

2025年12月25日，HardBit 4.0是一种自2022年起活跃且持续升级的勒索软件家族新变种，具备更强的隐蔽性和持续控制能力，正在成为全球组织面临的严峻威胁。与多数勒索软件不同，HardBit 运营者未维护公开的数据泄露站，而是专注于通过加密数据勒索赎金的方式牟利。报告指出，攻击链始于针对开放的远程桌面协议（RDP）和服务器消息块（SMB）服务的暴力破解，一旦成功入侵，攻击者便迅速窃取凭据并横向扩散至内网其他系统。初始载荷由名为Neshta的文件感染病毒负责投放，该组件通过修改可执行文件和注册表维持持久性。HardBit 4.0还通过注册表修改等方式禁用Windows Defender的实时监控、防篡改和反间谍功能等安全措施，从而绕过检测。变种引入运行时口令保护机制，要求攻击者在执行时提供特定授权密钥，从而防止自动化沙箱分析，有效提升隐蔽性和反分析难度。此外，其二进制代码经过混淆处理，进一步增加了安全分析的复杂性。组织可通过监控异常的 RDP/SMB 活动、强化凭据管理和确保隔离的备份系统等措施提升防御能力。

资料来源：

http://9s3.d1k.top/w/P0aci6

2、国家能源局等印发《关于促进电网高质量发展的指导意见》》

2025年12月31日，国家发展改革委、国家能源局联合印发《关于促进电网高质量发展的指导意见》，旨在系统性明确未来电网发展整体思路与任务举措，加快建设主配微协同的新型电网平台，为构建新型电力系统、推进中国式现代化提供坚强电力支撑。《指导意见》明确了到2030年和2035年的发展目标。到2030年，初步建成以主干电网和配电网为基础、智能微电网为补充的新型电网平台。到2035年，各级电网发展将充分协同，电网智能化、数字化水平显著提升，有效支撑新型电力系统安全稳定运行。

资料来源：

https://www.ndrc.gov.cn/xxgk/zcfb/tz/202512/t20251231_1402949.html

漏洞预警

3、漏洞MongoDB最新漏洞遭攻击利用，超8.7万台服务器暴露风险

2025年12月29日，SecurityWeek报道，MongoDB数据库中存在一项高危安全漏洞（CVE-2025-14847，代号“MongoBleed”），该缺陷影响Zlib压缩协议的处理逻辑，可使攻击者在未认证情况下通过特制压缩消息读取未初始化堆内存，泄露会话令牌、密码、API密钥等敏感信息；漏洞技术细节与概念验证（PoC）代码在12月被公开后随即出现实际攻击。该漏洞在解析网络消息时返回分配内存大小而非解压后长度，触发条件无需合法凭据，互联网暴露的MongoDB服务器因此尤为危险。安全公司Wiz指出约42%的云环境中存在易受影响的MongoDB实例，互联网扫描服务Censys检测到全球超过87,000个易受攻击实例，安全研究者Kevin Beaumont预计实际数量超过200,000个，且漏洞自PoC发布后不久就被利用发动攻击。MongoDB已于12月19日发布补丁，涵盖8.2.3、8.0.17、7.0.28、6.0.27、5.0.32和4.4.30等版本，建议组织尽快更新自托管实例或暂时禁用Zlib压缩以降低风险，同时管理员应检查日志以查明是否已遭入侵。专家警告，由于漏洞易于利用且无需交互，未来可能出现大规模相关安全事件。

资料来源：

http://gbc.d11k.top/w/7Rug8q

4、RondoDox僵尸网络利用React2Shell关键漏洞大规模入侵服务器设备

2026年1月2日，名为RondoDox的僵尸网络正积极利用React2Shell安全漏洞（CVE-2025-55182）针对使用React Server Components（RSC）的Next.js服务器展开大规模攻击，该漏洞于2025年12月3日公开，允许未经认证的攻击者通过特制HTTP请求实现远程代码执行（RCE），影响React及多个相关框架，包括Next.js、React Router、RedwoodSDK和Waku等。CloudSEK安全公司指出，自12月8日至16日，RondoDox对易受影响服务器进行了盲RCE扫描，并自12月13日开始部署恶意载荷，攻击者在受感染系统上植入僵尸网络支持框架以清除其他恶意软件、安装僵尸客户端并建立持久性，同时部署加密货币挖矿程序和Mirai变种恶意软件，攻击载荷主要针对Linux环境。RondoDox自2025年3月首次试探性利用漏洞起，其运营涵盖了自动化漏洞扫描、批量部署并持续扩展到面向互联网的路由器、摄像头及网络设备等多种架构设备，显示出其“散弹式”利用策略；除了React2Shell外，它还利用其他漏洞扩大感染面。

