文章总结： 本文涵盖微软DWM0Day利用、伊朗及朝鲜APT组织分别部署Rust恶意软件与QR码钓鱼攻击。披露针对VMwareESXi的0Day工具包、DarkSpectre利用扩展实施大规模间谍活动，以及GoBruteforcer僵尸网络结合AI凭证攻击加密货币项目。此外涉及美国战争部AI加速战略，显示网络对抗趋势加剧。 综合评分： 90 文章分类： 威胁情报,恶意软件,漏洞分析,安全大事件,AI安全

网空热点 国家APT AI安全 攻击热点

原创

ZM ZM

暗镜

2026年1月16日 08:59 辽宁

1、微软桌面窗口管理器0Day漏洞遭野外利用

微软在2026年1月13日的”补丁星期二”更新中修复了其桌面窗口管理器（DWM）中的一个关键0Day信息泄露漏洞，此前已监测到该漏洞在野外遭到主动利用。该漏洞编号为CVE-2026-20805，允许低权限本地攻击者通过远程ALPC端口暴露敏感的用户模式内存（特别是段地址）。在实际攻击中，这可能有助于构建进一步的权限提升攻击链，促使微软紧急为旧版Windows系统部署补丁。该漏洞被评为”重要”严重等级，CVSS v3.1基础得分为5.5（AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N）。虽然无法远程利用，但其低复杂度且无需用户交互的特点，使其成为恶意软件或入侵后操作的主要目标。

微软威胁情报中心（MSTIC）和安全响应中心（MSRC）确认了漏洞利用行为，但指出目前尚未出现公开的PoC。

攻击者利用DWM（负责窗口渲染的核心合成引擎）来泄露内存地址。这种泄露可能暴露内核指针或进程数据，有助于绕过ASLR等缓解措施。微软通过协调披露机制感谢内部团队发现该漏洞。这轮补丁更新突显了在本地权限提升技术日益盛行的情况下，旧版DWM组件面临的持续风险。使用不受支持版本的组织面临更高的暴露风险。

2、GoBruteforcer僵尸网络利用弱凭证攻击加密货币项目数据库

新一波GoBruteforcer攻击瞄准了加密货币和区块链项目的数据库，将其纳入僵尸网络，该网络能够对Linux服务器上的FTP、MySQL、PostgreSQL和phpMyAdmin等服务进行用户密码暴力破解。

“当前这一波攻击活动由两个因素驱动：大量重复使用人工智能生成的服务器部署示例，这些示例传播了常见的用户名和脆弱的默认设置；以及XAMPP等遗留Web堆栈的持续存在，这些堆栈暴露了FTP和管理界面，且安全加固程度极低。”Check Point Research在上周发布的分析报告中表示。

GoBruteforcer最初由Palo Alto Networks Unit 42于2023年3月记录，其能够针对运行x86、x64和ARM架构的类Unix平台，部署一个互联网中继聊天僵尸程序和一个用于远程访问的Web Shell，同时获取暴力破解模块以扫描易受攻击的系统并扩大僵尸网络的覆盖范围。

Lumen Technologies的Black Lotus Labs团队在2025年9月的一份后续报告中发现，由另一个名为SystemBC的恶意软件家族控制的大量受感染僵尸机器，也属于GoBruteforcer僵尸网络的一部分。

Check Point表示，他们在2025年年中识别出一个更复杂的Golang恶意软件版本，该版本包含一个用跨平台编程语言重写的、经过深度混淆的IRC僵尸程序，改进了持久化机制、进程伪装技术和动态凭证列表。

凭证列表包含了可以接受远程登录的常见用户名和密码组合（例如：myuser:Abcd@123 或 appeaser:admin123456）。选择这些名称并非偶然，因为它们曾在数据库教程和供应商文档中使用，而这些资料都被用于训练大型语言模型，导致模型生成的代码片段带有相同的默认用户名。

