文章总结： 本期简讯涵盖2026年1月底网络安全动态。APT方面，Sandworm攻击波兰能源系统失败，Konni利用AI生成后门攻击多国；漏洞方面，微软Office、Fortinet、PyTorch等现高危漏洞需紧急修复；威胁情报显示黑客利用AI优化恶意软件如PureRAT及Blackmoon银行木马。政策层面，美国发布新国防战略与后量子密码产品清单，新加坡发布AI治理框架。 综合评分： 88 文章分类： 威胁情报,漏洞预警,政策法规,APT攻击,恶意软件

---

每周网络安全简讯 ( 2026年 第5周 )

国信中心 国信中心

极客安全

2026年2月2日 08:02 北京

2026年1月24日至2026年1月30日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计21条。

01

APT攻击

01

APT组织Sandworm对波兰目标实施网络攻击

近日，安全研究人员监测发现APT组织Sandworm对波兰两座热电联合发电厂，以及用于控制风力涡轮机和光伏发电场等可再生能源发电的管理系统实施网络攻击，并在攻击成功后在其设备中植入DynoWiper新型破坏性数据清除软件，对目标设备实施文件删除操作。目前，波兰总理唐纳德·图斯克在新闻发布会上表示，“波兰成功抵御了此次网络攻击，没有出现国家能源系统不稳定或停电等负面后果。”此外，为抵御外部网络安全威胁，波兰政府正准备实施额外的安全措施，加快推进《国家网络安全系统法》等政策法规落地。

链接：https://www.bleepingcomputer.com/news/security/sandworm-hackers-linked-to-failed-wiper-attack-on-polands-energy-systems/

02

APT组织Konni利用基于AI生成的PowerShell后门程序对目标用户实施网络攻击

近日，安全研究人员披露称，APT组织Konni采用鱼叉式网络钓鱼攻击方式对日本、澳大利亚和印度等国目标用户实施入侵。一旦用户点击钓鱼邮件内的LNK文件，将会自动触发嵌入式PowerShell加载器，通过XOR算法从自身提取一个批处理文件和一个基于AI生成的PowerShell后门程序。经分析，提取的批处理文件会在用户系统C盘指定路径下创建用于放置恶意组件的文件目录并通过添加计划任务的方式实现自身持久性驻留；提取的PowerShell后门程序具备完善的反分析和持久化能力，会通过反沙箱检测、监控鼠标活动、创建互斥体、权限区分处理、加密C2通信等多种方式对用户设备实施全面远控。此外，该PowerShell后门程序具备清晰的人类可读文档，且关联脚本均严格按照软件工程规范划分成多个功能明确的逻辑模块，具有较为明显的AI代码生成痕迹。

链接：https://thehackernews.com/2026/01/konni-hackers-deploy-ai-generated.html

02

网络动态

01

新加坡发布全球首个智能体治理框架

近日，新加坡在2026年度世界经济论坛上发布了全球首个专门针对人工智能系统的“Model AI Governance Framework for Agentic AI”（MGF）模型治理框架。据称，该框架基于新加坡《2019年模型AI治理框架》《AI验证测试框架》等既有AI治理举措，以未授权访问、数据滥用、偏见决策、系统性破坏等安全风险为考量，为相关行业提供重要实践参考。

链接：https://www.jdsupra.com/legalnews/singapore-launches-first-global-agentic-9207035/

02

美国防部发布新版美国国防战略

1月23日，美国防部发布新版美国国防战略，提出特朗普政府指导美军行动的战略框架，并概述了美军落实美国国家安全战略的优先事项。在网络空间方面，该战略提出要着重增强网络威慑能力，进一步建立和完善网络防御体系，优先加强美国军方和特定民用目标网络安全防护架构，同时制定多项指导方案，对美国本土网络威胁进行削弱。

链接：https://media.defense.gov/2026/Jan/23/2003864773/-1/-1/0/2026-NATIONAL-DEFENSE-STRATEGY.PDF

03

美国NIST发布《交通网络安全框架社区概况》草案

近日，美国国家标准与技术研究院（NIST）国家网络安全卓越中心（NCCoE）发布《交通网络安全框架社区概况》草案，旨在补充与交通机构相关的现有网络安全项目、指南及政策，以满足重点领域方向（关键资产、供应商协作、组织建设）的特定战略业务。同时，该草案提供了一种共享分类法，不仅可用于支持交通机构与运营商之间关于网络安全风险管理方面进行有效沟通，而且为各种规模的交通机构提供可扩展的网络安全指导方案。

