文章总结： 本周简讯显示APT28与APT42分别利用Office漏洞及无文件后门攻击；美NSA发布零信任指南，CISA要求淘汰停服设备；OpenSSL、Chrome及Docker等曝高危漏洞；Arsink恶意软件伪装应用传播，ShadowHS针对Linux无文件攻击。建议及时修补漏洞。 综合评分： 87 文章分类： 威胁情报,漏洞预警,恶意软件,政策法规,AI安全

---

每周网络安全简讯 ( 2026年 第6周 )

国信中心 国信中心

极客安全

2026年2月9日 08:00 北京

2026年1月31日至2026年2月6日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计20条。

01

APT攻击

01

APT组织APT28对乌克兰目标用户实施网络钓鱼攻击

近日，安全研究人员发现APT组织APT28以“欧盟在乌克兰进行COREPER磋商”等话题为诱饵制作钓鱼邮件，尝试通过Microsoft Office安全漏洞（CVE-2026-21509）对乌克兰目标用户实施入侵。攻击成功后，将会自动触发基于WebDAV的感染链，通过COM劫持、恶意DLL侧加载、添加定时任务等方式向受控设备部署COVENANT恶意程序载荷，进而使用Filen（filen.io）云存储服务进行C2通信，并实现对用户设备的持久性远控。目前，安全人员建议称，用户可通过及时修复Microsoft Office安全漏洞、开启Windows Defender安全机制等方式降低遭受攻击的风险。

链接：https://www.bleepingcomputer.com/news/security/russian-hackers-exploit-recently-patched-microsoft-office-bug-in-attacks/

02

APT组织APT42利用TAMECAT后门程序对目标用户实施网络攻击

近日，安全研究人员监测发现，APT组织APT42在WhatsApp等社交媒体平台冒充可信联系人与国防、政府官员建立持续联系，然后通过网络钓鱼方式向目标设备中植入复杂的模块化后门程序TAMECAT，以达到敏感信息窃取的目的。经分析，该后门程序基于PowerShell进行开发，植入受控设备后不会落地，而是以“无文件”的方式仅写入在内存中执行恶意操作，同时其功能较为全面，具备明显的模块化特征，允许攻击者根据目标进行定制化参数配置，目前已发现的模块包括：一是浏览器信息窃取模块，可提取Chrome、Edge、Firefox等浏览器中的cookie、历史记录等敏感数据；二是屏幕捕捉模块，可实时截取用户桌面截图；三是文件爬虫模块，可扫描设备系统文件目录，对指定的文件进行筛选、打包和上传。

链接：https://securityonline.info/tamecat-exposed-apt42s-fileless-backdoor-targets-defense-chiefs/

02

网络动态

01

美国家安全局发布《零信任实施指南》

近日，美国家安全局（NSA）发布《零信任实施指南》（ZIGs）第一阶段和第二阶段部分内容，旨在通过阐释与零信任架构相关的需求、前置要求及相关实例，以模块化和高度定制性的分阶段设计方式，推进相关组织的零信任部署工作。其中，第一部分详细介绍了相关组织构建、完善零信任环境的36项实例，以铺垫安全能力基础；第二部分则详细介绍了41个实例，为组织启动核心零信任解决方案提供支撑。

链接：https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4393480/nsa-releases-phase-one-and-phase-two-of-the-zero-trust-implementation-guidelines/

02

欧洲ENCS与荷兰DIVD建立关键基础设施漏洞披露合作框架

近日，欧洲网络安全组织（The European Network for Cyber Security，ENCS）与荷兰漏洞披露研究所（Institute for Vulnerability Disclosure，DIVD）正式签署谅解备忘录（MoU），旨在通过建立关联基础设施漏洞披露合作框架的方式，结合ENCS专业安全测试专业知识与DIVD在协同漏洞披露和CVE注册方面的经验，加强双方在关键基础设施漏洞发现、披露和修复方面的合作力度。

链接：https://industrialcyber.co/news/encs-and-divd-partner-to-coordinate-vulnerability-disclosure-and-cve-registration-for-critical-infrastructure/