列表中的其他一些用户名则专注于加密货币（例如：cryptouser、appcrypto、crypto_app 和 crypto）或针对phpMyAdmin面板（例如：root、wordpress 和 wpuser）。

“攻击者在每次活动中重复使用一个稳定的小型密码池，从该池中刷新每个任务的列表，并每周数次轮换用户名和特定领域的补充内容，以追求不同的目标，”Check Point称。”与其他服务不同，FTP暴力破解使用的是硬编码在破解程序二进制文件中的一小套凭证。这套内置的凭证指向网络托管堆栈和默认服务账户。”

根据Check Point观察到的活动，攻击者利用运行XAMPP的服务器上暴露在互联网的FTP服务作为初始入侵载体，上传一个PHP Web Shell，然后使用基于系统架构的Shell脚本来下载并执行更新版的IRC僵尸程序。一旦主机被成功感染，它可以用于三种不同的用途：

运行暴力破解组件，尝试对互联网上的FTP、MySQL、Postgres和phpMyAdmin进行密码登录;托管并向其他被入侵的系统分发有效负载;托管IRC风格的控制端点，或充当备用命令与控制（C2）服务器以增强弹性。

对该攻击活动的进一步分析确定，其中一台被入侵的主机被用来部署一个模块，该模块遍历TRON区块链地址列表，并使用 tronscanapi[.]com 服务查询余额，以识别资金非零的账户。这表明了针对区块链项目的协同努力。

“GoBruteforcer例证了一个更广泛且持久的问题：暴露的基础设施、脆弱的凭证和日益自动化的工具的组合，”Check Point表示。”虽然该僵尸网络在技术上相对简单，但其运营者受益于大量在线且配置不当的服务。”

这一披露正值GreyNoise透露，威胁行为者正在系统地扫描互联网，寻找可能提供对商业LLM服务访问权限的配置不当的代理服务器。在这两个攻击活动中，有一个在2025年10月至2026年1月期间，利用了服务器端请求伪造（SSRF）漏洞，针对Ollama的模型拉取功能和Twilio SMS webhook集成。基于对ProjectDiscovery OAST基础设施的使用，推测该活动可能源于安全研究人员或漏洞赏金猎人。第二组活动始于2025年12月28日，据评估是一次大规模枚举尝试，旨在识别与阿里巴巴、Anthropic、DeepSeek、Google、Meta、Mistral、OpenAI和xAI相关的暴露或配置不当的LLM端点。扫描源自IP地址 45.88.186[.]70 和 204.76.203[.]125。“从2025年12月28日开始，两个IP地址启动了对超过73个LLM模型端点的系统性探测，”该威胁情报公司称。”在十一天内，他们生成了80,469个会话——这是对可能泄露商业API访问权限的配置不当代理服务器进行的系统性侦察。”

3、Telegram暴露用户真实IP地址，可一键绕过Android和iOS代理

Telegram移动客户端中存在一个隐蔽漏洞，允许攻击者仅需一次点击即可揭露用户的真实IP地址，即使是那些隐藏在代理之后的用户也不例外。该漏洞被称为”一键IP泄露”，它将看似无害的用户名链接变成了强大的追踪武器。

问题的核心在于Telegram的自动代理验证机制。当用户遇到一个伪装的代理链接时（通常隐藏在用户名后，例如 t.me/proxy?server=attacker-controlled），应用程序在添加代理服务器之前会先对其进行”ping”操作测试连通性。

至关重要的是，这个”ping”请求会绕过所有用户配置的代理，直接从受害者的设备路由出去，从而暴露其真实IP。此过程不需要密钥，类似于Windows上的NTLM哈希泄露——认证尝试本身就会暴露客户端信息。网络安全专家 @0x6rss 在X上演示了一个攻击向量，并分享了一个概念验证：一键Telegram IP泄露。”Telegram在添加代理前会自动ping该代理，”他们指出。”该请求会绕过所有已配置的代理。你的真实IP会被立即记录。”

