文章总结： 本文档为国家信息技术安全研究中心发布的2026年第7-10周网络安全简讯，共汇总20条安全信息。重点涵盖CryptoCore等APT组织攻击活动、美伊冲突引发的黑客行动及DHS数据泄露事件。漏洞方面涉及苹果、VMware、思科等产品的高危漏洞预警。恶意软件部分披露了SSHStalker僵尸网络及ZeroDayRAT间谍软件。文档建议用户及时升级版本并加强安全监测。 综合评分： 84 文章分类： 威胁情报,漏洞预警,恶意软件,安全大事件

---

每周网络安全简讯 ( 2026年 第7-10周 )

国信中心 国信中心

极客安全

2026年3月6日 17:17 北京

2026年2月7日至2026年3月6日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计20条。

01

APT攻击

01

APT组织CryptoCore利用7个MacOS恶意程序对目标用户实施网络攻击

近日，谷歌Mandiant研究团队披露称，APT组织CryptoCore利用AI生成视频与ClickFix技术向金融行业目标实施定制化攻击，进而通过AppleScript调用Mach-O二进制文件的方式向受控设备植入7个MacOS恶意程序，包括：一是C++后门程序WAVESHAPER，以后台守护进程的形式运行，用于收集主机系统信息，并通过HTTP/HTTPS协议与C2服务器进行通信，下载和执行后续有效载荷；二是是基于Golang的下载器HYPERCALL，可读取RC4加密的配置文件，下载恶意动态库，并将其反射加载到内存中；三是基于Golang的后门HIDDENCALL，通过HYPERCALL反射注入，提供直接的键盘访问；四是C++后门程序SILENCELIFT，可将主机信息和锁屏状态发送到硬编码的C2服务器；五是基于Swift的数据挖掘工具DEEPBREATH，可通过修改TCC数据库绕过MacOS TCC保护，从而获得广泛的文件系统访问权限；六是C++下载器SUGARLOADER，使用RC4加密配置部署下一阶段有效载荷，并通过手动创建的守护程序使其持久运行；七是C++浏览器数据挖掘程序CHROMEPUSH，可以Chromium原生消息主机的形式安装，伪装成Google Docs Offline扩展程序收集键盘敲击记录、凭据、cookie及屏幕截图等用户敏感信息。

链接：https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-macos-malware-in-crypto-theft-attacks/

02

APT组织ScarCruft采用SNAKEDROPPER等多个恶意程序对目标用户实施网络攻击

近日，安全研究人员监测发现APT组织ScarCruft以网络钓鱼作为初始入侵手段，通过诱骗用户点击恶意LNK文件实施渗透入侵。攻击成功后，该LNK文件会自动提取隐藏其中的有效载荷，在受控设备内存中加载RESTLEAF后门程序，通过硬编码令牌进行身份验证，进而利用Zoho WorkDrive与C2服务器进行通联，最终部署SNAKEDROPPER、THUMBSBD、FOOTWINE等多个功能性载荷实现敏感信息窃取、命令执行、文件上传等恶意操作。

链接：https://securityaffairs.com/188767/apt/apt37-combines-cloud-storage-and-usb-implants-to-infiltrate-air-gapped-systems.html

03

APT组织SloppyLemming对巴基斯坦等国目标用户实施网络攻击

近日，安全研究人员监测发现APT组织SloppyLemming采用鱼叉式网络钓鱼方式，诱骗巴基斯坦、斯里兰卡、孟加拉等国目标用户点击恶意Excel文档实施渗透入侵。攻击成功后，恶意Excel文档将会自动通过DLL侧载的方式向受控设备植入被称为BurrowShell的定制化Shellcode功能性载荷，进而伪装成Windows Update服务与APT组织指定C2服务器进行通联后，实施文件收集、屏幕截图、命令执行等恶意操作。