资料来源：

http://aqb.d11k.top/w/cFsxCC

5、Fortinet警告旧FortiOS认证绕过漏洞再被利用威胁持续升温

2025年12月29日，网络安全厂商Fortinet近日发布安全提醒指出，其五年前的FortiOS不当认证漏洞（CVE-2020-12812）正被威胁行为体重新利用，攻击者在特定LDAP与本地用户配置下可通过更改用户名大小写绕过二次认证（2FA）机制，从而获得对设备的访问权限；该漏洞原因是FortiGate与LDAP目录对用户名敏感性处理不同，若启用了“本地用户+LDAP远程认证+2FA”组合配置，修改用户名大小写后可避开FortiToken令牌校验而直接登录。Fortinet提醒仅当特定前提条件同时满足时才可能被利用，且过去包括勒索软件团体和国家级攻击者均曾利用此缺陷实施入侵，若确认被利用则应视为系统已被破坏，重置包括LDAP/AD绑定在内的所有凭据。为缓解风险，Fortinet已在较新FortiOS版本中引入修复措施，建议组织升级到支持用户名敏感性设置禁用或更新到最新版本，同时删除非必要的LDAP组配置，避免因旧配置导致认证绕过。此次情况反映出即便是陈旧的漏洞，在未充分修补和配置检视的环境中仍可能被再次武器化利用，强调了持续更新补丁、审查认证策略与安全配置的重要性。

资料来源：

http://dbd.d11k.top/w/a2t4Z1

6、IBM API Connect严重认证绕过漏洞可致远程未授权访问

2026年1月2日，IBM披露其API Connect平台存在一项严重安全漏洞（CVE-2025-13915，CVSS评分9.8），该缺陷可使远程攻击者通过认证绕过获得对受影响应用的未授权访问权限，该漏洞是在内部测试中发现的，影响的产品版本包括API Connect V10.0.8.0至V10.0.8.5和V10.0.11.0，API Connect作为企业级API管理平台广泛用于创建、保护、发布和监控API服务，一旦被利用可能导致敏感数据泄露或服务被控制；目前尚无证据显示该漏洞已被实际利用，但IBM强烈建议受影响客户尽快应用官方补丁修复以降低风险，对于无法立即修补的环境，可临时禁用开发者门户的自助注册功能以减少暴露面。据报道，该漏洞原因为认证机制缺陷，允许攻击者绕开正常身份验证流程直接访问应用系统，IBM建议所有使用受影响版本的组织及时检查并升级至包含修复的版本，同时监控异常访问行为以防潜在滥用。

资料来源：

http://dja.d11k.top/w/MtVIcc

7、MongoBleed漏洞全球多地区高暴露风险，美国、中国和欧盟等成为最易受攻击区域

2025年12月31日，MongoDB数据库存在一项编号为CVE-2025-14847的严重漏洞（俗称MongoBleed），该缺陷源于MongoDB在启用zlib网络压缩时未正确处理压缩消息的长度字段，允许未经认证的远程攻击者触发内存泄露，从服务器堆中读取敏感内存数据，包括凭据和密钥等；漏洞披露后短时间内即被主动利用，且影响范围广泛，任何启用zlib压缩的互联网可达MongoDB实例均可能被攻击。根据Resecurity等安全公司的遥测数据分析，全球受影响的MongoDB实例分布在多个重要经济体，其中中国约有16,576台易受攻击实例、美国约14,486台、德国约11,547台、中国香港约5,521台，新加坡约4,130台，印度、俄罗斯、法国、越南和印度尼西亚等地也存在显著暴露情况，显示漏洞利用正在全球多地区扩散。此问题不仅影响生产环境，还涵盖云托管和自托管部署；专家强调，除及时更新至包含安全修复的MongoDB版本外，还需加强网络访问控制和漏洞监测，以降低自动化扫描与大规模泄露风险。