攻击者制作恶意代理URL，并将其伪装成聊天或频道中的可点击用户名。目标用户点击一次后，将触发：自动代理测试：Telegram向攻击者的服务器发送连通性探测请求。代理被绕过：该请求忽略SOCKS5、MTProto或VPN设置，使用设备的原生网络栈。IP被记录：攻击者的服务器捕获来源IP、地理位置和元数据。Android和iOS客户端均受影响，波及数百万依赖Telegram进行敏感隐私通信的用户。除了点击外，无需任何其他用户交互；该漏洞隐蔽且有效，可用于人肉搜索、监控或使活动人士去匿名化。在政府资助的追踪活动日益增加的背景下，这一漏洞凸显了重度依赖代理的应用程序所面临的风险。Telegram拥有超过9.5亿用户，目前尚未公开修补此漏洞。过去，Signal等应用程序也曾受到类似旁路问题的困扰。

缓解措施：

在设置中禁用自动代理检测（如果可用）;避免点击未知的用户名/链接;使用防火墙规则阻止出站代理ping请求（例如，在iOS上使用Little Snitch或在Android上使用AFWall+）;通过Telegram的更新日志监控补丁发布.

研究人员敦促立即修复。截至发稿时，Telegram尚未对置评请求作出回应。

4、伊朗MuddyWater组织在最新攻击中部署基于Rust的植入程序

网络安全公司CloudSEK披露，与伊朗有关联的高级持续性威胁组织MuddyWater近期在针对以色列和中东其他国家的间谍活动中，部署了基于Rust语言的恶意植入程序。

CloudSEK的TRIAD团队发现，该组织通过鱼叉式钓鱼攻击针对中东地区的外交、海事、金融和电信实体。攻击者使用图标欺骗技术和恶意Word文档来传播名为RustyWater的恶意软件，研究人员称这是”对其传统工具集的重大升级”。”历史上，MuddyWater一直依赖PowerShell和VBS加载程序进行初始访问和入侵后操作，”该公司在博客中写道。”引入基于Rust的植入程序标志着其工具向更结构化、模块化和低噪音的远程访问木马(RAT)能力发展。”

根据美国网络安全和基础设施安全局(CISA)的信息，MuddyWater(微软追踪为Mango Sandstorm，ProofPoint标记为TA450)隶属于伊朗情报和安全部。安全公司表示，该组织至少自2017年以来一直活跃，针对中东、亚洲和欧洲的政府机构、电信运营商和关键基础设施。

据博客文章披露，攻击链始于包含恶意ZIP压缩包的钓鱼邮件。压缩包中包含一个合法的PDF文档和一个伪装成PDF图标的可执行文件。当受害者执行该文件时，系统会显示诱饵PDF文档，同时暗中运行恶意软件。初始加载程序通过修改Windows注册表实现持久化，并将RustyWater作为第二阶段有效载荷部署。该植入程序使用HTTP/HTTPS协议与命令控制(C2)基础设施通信，支持文件系统枚举、命令执行和数据窃取功能。CloudSEK发现攻击者注册了模仿合法服务的C2域名，包括伪装成Dropbox和WordPress平台的基础设施。多个域名通过Hostinger注册，这家主机服务商被网络安全公司指出经常被威胁行为者滥用。

研究人员表示，RustyWater采用Rust语言开发，这种语言因其内存安全特性和跨平台能力正被越来越多的恶意软件作者采用。安全研究人员指出，其他国家级黑客组织，包括俄罗斯的Gossamer Bear和中国背景的黑客，近期也在攻击活动中部署了基于Rust的恶意软件。该植入程序包含对虚拟机环境、调试工具和沙箱系统的检测功能。”RustyWater开始执行时会建立反调试和防篡改机制，”研究人员写道。”它注册了一个向量化异常处理程序(VEH)来捕获调试尝试，并系统性地收集受害者机器信息，包括用户名、计算机名和域成员身份。”据博客文章介绍，该恶意软件还使用字符串混淆和多阶段有效载荷投递技术。所有字符串都采用位置无关的XOR加密，并在C2回调之间实施随机睡眠间隔以避免检测。