链接：https://thehackernews.com/2026/03/sloppylemming-targets-pakistan-and.html

04

APT组织MuddyWater对中东、北非等地区国家目标用户实施网络攻击

近日，安全研究人员发现APT组织MuddyWater对中东、北非等地区目标用户实施代号为Operation Olalampo的网络攻击行动。经分析，此次攻击事件以网络钓鱼为初始入侵手段，通过诱骗用户点击嵌入Word文档钓鱼邮件的方式实施渗透入侵。攻击成功后，Word文档内的恶意宏将会通过一系列感染链，从指定的远程服务器上向用户设备部署GhostFetch、GhostBackDoor、HTTP_VIP、CHAR等功能性载荷。其中，GhostFetch为第一阶段下载器，可对系统配置、鼠标移动、屏幕分辨率、调试器、虚拟机环境、杀毒软件等方面进行检测，且在检测通过后直接在用户系统内存中写入次级载荷；GhostBackDoor为多功能后门程序，可在植入设备后实施命令执行、文件读写等恶意操作；HTTP_VIP为本地下载器，可在获取系统剪贴板内容、收集系统参数的同时，部署AnyDesk功能性载荷；CHAR为基于Rust的后门程序，黑客可通过Telegram进行控制，以实施各类恶意操作。

链接：https://thehackernews.com/2026/02/muddywater-targets-mena-organizations.html

02

网络动态

01

美、以针对伊朗实施联合军事行动后中东地区黑客行动显著增加

近日，在美国与以色列针对伊朗发动代号为“史诗狂怒”（Epic Fury）和“咆哮狮”（Roaring Lion）的联合军事行动后，中东地区网络空间报复性黑客行动显著增加。安全公司Radware报告显示，2026年2月28日至3月2日期间共记录16个国家的110个黑客组织实施了149起DDoS攻击，其中Keymous+和DieNet组织约占总攻击活动的70%，攻击主要集中在科威特（28%）、以色列（27.1%）和约旦（21.5%）等中东地区，涉及政府机构、公共基础设施、金融、电信等重点目标。此外，英国国家网络安全中心（NCSC）也发布了安全警告称，与伊朗相关的网络安全风险将会明显提升，相关组织应加强网络安全态势监测，以应对DDoS、网络钓鱼等网络攻击活动。

链接：https://thehackernews.com/2026/03/149-hacktivist-ddos-attacks-hit-110.html

02

美国国土安全部数据遭泄露

近日，黑客组织Department of Peace声称，已成功入侵美国国土安全部(DHS)产业合作办公室服务器，窃取了大量敏感数据并在互联网上进行公开。经统计，泄露数据涉及DHS、移民和海关执法局（ICE），以及Anduril、L3Harris、雷神、Palantir、微软、甲骨文等6000多家公司的合同数据。其中，公布数据中交易金额最大的项目包括：一是授予Cyber Apex Solutions公司的7000万美元合同，用以修复美国关键基础设施安全漏洞；二是授予科学应用国际公司（SAIC）的5900万美元合同，用以为政府机构提供人工智能服务；三是授予美国保险商实验室（UL）的2900万美元合同，用以测试、认证和分析。

链接：https://mezha.net/eng/bukvy/hackers-reveal-dhs-and-ice-contracts-data-leak/

03

OpenAI将在美国军方机密网络中部署人工智能

近日，OpenAI公司与美国国防部达成协议，将其大语言模型部署到军事机密网络中。OpenAI公司首席执行官萨姆·奥特曼表示，将禁止国防部利用其大语言模型能力实施国内大范围监控和自主武器系统的自动化利用，同时他们还将建立技术保障措施，在军方机密网络中发挥应有作用。

链接：https://www.govinfosecurity.com/openai-will-deploy-ai-in-us-military-classified-networks-a-30888

04

全球电信联盟制定6G安全规则

近日，全球电信联盟（Global Coalition on Telecoms）中的7个联盟国在2026年度世界移动通信大会上公布了6G安全与韧性规则文件，为下一代移动网络的设计、部署和安全保护提供原则性参考。经分析，该规则文件包括以下概要内容：一是6G安全性设计应将与第三方、遗留系统互通纳入考量范围，6G网络实施过程中需避免对前几代或对等网络的隐性信任；二是6G网络应从边界安全转向功能级安全设计，遵循零信任原则，对网络安全进行持续性监控；三是6G网络将深化虚拟化网络功能转变趋势，分离软件与专用硬件；四是建立专用部署模型，将主权问题作为核心内容优化标准与监管框架，以体现电信网络的关键国家基础设施战略重要性。

