文章总结： 本期安全简讯涵盖六大事件：Flickr因第三方邮件服务漏洞致用户数据泄露，已切断连接并启动审查；思科Talos曝光针对中文用户的Linux恶意框架DKnife，自2019年起活跃，可劫持软件更新传播后门；BridgePay支付网关遭勒索软件攻击致全国服务中断，初步确认无支付数据泄露；CISA将ReactNativeCLI和SmarterMail的两个高危漏洞纳入KEV目录，要求联邦机构限期修复；英国建筑公司遭Prometei僵尸网络攻击，攻击者通过弱密码利用RDP入侵；国家支持组织TGR-STA-1030发起影子行动，利用钓鱼邮件和定制Linuxrootkit渗透全球70余个关键设施。 综合评分： 78 文章分类： 数据泄露,恶意软件,漏洞预警,威胁情报,安全大事件

安全简讯（2026.02.09）

启明星辰安全简讯

2026年2月9日 17:02 北京

1. Flickr因第三方服务漏洞致用户数据泄露

2月9日，作为SmugMug旗下拥有超1亿注册用户、数百万活跃摄影师的照片分享平台，Flickr于2026年2月5日发现其第三方电子邮件服务提供商存在系统漏洞，可能造成部分用户个人信息遭未经授权访问。据官方通报，此次事件可能泄露的信息包括用户姓名、电子邮箱地址、IP地址及账户活动记录，但未涉及密码、支付数据等敏感信息。Flickr在获悉漏洞后数小时内即关闭受影响系统，切断与存在漏洞的第三方端点的连接，并同步启动全面安全审查。尽管Flickr未披露涉事服务提供商具体身份及受影响用户规模，但已采取多项应急措施：立即通知第三方服务商开展深度调查，强化对第三方服务的管控流程，同时向相关数据保护机构报备事件详情。平台方强调，已通过删除存在漏洞的端点链接、实施系统架构加固等方式提升安全防护等级，并承诺将持续监控第三方服务提供商的合规性。

Flickr moves to contain data exposure, warns users of phishing

2. 思科Talos曝光DKnife：中文用户Linux网关攻击框架

2月8日，思科Talos于近期披露名为“DKnife”的Linux恶意工具包，该工具由七个基于Linux的植入程序组成，专为路由器和边缘设备设计，可执行深度包检测、流量操纵及恶意软件传播。据报告，DKnife自2019年起被使用，其C2服务器至2026年1月仍活跃，主要针对中文用户，通过劫持软件下载、安卓应用更新（如微信、中国出租车/网约车应用）传播ShadowPad和DarkNimbus后门，窃取中国服务凭证及热门应用数据。技术层面，DKnife支持中间人攻击（AitM），可拦截Windows、Android更新及二进制文件下载，将合法请求重定向至恶意服务器，替换为含ShadowPad/DarkNimbus的安装程序。其加密规则采用QQ TEA密钥解密，使用后自动删除。该工具还具备流量检测模块，可识别并干扰360安全软件、腾讯服务等安全产品的通信，通过伪造TCP RST数据包阻断流量，降低受害者设备防护能力。

DKnife toolkit abuses routers to spy and deliver malware since 2019

3. BridgePay支付网关遭勒索软件攻击致全国服务中断

2月6日，美国大型支付网关提供商BridgePay Network Solutions遭遇勒索软件攻击，导致其核心支付系统全国性瘫痪，引发大规模服务中断。事件始于周五凌晨，监控系统率先发现“Gateway.Itstgate.com – 虚拟终端、报告、API”等关键服务性能下降，随后多个核心生产系统（如BridgePay网关API、PayGuardian云API、MyBridgePay虚拟终端、托管支付页面及PathwayLink门户）出现间歇性降级，最终演变为全面瘫痪。BridgePay在当日晚些时候证实，此次中断由勒索软件攻击引发，并已联合联邦调查局、美国特勤局及外部取证团队展开调查。公司强调，初步取证显示无支付卡数据泄露，被访问文件均已加密，目前“无证据表明存在可用数据泄露”。然而，勒索软件攻击已造成严重现实影响，全国多地商家因银行卡处理系统故障被迫仅接受现金支付，佛罗里达州棕榈湾市政府在线账单支付门户瘫痪，建议市民通过现金、银行卡或支票现场支付，部分机构甚至需电话支付。Lightspeed Commerce、ThriftTrac及德克萨斯州弗里斯科市等其他组织亦报告服务受影响。

https://www.bleepingcomputer.com/news/security/payments-platform-bridgepay-confirms-ransomware-attack-behind-outage/