资料来源：

http://pta.d11k.top/w/esQZlf

8、Apache StreamPipes特权升级漏洞可致未授权管理员控制风险上升

2025年12月31日，Apache StreamPipes数据流处理平台存在一项严重特权升级安全漏洞（CVE-2025-47411），影响版本从0.69.0至0.97.0，该缺陷源于用户ID创建机制和JWT认证处理不当，攻击者可通过操纵JSON Web令牌将自身普通用户名称替换为管理员账户名称，从而绕过访问控制获取完整管理权限，进而更改系统设置、访问敏感配置甚至破坏数据流基础设施，且该攻击不需高级技术技巧，仅需基本身份操控即可成功利用，给企业数据管道和实时分析服务带来显著威胁。Apache官方已发布0.98.0补丁修复此问题，强烈建议所有受影响用户立即升级以消除风险；安全分析指出，未修补实例可能面临管理员账号被劫持、关键业务数据泄露及整体服务控制权被夺等严重后果。考虑到StreamPipes广泛用于实时数据处理和业务流程自动化，此漏洞也构成供应链安全隐患，强调组织应及时审查组件版本、快速部署修补程序并强化身份验证与访问控制策略，以防止潜在的系统入侵与数据篡改。

资料来源：

http://jeb.d11k.top/w/JPVZHb

安全事件

9、欧洲航天局确认遭遇网络入侵，多台外部服务器被攻破并可能泄露数据

2025年12月31日，欧洲航天局（European Space Agency，ESA）近日确认其部分系统遭遇网络安全事件，此次事件的线索源于黑客在网络论坛BreachForums上以“888”为名发布消息，称已入侵ESA系统并持有约200GB的被盗数据并试图出售，其中包括私有Bitbucket代码仓库文件、API访问令牌、配置文件、凭据和其他内部文档等；ESA随后发布声明承认存在安全问题并已启动取证调查，但指出受影响的是少量位于企业核心网络之外的外部服务器，这些服务器主要支持科学协作的非机密工程活动，目前尚未确认攻击者公布的数据真实性及具体影响范围。ESA表示已采取措施保护可能受影响的设备，并通知所有相关利益方以配合调查；受影响服务器并非其主要业务系统，机构正在继续评估事件细节及潜在风险，同时加强安全防御和修复工作。安全分析指出，即便涉事服务器被标记为承载“非机密”信息，被盗取的访问令牌、源代码等技术资产仍可能被利用进行后续攻击或横向渗透，凸显科研及航天机构在外部协作环境中加强网络安全措施的重要性。

资料来源：

http://abc.d11k.top/w/tPIuHu

10、罗马尼亚奥尔特尼亚能源综合体遭“Gentlemen”勒索软件攻击，核心IT系统被加密瘫痪

2025年12月29日，罗马尼亚最大煤炭能源生产企业奥尔特尼亚能源综合体（Oltenia Energy Complex）于2025年12月26日凌晨约01:40发现遭遇Gentlemen勒索软件攻击，该攻击导致其关键IT系统受到破坏，部分文档和文件被加密，ERP系统、文档管理应用、电子邮件服务及公司网站等多项业务应用暂时不可用，但国家能源系统运行未受影响；该公司已隔离受影响系统、通知国家网络安全局和能源部，并启动取证调查与备份恢复工作。Oltenia Energy Complex作为罗马尼亚领先的褐煤开采及燃煤发电企业，运营12个发电单元，总装机容量3570 MW，管理15座露天矿场，每年产煤约1500–1800万吨，约一万名员工服务于批发与零售电力市场，具有重要能源基础设施地位。事件发生后，公司IT团队在新基础设施上从备份恢复服务，同时调查此次安全事件的范围及是否存在数据泄露，相关当局亦已介入调查，并已向负责打击有组织犯罪和恐怖主义的机构提出刑事投诉；截至报道时，Gentlemen勒索团体尚未将该能源公司列入其Tor数据泄露网站，表明谈判或数据处理仍在进行中。该事件凸显出关键能源基础设施面对日益复杂勒索威胁时的脆弱性及加强网络防护与灾备能力的重要性。