CloudSEK表示其调查主要关注以色列境内的目标，但研究人员发现的迹象表明MuddyWater可能已将攻击范围扩大到印度、阿联酋等地区的受害者。针对以色列实体的攻击活动中使用了与政府机构和以色列国防军相关的希伯来语诱饵文档。安全研究人员指出，MuddyWater专注于旨在收集政府和军事情报的间谍活动。此前归因于该组织的攻击活动使用了多种远程访问工具和定制恶意软件家族，包括PhonyC2命令控制框架和SimpleHelp等合法的远程管理工具。2024年11月，亚马逊威胁情报部门将MuddyWater的活动与随后的导弹袭击相关联，显示该组织在以色列和红海地区的攻击前访问了包含实时监控画面的被入侵服务器。CloudSEK建议组织加强电子邮件安全控制，开展安全意识培训帮助员工识别钓鱼尝试，并部署能够识别可疑进程行为和网络通信模式的终端检测与响应(EDR)解决方案。

5、恶意Chrome扩展窃取钱包登录凭证并实施自动化交易

一款名为MEXC API Automator 的恶意 Chrome 扩展正滥用浏览器插件的信任机制，窃取 MEXC 用户的加密货币交易权限。该插件伪装成自动化交易和 API 密钥生成工具，暗中控制新创建的 API 密钥，将普通浏览器会话转变为完整的账户接管通道。攻击始于 Chrome 应用商店中看似合法的插件页面，该页面承诺为 MEXC 交易所提供”支持交易和提现权限的简易 API 密钥生成”功能。安装后，当受害者打开 MEXC 的 API 管理页面（用户通常在此为机器人和自动化交易创建密钥）时，该扩展便会激活。

一款名为MEXC API Automator 的恶意 Chrome 扩展正滥用浏览器插件的信任机制，窃取 MEXC 用户的加密货币交易权限。该插件伪装成自动化交易和 API 密钥生成工具，暗中控制新创建的 API 密钥，将普通浏览器会话转变为完整的账户接管通道。

这款基于Manifest V3 的 Chrome 扩展会向 URL 模式 ://.mexc.com/user/openapi* 注入内容脚本 script.js。当受害者打开目标页面时，脚本会等待 DOM 加载完成，找到 API 创建表单后，自动勾选所有权限复选框（包括提现权限），无需用户额外操作。为欺骗受害者，脚本篡改页面样式使提现选项看似禁用，而服务器端实际保持启用状态。具体手段包括：从提现复选框中移除”checked”类、通过注入 CSS 隐藏视觉勾选标记，并使用 MutationObserver 确保即使 MEXC 代码恢复该类也再次移除。受害者误以为仅授权了交易权限，实际提交的表单却包含完整提现权限。

由于该扩展仅在浏览器沙盒内运行，仅读取页面内容并通过常规HTTPS 发送数据，因此能完美融入正常网络流量。当受害者发现异常交易或资金缺失时，攻击者早已将密钥加载到脚本或工具中，无需触碰用户密码即可清空账户。

6、美国战争部人工智能加速战略

美国战争部近日启动一项变革性的人工智能加速战略，该战略旨在扩大其在军事人工智能部署方面的领先优势，并使美国成为世界无可争议的人工智能赋能作战力量。此项由特朗普授权的加速战略将释放实验潜能、消除遗留的官僚主义障碍，并将前沿人工智能能力的尖端整合到每个任务领域，从而开启美国军事人工智能主导地位时代