4. CISA将React Native及SmarterMail漏洞添至KEV目录

2月6日，美国网络安全和基础设施安全局（CISA）近日将SmarterTools SmarterMail和React Native Community CLI的两个高危漏洞CVE-2025-11953与CVE-2026-24423添加至已知可利用漏洞（KEV）目录，并要求联邦机构在2026年2月26日前完成修复。CVE-2025-11953是React Native Community CLI的Metro开发服务器存在的操作系统命令注入漏洞。该服务器默认绑定外部接口，暴露易受攻击的端点，未经认证的攻击者可发送POST请求在Windows系统上执行任意命令，甚至运行完全可控的shell脚本。VulnCheck研究显示，该漏洞自2025年12月起已被持续利用，攻击者通过多阶段Base64编码的PowerShell加载器禁用安全软件、下载并执行恶意二进制文件。CVE-2026-24423是SmarterTools SmarterMail（9511版本前）的ConnectToHub API方法中存在的未认证远程代码执行漏洞，CVSS评分高达9.3。攻击者可引导SmarterMail连接恶意HTTP服务器，触发恶意命令执行。该漏洞由多团队联合报告，SmarterTools已在Build 9511版本中修复。

U.S. CISA adds SmarterTools SmarterMail and React Native Community CLI flaws to its Known Exploited Vulnerabilities catalog

5. 英国建筑公司遭Prometei僵尸网络攻击

2月8日，一家英国建筑公司在其Windows服务器上发现名为”数字地狱租户”的隐蔽入侵者。经eSentire威胁响应部门（TRU）鉴定，入侵者为与俄罗斯关联的Prometei僵尸网络，自2016年起持续活跃的恶意程序，其核心功能虽为挖掘门罗币加密货币，但TRU研究证实其同样擅长密码窃取与远程控制系统。该攻击的显著特征在于低技术门槛：攻击者仅通过猜测弱密码或默认密码，便利用远程桌面协议（RDP）轻松获取系统访问权限，印证了”弱密码如敞门”的安全警示。Prometei实为完整工具包，安装后运行UPlugPlay服务并创建sqhost.exe文件，确保开机自启。其初始有效载荷zsvc.exe从Primesoftex Ltd.关联服务器下载，经高度加密伪装，具备隐蔽性。为规避检测，该恶意软件采用双重策略：一方面通过Windows内置工具收集计算机名称与技术细节，部署Mimikatz（标记为miWalk）窃取网络密码，并利用TOR匿名网络路由流量；另一方面实施”沙箱绕过”，若无法找到mshlpda32.dll解包文件，则执行虚假系统任务伪装无害行为。

UK Construction Firm Hit by Prometei Botnet Hiding in Windows Server

6. “影子行动”揭秘：国家支持组织渗透多国关键设施

2月7日，由国家支持的威胁组织TGR-STA-1030/UNC6619发起的“影子行动”已在全球范围内展开大规模网络攻击，渗透37个国家的70余个政府及关键基础设施实体。据Palo Alto Networks Unit 42部门披露，该组织自2024年1月起活跃于亚洲，其攻击目标涵盖政府、执法、边境管制、能源、金融、外交等战略领域，包括美洲贸易政策机构、欧洲多国议会、澳大利亚财政部及台湾电力设备供应商等。攻击手段呈现高度定制化与多维度特征。早期通过钓鱼邮件投递含本地化名称的恶意压缩文件，利用Mega.nz存储服务诱导目标下载，结合环境检查规避沙箱检测，并加载Cobalt Strike及VShell框架实施命令控制。组织还利用15个已知漏洞获取初始访问权限，并部署定制Linux rootkit“ShadowGuard”，该工具基于eBPF内核技术，可隐藏最多32个PID及“swsecret”文件，通过系统调用拦截逃避监控，同时允许操作者定义可见进程以混淆调查。

https://www.bleepingcomputer.com/news/security/state-actor-targets-155-countries-in-shadow-campaigns-espionage-op/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：启明星辰安全简讯 《安全简讯（2026.02.09）》