03

微软公司开发出可检测大语言模型后门的轻量级检测工具

微软公司近日开发出一款轻量级检测工具，可检测开放权重大语言模型（LLM）中存在的后门。据称，该工具依据三种可观测的后门特征指标对大语言模型进行低误报率标记，包括：一是在已包含触发短语提示词情况下，存在后门的大语言模型会呈现出独特的“双重三角形”（double triangle）注意力模式，且模型输出随机性熵值受到严重干扰；二是存在后门的大语言模型对恶意提示词的记忆更为深刻，可通过特定训练数据组进行交叉比对；三是存在后门的大语言模型对恶意提示词具有较高的模糊容忍度，为进一步缩小搜索范围提供支撑。经实验，该检测工具广泛适用于类GPT的大语言模型，无需经过额外的模型训练即可以前向传递的方式进行高效检测。

链接：https://www.microsoft.com/en-us/security/blog/2026/02/04/detecting-backdoored-language-models-at-scale/

04

美国能源小组委员会推进五项能源方面网络安全法案

近日，美国能源小组委员会（Energy Subcommittee）为确保美国能源设施物理和网络安全，审议了五项相关法案，包括：《能源紧急领导法》（Energy Emergency Leadership Act，H.R.7258）、《农村及市政公用事业网络安全法案》（Rural and Municipal Utility Cybersecurity Act，H.R.7266）、《确保社区升级以实现韧性电网（SECURE Grid）法案》（Securing Community Upgrades for a Resilient Grid Act，H.R.7257）、《管道网络安全准备法案》（Pipeline Cybersecurity Preparedness Act，H.R.7272）、《2026年能源威胁分析中心法案》（Energy Threat Analysis Center Act of 2026，H.R.7305）。其中，众议员对部分法案功能性及作用阐释如下：《农村及市政公用事业网络安全法案》可确保农村电力合作社和小型公用事业获取先进的网络安全工具、技术支援和补助资金，以检测、响应网络安全威胁；《管道网络安全准备法案》将改善美国能源部与其他机构合作的方式，确保液化天然气基础设施网络安全防护能力和韧性，同时通过开发项目平台的方式，确保能源系统稳定安全运行；《2026年能源威胁分析中心法案》针对小城镇和农村地区提供网络安全支援，通过重新授权“能源威胁分析中心”（ETAC）的方式，建立并完善能源行业威胁情报分析与协作机制。

链接：https://energycommerce.house.gov/posts/energy-subcommittee-advances-five-bills-to-strengthen-american-cybersecurity

05

美国CISA要求联邦机构一年内淘汰停产设备

CISA已监测到具有国家背景支持的黑客组织针对未获取厂商支持服务的互联网边缘设备开展网络攻击行动，为应对此类威胁，他们发布了一项具有强制法律效力的《绑定性运营指令》（Binding Operational Directive，BOD 26-02），要求联邦民用机构梳理自身资产，识别、移除并替换已停止支持（End-of-Support,EOS）的互联网暴露边缘设备。根据指令要求，相关机构需要在3个月内完成EOS边缘设备全面资产盘点，12个月内启动移除与替换流程，18个月内彻底清除涉及资产，且后续将会实施持续监测，防止过时设备重新接入美国联邦网络。综上，此次BOD 26-02的发布，象征着美国CISA已将设备生命周期管理并入国家级网络安全防护基线，为后续整体网络安全防护架构完善优化提供支撑。

链接：https://www.cisa.gov/news-events/directives/bod-26-02-mitigating-risk-end-support-edge-devices

06

美国海军启动“网络远征航线与海底系统交换”项目

近日，美国海军宣布启动“网络远征航线与海底系统交换”（NEREUS）项目，利用现有声学通信硬件，并入网络与路由功能，构建超越点对点链路通信的可靠信息交换渠道，同时依赖人工智能、自动化和韧性通信链路特点，充分发挥网状结构中飞机、海上舰艇等单位传感器及动能武器能力，提升综合作战效能。

链接：https://defensescoop.com/2026/02/05/navy-dmo-subsurface-warfare-undersea-systems-network-nereus/

07

微软公司将Sysmon威胁检测工具原生集成到Windows11操作系统中

近日，微软公司已正式向部分参加Windows Insider计划的Windows 11系统用户推广内置Sysmon功能。据称，Sysmon是一款用于监测Windows系统服务、设备驱动程序等方面恶意活动，以及可执行文件创建、进程篡改、Windows剪切板内容更改等复杂活动行为，并在Windows事件日志中进行记录的安全工具。安全人员不仅可利用其进行简单的安全防护，而且可通过构建XML配置文件，选择性过滤指定的安全事件，为SIEM安全设备事件采集提供数据支撑，进而与其他安全应用联动协同，综合提升网络安全监测及防护能力。