资料来源：

http://0da.d11k.top/w/ZIINpy

11、韩国航空员工数据泄露，源自供应商遭黑客入侵

2025年12月22日，韩国航空（Korean Air）近日披露一项重大数据泄露事件，其约3万名现任与前任员工的个人信息在供应商被攻破后遭到泄露，事件起因是负责机上餐饮与免税商品服务的第三方公司“Korean Air Catering & Duty-Free”（KC&D）系统遭遇网络攻击，导致存储在其企业资源规划（ERP）服务器上的员工姓名和银行账户等敏感数据被窃取；韩国航空强调此次泄露未涉及客户数据，客户信息不受影响，并已获KC&D通报此安全事件。该航空公司在内部公告中表示，尽管涉及的数据源自已于2020年剥离出去的供应商，但因属于员工个人信息，其予以高度重视，正全力确认泄露范围并分析受影响对象，同时已通知相关主管部门并展开调查及后续防护措施。安全通报与公开分析表明，此次攻击很可能与臭名昭著的Clop勒索软件组织有关，该组织此前已宣称针对KC&D实施攻击并在暗网泄露数据，Clop在2025年利用Oracle E-Business Suite关键漏洞（CVE-2025-61882）对多家机构发动供应链入侵行动，该漏洞成为攻击者突破防线的常用途径。

资料来源：

http://xca.d11k.top/w/uXj2qc

风险预警

12、LLMs助力黑客自动生成漏洞利用代码，网络安全威胁门槛大幅下降

2026年1月3日，最新安全研究显示，大型语言模型（LLMs）正被威胁行为体操纵用于自动化漏洞利用，这种趋势正在重塑网络攻击格局。原本用于辅助开发者编写代码的AI工具，如GPT-4o、Claude等，现在被恶意利用来将抽象的漏洞描述转换为可执行攻击脚本，无需深入理解内存布局或系统内部机制便能生成针对生产环境的软件漏洞利用代码，显著降低了攻击技术门槛。研究指出，通过规避LLM安全机制和精心构造提示语，攻击者能将缺乏经验的新人转变为具备实际恶意利用能力的对手，这种能力打破了传统漏洞利用需高技术专业知识的假设。研究团队还演示了在企业级ERP系统上针对公开漏洞的自动化利用，证明LLM可在短时间内产生有效利用脚本，凸显出AI辅助攻击对企业网络安全的实际威胁。专家认为，这种现象强调了当前AI模型安全措施不足，以及需要重新评估和加强对AI工具在网络安全领域应用的监管和防护策略，以应对由AI驱动的威胁扩散与攻击自动化趋势。

资料来源：

http://0qb.d11k.top/w/tMRgJJ

13、HoneyMyte内核级Rootkit深度植入亚洲政府网络，ToneShell后门隐蔽性大幅提升

2026年1月1日，臭名昭著的网络间谍组织HoneyMyte（别名Mustang Panda或Bronze President）在2025年中期开展了一项高度隐蔽的网络攻击行动，通过自定义内核级Rootkit驱动程序（ProjectConfiguration.sys）深入渗透东南亚及东亚地区政府机构网络，实现对被感染系统的长期控制，该Rootkit驱动程序利用盗用或泄露的数字证书绕过安全检查并注册为Windows文件系统mini‑filter驱动，能在内核层拦截文件操作、保护恶意文件及注册表项、屏蔽安全软件监测，并干扰Microsoft Defender相关组件加载，从而有效掩盖恶意活动；其最终目的是将HoneyMyte标志性的ToneShell后门装载至系统进程，该后门通过伪造TLS 1.3标头与命令控制服务器通信，可实现远程Shell、上传/下载文件等功能，显示出高度的间谍能力。据安全研究机构Kaspersky分析，该活动最早可追溯至2025年2月，主要目标为缅甸、泰国等亚洲政府实体，多数受害者还曾感染过HoneyMyte的其他恶意工具，如PlugX和ToneDisk USB蠕虫，表明攻击者通过多阶段感染和持久化策略维持长期访问；由于恶意代码在内存中执行并隐藏在内核驱动保护下，传统安全工具难以检测，安全专家警告组织应采用内存取证和高级监测手段以识别此类深层次入侵，并加强关键基础设施防御能力。