美战争部部长皮特·赫格塞斯表示：“我们将释放实验、消除官僚主义壁垒、集中投资并展示确保在军事人工智能领域领先所需的执行方法。我们将成为一个跨越所有领域的‘人工智能优先’作战力量。”美国战争部正采取战时方法交付能力，重点围绕三个核心原则：作战、情报和企业运营。这种方法将加强战场决策、快速转化情报数据并实现日常工作流程现代化，所有这些都是直接为战争部超过300万人员提供支持。 此次加速的催化剂将是七个“定步调项目”，每个项目都有单一负责的领导和积极的时间表。这些项目将为整个部门建立新的人工智能执行标准

此项人工智能加速战略正通过有针对性的投资推动人工智能计算基础设施的大规模扩展，并将解锁对赋予战争部不对称优势的数据的访问。美国战争部将通过诸如人事管理办公室的“科技力量”计划等举措引进顶尖的美国人工智能人才，并授权小型、负责任的团队攻克复杂的人工智能整合机遇。美国战争部将从人工智能能力中根除觉醒的“多元、公平与包容”意识，并确保军队拥有客观、任务至上的系统，从而保证在这个人工智能时代的决策优势和作战优势。

负责研究与工程的战争部副部长埃米尔·迈克尔表示：“速度在人工智能时代定义胜利，战争部将匹配美国人工智能产业的速度。正在以战时的快节奏，引进最优秀的人才、最尖端的技术，并将顶级前沿人工智能模型嵌入到工作队伍中。

7、黑客利用0Day漏洞工具包在野攻击VMware ESXi实例

网络安全公司Huntress发现黑客正在利用一个0Day漏洞工具包攻击VMware ESXi实例，该工具包通过串联多个漏洞实现虚拟机逃逸。攻击者最初通过被入侵的SonicWall VPN获得初始访问权限。

威胁行为者首先通过SonicWall VPN获得立足点，随后利用被入侵的域管理员账户进行横向移动，先后攻陷备份域控制器和主域控制器。在主域控制器上，攻击者部署了Advanced Port Scanner和ShareFinder等侦察工具，使用WinRAR暂存数据，并修改Windows防火墙规则以阻止外部出站流量，同时允许内部横向移动。

在部署漏洞工具包约20分钟后，攻击者开始执行ESXi漏洞利用程序，Huntress在勒索软件部署前成功阻止了攻击。

PDB路径显示该工具包在简体中文环境中开发，如”全版本逃逸–交付”的路径名称，时间戳为2024年2月，比Broadcom在2025年3月4日发布的VMSA-2025-0004安全公告早了一年多。2023年11月的client.exe PDB表明该工具采用模块化设计，被篡改的VMware驱动程序引用了”XLab”。Huntress高度确信攻击者来自中文环境，基于资源文件和0Day漏洞获取能力。

防御建议：

• 及时为ESXi打补丁，已停止支持的版本无法获得修复
• 使用”lsof -a”命令监控ESXi主机的VSOCK进程
• 警惕KDU等BYOD加载器
• 加强VPN安全防护
• 防火墙规则变更和未签名驱动程序都是系统被入侵的信号
• VSOCK后门可绕过入侵检测系统（IDS）

此次事件凸显了虚拟机监控程序面临的持续威胁，攻击者通过驱动程序恢复和配置清理保持隐蔽性。随着针对ESXi的勒索软件攻击增加，企业必须加强虚拟化环境的安全防护。

8、朝鲜黑客正将恶意QR码用于鱼叉式网络钓鱼

FBI于周四发布安全通告，警告朝鲜国家支持的黑客正利用恶意QR码，针对美国境内的实体机构发起鱼叉式网络钓鱼攻击。FBI在紧急通告中指出：“截至2025年，Kimsuky黑客组织已通过在鱼叉式钓鱼攻击中嵌入恶意二维码，针对智库、学术机构以及美国和外国政府实体发起攻击。此类攻击被称为‘QR码钓鱼攻击’