链接：https://www.bleepingcomputer.com/news/microsoft/microsoft-rolls-out-native-windows-11-sysmon-security-monitoring/

03

漏洞资讯

01

OpenSSL CMS模块存在缓冲区溢出漏洞

近日，安全研究人员发现被广泛使用的开源加密库OpenSSL存在缓冲区溢出漏洞（CVE-2025-15467），位于“加密消息语法”（CMS）AuthEnvelopedData中，是由相关组件处理使用AEAD加密算法（如AES-GCM）的消息时，未对ASN.1参数中的初始化向量（IV）长度进行校验所导致，允许攻击者通过构造特制CMS消息的方式，致使用户设备服务崩溃，甚至实现远程任意代码执行。漏洞影响OpenSSL 3.6等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://www.sentinelone.com/vulnerability-database/cve-2025-15467/

02

Docker Ask Gordon存在安全漏洞

近日，安全研究人员发现Docker集成的人工智能助手Ask Gordon存在安全漏洞，允许攻击者通过诱骗用户安装恶意Docker镜像的方式，使用户Docker Ask Gordon读取并解释恶意指令，将其转发至MCP网关并执行相应恶意操作。目前，用户可通过将Docker版本升级至4.50.0的方式修复上述安全漏洞。

链接：https://thehackernews.com/2026/02/docker-fixes-critical-ask-gordon-ai.html

03

OpenClaw存在远程代码执行漏洞

近日，安全研究人员发现被广泛使用的开源人工智能个人助理平台OpenClaw存在远程代码执行漏洞（CVE-2026-25253），攻击者可通过诱骗用户点击恶意链接的方式，将用户登录令牌发送至指定服务器上，进而允许攻击者登录用户本地网关，篡改配置信息，甚至实现远程任意代码执行。目前，用户可通过将OpenClaw升级至2026.1.29或更高版本的方式修复上述安全漏洞。

链接：https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html

04

Google Chrome浏览器存在2个安全漏洞

近日，安全研究人员发现Google Chrome浏览器存在2个安全漏洞。其中，第一个安全漏洞是位于libvpx模块的堆缓冲区溢出漏洞（CVE-2026-1861），允许攻击者向用户设备发送特制视频文件的方式，致使其系统崩溃；第二个安全漏洞是位于V8 JavaScript引擎的类型混淆漏洞（CVE-2026-1862），允许攻击者欺骗目标用户浏览器引擎读取或写入恶意数据，进而导致浏览器崩溃或实现远程任意代码执行。目前，用户可通过将Chrome浏览器版本升级至144.0.7559.132/133（Windows、Mac）、144.0.7559.132（Linux）的方式修复上述安全漏洞。

链接：https://helentech.jp/news-81680/

05

Foxit PDF Editor Cloud存在2个跨站脚本漏洞

近日，安全研究人员发现Foxit PDF Editor Cloud存在2个跨站脚本漏洞（CVE-2026-1591、CVE-2026-1592），由相关组件输入数据验证不足，且输出数据编码不当所导致，允许攻击者通过诱骗用户访问包含恶意文件名、图层名称的附件或图层配置文件的方式，在用户浏览器中执行任意JavaScript。目前，用户可通过版本升级等方式修复上述安全漏洞。

链接：https://thecyberexpress.com/foxit-pdf-editor-xss-vulnerabilities/

06

工作流自动化平台n8n存在安全漏洞

近日，安全研究人员发现工作流自动化平台n8n存在安全漏洞（CVE-2026-25049），是由相关组件净化机制存在缺陷所导致，允许经过初步身份验证的攻击者在目标平台上创建或编辑工作流，甚至在n8n服务器上远程执行任意代码。漏洞影响n8n released version < 2.5.2等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://www.bleepingcomputer.com/news/security/critical-n8n-flaws-disclosed-along-with-public-exploits/