链接：https://industrialcyber.co/nist/nist-issues-draft-transit-community-profile-to-support-cybersecurity-programs-across-transit-agencies/

04

美国CISA发布PQC产品类别名单

近日，美国网络安全和基础设施安全局（CISA）发布与“后量子密码学”（PQC）产品相关的类别名单。据称，PQC通过保护数字通信安全和身份验证机制，确保量子计算机投入运行后保持相关产品安全，支持PQC的产品列表包括：云服务、网络软件、网络硬件及各类网络终端。同时，CISA指出，美国国家标准与技术研究院已确定若干抗量子加密算法，在名单中的各类产品只有实施FIPS 203、FIPS 204和FIPS 205算法，才可符合相应产品资格。此外，电子邮件系统、身份管理工具、安全软件等尚未在列表中的产品，将会在转型后全面应用指定的算法标准。

链接：https://www.cisa.gov/resources-tools/resources/product-categories-technologies-use-post-quantum-cryptography-standards#Table2

05

韩国审计院发布国家级网络攻防演习结果

近日，韩国审计院发布报告称，近期，韩国监察院、韩国国家安保战略研究院和网络作战司令部联合举行国家级网络攻防演习，对个人信息保护委员会（PIPC）指定重点管理的123个公共系统中的7个进行测试，发现在全部被检系统中均存在安全漏洞，且有3个系统问题较为严重，其中第一个系统中可查询约5000万人的居民登记号码及其他相关信息，第二个系统黑客可在20分钟内窃取1000万名用户的敏感数据，第三个系统中存储的凭证数据均未进行加密，允许具有管理员权限的攻击者窃取13万名用户的居民登记号码等敏感信息。审计院表示，已就相关问题向上述7个系统运营负责人进行通报，且目前已完成所有整改措施。

链接：https://koreajoongangdaily.joins.com/news/2026-01-27/national/socialAffairs/Hackers-breach-all-tested-publicsector-systems-in-Korean-audit-boards-simulated-cyberattack/2509650

06

以色列政府拟发布网络安全法案

近日，以色列政府拟发布网络安全法案，并计划于2026年2月份提交给以色列议会（Knesset）进行审议。如果最终获得通过，该法案将成为以色列历史上第一部永久性网络安全法律，并从根本上改变国家应对网络攻击的方式。据称，2026年度被法案约束的组织数量约为400至600家，且均为关键基础设施相关组织，并不涉及私营部门与大多数中小企业。同时，如果网络攻击被认定为可能对国家造成“潜在的严重损害”，被约束的相关组织必须立即、实时向国家网络安全局（INCD）报告相关信息。

链接：https://www.jpost.com/israel-news/politics-and-diplomacy/article-884510

07

美五角大楼成立“非动能效应小组”

近日，美国五角大楼联合参谋部新成立“非动能效应小组”（non-kinetic effects cell），以支撑委内瑞拉“绝对决心行动”（Operation Absolute Resolve）。空军准将瑞安·梅瑟（Brig. Gen. Ryan Messer）声称，在其过往的空军作战经验中，传统的非动能单位往往被安置在空中作战中心后方，直到作战方案基本成型后，才被要求提供侧面技术支援，而新设立的“非动能效应小组”，其根本目标是打破角色定位，使非动能能力在作战不同阶段发生转变，将网络安全在内的所有非动能能力进行整合、协同、同步后，纳入全球作战行动规划中。综上，此次“非动能效应小组”的成立，象征着美军正在将“非动能效应”视为一种需要被系统规划、持续管理的作战要素，而不再是临时调用的技术资源。

链接：https://defensescoop.com/2026/01/29/gen-caine-chairman-joint-chiefs-trump-cyber-non-kinetic-effects-cell/

08

美国海岸警卫队发布《网络安全培训核查工作辅助》指南

近日，美国海岸警卫队海事网络安全政策办公室发布《网络安全培训核查工作辅助》（Cybersecurity Training Verification Job Aid）指南，为检查员提供清晰的标准化框架，以核查所有美国船舶、海运设施及大陆架设备的运营人员是否已根据《联邦法规》第33编101 F部分完成了必要的网络安全培训。同时，组织人员应准备好培训项目证明文件，维护培训记录，并建立未培训人员受限系统访问的正式管理流程。