利用QR码进行钓鱼是一种迫使受害者从受企业安全策略保护的设备转移到可能缺乏同等防护水平的移动设备上的策略，这使得攻击者能够有效绕过传统防御。Kimsuky（亦被追踪为APT43、Black Banshee、Emerald Sleet、Springtail、TA427、Velvet Chollima）是被评估隶属于朝鲜侦察总局的黑客组织。该组织长期以来一直精心策划专门旨在规避电子邮件身份验证协议的鱼叉式钓鱼攻击。

2024年5月，美国政府曾点名该黑客组织利用配置不当的基于域的消息认证、报告和一致性记录策略，发送看似来自合法域名的电子邮件。

FBI称，其在2025年5月和6月多次观察到Kimsuky组织在定向钓鱼攻击中使用恶意QR码，具体包括：冒充外国顾问，向某智库负责人发送电子邮件，请求对方就朝鲜半岛近期动态提供见解，并要求扫描QR码以访问问卷;冒充大使馆员工，向某智库高级研究员发送电子邮件，请求就朝鲜人权问题提供意见，并附上声称可访问安全云盘的QR码;冒充智库员工，在电子邮件中附上QR码，意图将受害者引导至其控制的基础设施以进行后续攻击活动;向一家战略咨询公司发送电子邮件，邀请其参加一个虚构的会议，并敦促收件人扫描QR码，将其重定向到一个旨在通过虚假登录页面窃取其谷歌账户凭据的注册登录页面。

就在此披露不到一个月前，ENKI曾揭示Kimsuky在一次模仿首尔某物流公司的钓鱼邮件活动中使用QR码分发名为DocSwap的新型安卓恶意软件变种。

FBI指出：QR码钓鱼攻击通常以窃取和重放会话令牌告终，这使得攻击者能够绕过多因素认证，并在不触发典型‘MFA失败’警报的情况下劫持云身份。随后，攻击者会在组织内建立持久存在，并从被入侵的邮箱发起二次鱼叉式钓鱼攻击。由于入侵路径始于常规端点检测与响应及网络监控边界之外的、不受管理的移动设备，QR码钓鱼攻击目前被视为企业环境中一种高成功率、能抵抗MFA的身份入侵途径。

9、DarkSpectre将880万扩展程序变成国家背景的间谍工具

Koi安全公司揭露了一起持续近十年的大规模国家背景网络间谍活动”DarkSpectre”，暴露了浏览器扩展生态系统的重大安全漏洞。该威胁组织通过近300个恶意扩展程序感染了超过880万Chrome、Edge和Firefox用户，构建了一个庞大的”休眠单元”网络。

报告显示，DarkSpectre展现出网络犯罪中罕见的纪律性和战略耐心。与”零散的投机犯罪分子”不同，该组织运作如同”资金充足的犯罪集团”，能够将合法软件维持数年后再武器化。研究人员在追踪已知威胁时意外发现了新活动：DarkSpectre部署了专门窃取企业会议情报的扩展程序网络，影响220万用户。这项被称为”Zoom窃密者”的行动可能从不设防的企业获取敏感音频、文字记录和参会者数据。DarkSpectre的策略是先发布功能正常的扩展程序，积累用户并获得浏览器市场认证，待用户规模达标后再通过更新植入恶意功能。报告警告：”DarkSpectre可能还有更多看似完全合法的扩展程序——它们目前确实是合法的，仍处于建立信任阶段。这种手法暴露了浏览器应用商店的运行缺陷：”市场模型只在扩展程序上传时检查一次，而DarkSpectre可以随时更新。

DarkSpectre长达近10年、涉及300多个扩展程序的操作规模，引发了关于浏览器安全性的严峻问题。为应对此威胁，Koi Security部署了由”Agentic AI”驱动的风险引擎”Wings”，可分析扩展程序的每个版本更新。但报告指出，除非进行系统性改革，数百万用户仍可能因一次更新而遭受攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《网空热点 国家APT AI安全 攻击热点》