07

Cisco Meeting Management存在任意文件上传漏洞

近日，安全研究人员发现思科会议管理软件Cisco Meeting Management存在任意文件上传漏洞（CVE-2026-20098），是由思科会议管理网页界面证书管理功能对用户输入数据验证存在缺陷所导致，允许攻击者向目标设备上传任意恶意文件，并由root权限账户进行处理。漏洞影响Cisco Meeting Management version < 3.12版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://cybersecuritynews.com/cisco-meeting-management-upload-vulnerability/

04

木马病毒

01

伪装成WhatsApp、TikTok等热门应用传播的Arsink安卓恶意程序被披露

近日，安全研究人员披露一款名为Arsink的安卓恶意程序，伪装成WhatsApp、TikTok等50多个热门应用程序，通过Telegram、Discord平台对143个国家目标用户进行投递。一旦用户点击安装，该恶意程序将会自动隐藏自身图标，启动用户设备“连续后台服务”保证自身持久性驻留，进而实施麦克风监听、照片窃取、短信收集等恶意操作。此外，该恶意程序还会执行黑客实时下达的各类指令，强迫用户设备拨打电话，追踪实时位置，甚至对用户设备实施破坏性擦除。目前，经统计已有埃及、印度尼西亚、伊拉克等国的45,000台设备遭受Arsink恶意程序感染。

链接：https://hackread.com/arsink-spyware-whatsapp-youtube-instagram-tiktok/

02

通过Open VSX受控账户传播的GlassWorm恶意程序被披露

近日，安全研究人员发现某黑客获取了Open VSX开源扩展插件市场名为“oorzc”的账户权限，并通过该账户向外推送了4个携带GlassWorm恶意程序载荷的扩展插件。当使用MacOS操作系统的用户下载安装相关插件后，首先，该恶意程序会执行环境检查，仅当用户物理地址不在俄罗斯时，才会从Solana交易备忘录中提取指令，执行后续恶意行为。然后，自动收集用户FireFox、Chrome等浏览器数据、钱包扩展应用、钥匙链、Apple Notes数据库及本地文件系统敏感数据，进而将所窃数据上传至攻击者指定服务器中。目前，安全人员已向Open VSX平台运营方Eclipse基金会进行通报，相关恶意插件已被删除。

链接：https://www.bleepingcomputer.com/news/security/new-glassworm-attack-targets-macos-via-compromised-openvsx-extensions/

03

针对Linux操作系统实施攻击的ShadowHS恶意程序被披露

近日，安全研究人员披露了一款名为ShadowHS的恶意程序，与传统Linux恶意程序不同的是，ShadowHS优先考虑自身隐蔽性，在植入用户设备后会采用多阶段加密加载器对自身载荷进行解密，然后直接写入内存实现“无文件”方式功能执行。在成功写入内存后，该恶意程序会继续收集系统指纹，识别CrowdStrike Falcon、Cortex XDR等安全程序，仔细评估系统环境后，实施凭证窃取、横向移动、权限提升等恶意操作。

链接：https://cybersecuritynews.com/new-stealthy-fileless-linux-malware-shadowhs/

04

安全人员披露Interlock勒索团伙使用的Hotta Killer新恶意工具

安全研究人员披露称，Interlock勒索团伙近期不断改进迭代所用恶意工具，在勒索过程中，不仅通过植入合法Node.js的方式实现自身持久性驻留，在休眠数月后通过ScreenConnect、AZCopy等恶意程序实现远程访问和敏感信息窃取，而且会在植入各类恶意载荷的过程中，同步向受控设备植入Hotta Killer新恶意工具，通过“自带漏洞驱动”（BYOVD）的方式，将携带CVE-2025-61155安全漏洞的GameDriverx64.sys驱动程序作为内核服务安装在用户设备中，进而利用相应缺陷，以ring-0特权对用户设备中的“Forti.exe”等EDR安全程序进程进行关闭。安全人员声称，相关组织应采取屏蔽未签名驱动、监控服务安装等方式降低遭受此类攻击的风险。

链接：https://cyberpress.org/interlock-kills-edr-drivers/

编辑：林青

往期推荐

每周网络安全简讯 ( 2026年 第5周 )

每周网络安全简讯 ( 2026年 第4周 )

每周网络安全简讯 ( 2026年 第3周 )

每周网络安全简讯 ( 2026年 第1-2周 )

每周网络安全简讯 ( 2025年 第53周 )

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发 是对我们最好的支持

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客安全 国信中心 国信中心《每周网络安全简讯 ( 2026年 第6周 )》