链接：https://www.news.uscg.mil/maritime-commons/Article/4389412/us-coast-guard-releases-cybersecurity-training-verification-job-aid/

03

漏洞资讯

01

微软Office存在安全功能绕过漏洞

近日，安全研究人员发现微软Office存在安全功能绕过漏洞（CVE-2026-21509），是由相关安全决策组件对输入数据安全验证存在缺陷所导致，允许未经授权的攻击者通过诱骗用户点击恶意Office文件的方式绕过本地安全功能，进而对目标设施实施入侵。漏洞影响Microsoft Office 2016、2019等多个版本，目前用户可通过补丁更新等方式修复上述安全漏洞。

链接：https://securityaffairs.com/187349/hacking/emergency-microsoft-update-fixes-in-the-wild-office-zero-day.html

02

谷歌Protocol Buffers存在安全漏洞

近日，安全研究人员发现在谷歌广泛使用的“结构化数据序列化机制”（Protocol Buffers）存在安全漏洞（CVE-2026-0994），位于ParseDict()函数中，是由相关组件处理特定类型消息时该函数的“max_recursion_depth限制”失效所导致，允许攻击者通过向目标设备发送特制数据的方式，致使递归堆栈耗尽，最终造成服务中断。目前，相关开发者可通过修正ConvertAnyMessage()函数等方式降低遭受攻击的风险。

链接：https://securityonline.info/high-severity-dos-flaw-hits-google-protocol-buffers-cve-2026-0994/

03

Apache Hadoop HDFS原生客户端存在安全漏洞

近日，安全研究人员发现被广泛使用的Apache Hadoop HDFS原生客户端存在安全漏洞（CVE-2025-27821），是由URI解析器对输入数据限制不严格所导致，允许攻击者向目标设备提供恶意URI的方式，实现内存损坏、数据丢失或系统服务中断。漏洞影响Apache Hadoop HDFS 3.2.0至3.4.1等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://gbhackers.com/apache-hadoop-flaw/

04

Fortinet公司FortiOS系统存在安全漏洞

近日，安全研究人员发现Fortinet公司推出的下一代防火墙操作系统FortiOS存在安全漏洞（CVE-2026-24858），是由FortiCloud单点登录（SSO）功能存在身份逻辑验证缺陷所导致，当设备启用FortiCloud SSO认证时，攻击者可利用自身合法的FortiCloud账户及已注册设备，绕过正常身份认证机制，直接登录到其他用户账号下注册的设备。漏洞影响7.6.0 <= FortiAnalyzer <= 7.6.5、7.4.0 < FortiManager < 7.4.9、7.4.0 < FortiOS < 7.4.10等产品版本，目前用户可通过版本升级等方式修复上述安全漏洞。

链接：https://thehackernews.com/2026/01/fortinet-patches-cve-2026-24858-after.html

05

vm2 Node.js库存在安全漏洞

近日，安全研究人员发现被广泛使用的开源Node.js库vm2存在安全漏洞（CVE-2026-22709），是由其内部回调函数的清理机制存在缺陷所导致，允许攻击者绕过目标设备安全机制实现沙箱逃逸，进而执行任意代码。目前，用户可通过将版本升级至3.10.3的方式修复上述安全漏洞。

链接：https://www.bleepingcomputer.com/news/security/critical-sandbox-escape-flaw-discovered-in-popular-vm2-nodejs-library/

06

工作流自动化平台n8n存在2个安全漏洞

近日，安全研究人员发现被广泛使用的工作流自动化平台n8n存在2个安全漏洞。其中，第一个安全漏洞为CVE-2026-1470，允许攻击者绕过Expression沙箱机制，通过传递特制JavaScript代码，实现n8n主节点任意代码执行；第二个安全漏洞为CVE-2026-0863，允许攻击者绕过“Python任务执行沙箱”限制，在底层系统上运行任意Python脚本。目前，用户可通过将工作流自动化平台n8n升级至2.5.1等版本的方式修复上述安全漏洞。