资料来源：

http://fra.d11k.top/w/RotsSI

14、Shai Hulud恶意软件变种威胁开发环境与凭据安全

2026年1月2日，安全研究人员近日识别出一种最新修改版的Shai Hulud恶意软件变种，该变种在设计与代码结构上与原始版本有显著差异，表明攻击者对源代码进行了故意混淆与功能增强。Shai Hulud是一类复杂的自传播恶意软件，主要通过感染JavaScript/npm软件包进行供应链攻击，一旦部署即可窃取开发环境中的关键秘密信息，包括API密钥、环境变量和认证凭据，并可访问受害者的GitHub仓库提取敏感数据，对依赖云开发平台和版本控制系统的组织构成严重风险。最新发现的变种经过代码分析后显示出高度混淆痕迹，错误与改进并存，一方面出现如变量命名错误等瑕疵，另一方面更名安装文件并优化数据收集顺序，表现出比早期版本更难检测与更有效的数据提取逻辑，且删除了先前版本中存在的“死者开关”机制以简化运行流程。研究人员认为这些变化暗示攻击者对原始代码具有深度访问权限，并非简单复制，而是对恶意软件进行了战略性调整，显示出Shai Hulud威胁持续演化、活跃存在的态势，建议相关组织加固包验证流程、监控环境变量访问行为并强化凭据管理以防范此类供应链恶意软件的侵害。

资料来源：

http://c7d.d11k.top/w/pPhswf

15、零日远程代码执行漏洞暴露全球超过7万台XSpeeder设备

2025年12月29日，一项编号为CVE-2025-54322的严重零日漏洞出现在网络设备厂商XSpeeder的SXZOS固件中，该漏洞影响包括SD-WAN设备、边缘路由器等多种联网设备，总计全球超过70 000台暴露在公网的系统存在风险，攻击者无需身份认证即可通过特制HTTP请求在目标设备上执行任意代码并获得根权限，导致设备完全被攻破、修改网络配置、安装后门或横向渗透等严重后果。此漏洞的根本原因是固件中/webInfos/端点对base64编码的chkid参数进行解码后直接调用Python的eval()函数来执行内容，攻击者可借此机制嵌入恶意代码并在设备操作系统层面执行，现有的中间件防护如nonce头或简单的字符串过滤无法有效阻止恶意输入，致使攻击链复杂度低、可远程触发且不需交互，极大地扩大了威胁面。研究人员指出，目前尚无厂商补丁发布，XSpeeder对超过七个月的漏洞通报未做出响应，安全社区因此公开披露漏洞以提醒潜在风险；在此期间，相关组织应优先隔离受影响设备、限制管理接口的公网访问、使用访问控制列表或防火墙规则屏蔽易受攻击端点，并强化网络分段以降低攻击扩散可能性。

资料来源：

http://pta.d11k.top/w/kvTcHp

16、韩国电信公司Femtocell小型基站安全方面出现漏洞，使客户面临窃听和欺诈风险

2025年12月30日，韩国电信运营商KT因在其广泛部署的Femtocell小型基站设备中存在严重安全疏忽，导致成千上万客户通信与支付数据暴露风险。调查发现，这些Femtocell设备使用同一数字证书进行运营商网络认证，证书明文存储且无根密码保护，并开启SSH远程访问，攻击者可轻易获取证书并克隆合法设备进入KT网络；该证书有效期长达十年，使恶意者能够长期伪装基站。韩国科学与ICT部报告显示，攻击者至少克隆了20台Femtocell，其中一台设备在2024至2025年期间被利用长达十个月，用于拦截用户短信、获取呼叫号码等信息，并发动与短信相关的微支付欺诈活动，通过伪基站完成的欺诈交易总额约为169 000美元，涉及368名受害者。报告还指出，KT缺乏针对Femtocell设备的有效管理工具，未能及时检测和防止非法设备接入。韩国警方已经逮捕13名涉嫌参与此非法克隆活动的人员，包括两名中国籍嫌疑人，但主谋仍在逃并受到国际刑警组织红色通缉。韩国政府要求KT允许受影响用户无违约金终止合同，KT已同意此要求。此次事件突出运营商在网络设备安全与生命周期管理方面的重大缺陷，可能导致用户通信、身份信息与账单安全遭受长期侵害。

资料来源：

http://xod.d11k.top/w/ZlYEYW

往期回顾

工业网络安全情报解码  2025-49期

工业网络安全情报解码  2025-48期

工业网络安全情报解码  2025-47期

工业网络安全情报解码  2025-46期

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec OT网络安全领军者《工业网络安全周报-2026年第1期》