链接：https://thehackernews.com/2026/01/two-high-severity-n8n-flaws-allow.html

07

SolarWinds WHD产品存在6个安全漏洞

近日，安全研究人员发现SolarWinds旗下网络帮助台（WHD）产品存在6个安全漏洞，其中有4个安全漏洞较为严重，包括：2个反序列化漏洞（CVE-2025-40551、CVE-2025-40553），允许攻击者无需身份验证即可在目标设备上运行任何命令；2个身份验证绕过漏洞（CVE-2025-40552、CVE-2025-40554），允许攻击者绕过身份验证机制，在WHD中执行各类敏感操作。目前，用户可通过将相应产品升级至Web Help Desk 2026.1版本的方式修复上述安全漏洞。

链接：https://www.csoonline.com/article/4124030/solarwinds-again-critical-rce-bugs-reopen-old-wounds-for-enterprise-security-teams.html

08

PyTorch存在远程代码执行漏洞

近日，安全研究人员发现被广泛使用的PyTorch存在远程代码执行漏洞（CVE-2026-24747），是由其内部weights_only模块未能正确验证输入数据所导致，允许攻击者通过诱骗用户加载恶意PTH文件的方式劫持用户设备进程，进而实现远程任意代码执行。漏洞影响PyTorch 2.9.1及更早版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://securityonline.info/safety-broken-pytorch-safe-mode-bypassed-by-critical-rce-flaw/

04

木马病毒

01

利用伪装Python拼写检查工具传播的恶意程序被披露

近日，安全研究人员在Python Package Index（PyPI）仓库中发现一款恶意程序，伪装成Python拼写检查工具进行传播。一旦用户使用test_file(“eu”,”utf-8″,”spellchecker”)函数解压归档文件时，将会自动触发恶意行为，执行隐藏在巴斯克语词典文件中经过Base64编码的初始载荷，进而通过域名通联、指纹识别、文件下载等一系列操作向受控设备部署最终功能性载荷，实现对用户设备的持久性远控。目前，涉及的工具包虽已被删除，但下载量约为1,000次，存在较大的潜在安全威胁。

链接：https://thehackernews.com/2026/01/fake-python-spellchecker-packages-on.html

02

针对印度用户进行传播的Blackmoon银行木马被披露

近日，安全研究人员披露了一项针对印度用户设备实施入侵，传播Blackmoon银行木马的攻击活动。经分析发现，该银行木马具有以下特征：一是在初步植入受控设备后，会利用基于COM接口劫持的技术绕过UAC安全验证机制，以获取管理员权限；二是在实施各类恶意操作过程中会修改自身“进程环境块”（PEB），伪装成合法Windows进程以隐蔽自身；三是当检测到受控设备中存在Avast安全程序时，会利用自动鼠标模拟的方式在Avast安全程序界面进行操作，在不禁用杀毒引擎的情况下将自身添加至白名单，以规避安全检测；四是植入受控设备后同步部署定制化脚本，实现ACL修改、文件窃取、日志记录等多种恶意功能。综上，Blackmoon银行木马不仅具备数据窃取等基本功能，而且还能对用户环境进行持续控制，实时监控用户活动，功能较为全面，存在较大潜在安全威胁。

链接：https://thehackernews.com/2026/01/indian-users-targeted-in-tax-phishing.html

03

利用AI优化迭代的PureRAT木马程序新变种被披露

近日，安全研究人员捕获到PureRAT木马程序新变种样本。经分析发现，PureRAT木马程序首现于2025年，常通过鱼叉式网络钓鱼攻击方式进行传播。在近期捕获的PureRAT样本中，安全人员发现其源码中包含表情符号，且部分功能性代码包含解释性注释、调试和提醒字样，因此判断其为经过Reddit等社交平台数据训练，且经过AI代码生成平台进行优化后的变种版本。同时，该变种样本允许攻击者对受控设备实施隐蔽远程控制，窃取用户敏感数据或出售访问权限以谋取利益。综上，攻击者已逐渐趋向于使用AI对恶意程序进行构建及迭代优化，不仅提升了恶意程序的迭代效率，也在一定程度上降低了攻击者自身的技术水平门槛。

链接：https://www.infosecurity-magazine.com/news/emojis-in-purerats-code/

编辑：林青

往期推荐

每周网络安全简讯 ( 2026年 第4周 )

每周网络安全简讯 ( 2026年 第3周 )

每周网络安全简讯 ( 2026年 第1-2周 )

每周网络安全简讯 ( 2025年 第53周 )

每周网络安全简讯 ( 2025年 第52周 )

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发 是对我们最好的支持

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客安全 国信中心 国信中心《每周网络安全简讯 ( 2026年 第5周 )》