链接：https://industrialcyber.co/critical-infrastructure/global-coalition-on-telecoms-set-6g-security-rules-as-next-gen-networks-become-critical-infrastructure-backbone/

05

墨西哥政府机构遭受Chronus Group黑客组织攻击

以色列网络安全公司Gambit Security披露，黑客组织Chronus Group利用Anthropic的AI编程助手Claude Code对墨西哥政府机构发动了高度自动化的网络入侵行动，在成功入侵墨西哥税务管理局（SAT）后，以此为跳板逐步渗透至更多政府机构，在一个月内窃取了2.3TB数据，影响3650万墨西哥公民（约占全国人口的28%），涉及民事登记档案、税务记录、选民数据、临床记录等敏感信息。

链接：https://www.securityweek.com/hackers-weaponize-claude-code-in-mexican-government-cyberattack/

03

漏洞资讯

01

苹果设备存在内存损坏漏洞

近日，安全研究人员发现苹果设备存在内存损坏漏洞（CVE-2026-20700），位于负责在系统运行时加载和链接可执行代码与系统库的动态链接器dyld，允许具备内存写入能力的攻击者远程执行任意代码。漏洞影响iOS versions < 26.3、iPadOS versions < 26.3、watchOS versions < 26.3等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://www.yorku.ca/uit/2026/02/cve-2026-20700-apple-memory-corruption-vulnerability/

02

VMware Aria Operations存在多个安全漏洞

近日，安全研究人员发现VMware Aria Operations存在多个安全漏洞，包括：一是命令注入漏洞（CVE-2026-22719），允许未经身份验证的攻击者远程执行任意代码；二是存储型跨站脚本漏洞（CVE-2026-22720），允许具有自定义基准测试脚本创建权限的攻击者注入恶意代码，进而执行各类敏感管理操作；三是权限提升漏洞（CVE-2026-22721），允许攻击者提升自身访问权限，进而对用户设备造成损坏。目前，用户可通过将相关产品升级至9.0.2.0（VMware Cloud Foundation、VMware vSphere Foundation）、8.18.6（Aria Operations）的方式修复上述安全漏洞。

链接：https://www.securityweek.com/vmware-aria-operations-vulnerability-could-allow-remote-code-execution/

03

开源高通组件Graphics存在安全漏洞

近日，安全研究人员发现在安卓设备中广泛使用的开源高通组件Graphics存在安全漏洞（CVE-2026-21385），在未检查可用缓冲区空间的情况下添加用户提供的数据会导致内存损坏。目前，谷歌官方发表声明称，已发现该安全漏洞的在野利用情况，用户可通过补丁更新、内核组件修复等方式修复上述安全漏洞。

链接：https://thehackernews.com/2026/03/google-confirms-cve-2026-21385-in.html

04

Chrome浏览器存在安全漏洞

近日，安全研究人员发现Chrome浏览器存在安全漏洞（CVE-2026-0628），位于WebView标签模块中，是由其安全策略存在缺陷所导致，允许攻击者升级自身访问权限并对用户系统本地文件进行非法访问。漏洞影响143.0.7499.192或更早版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://thehackernews.com/2026/03/new-chrome-vulnerability-let-malicious.html

05

思科安全防火墙管理中心存在安全漏洞

近日，安全研究人员发现思科安全防火墙管理中心存在2个安全漏洞。其中，第一个安全漏洞为认证绕过漏洞（CVE-2026-20079），允许攻击者获取底层操作系统的root权限；第二个安全漏洞为远程代码执行漏洞（CVE-2026-20131），允许攻击者以root权限远程执行任意Java代码。目前，用户可通过补丁更新等方式修复上述安全漏洞。

链接：https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-secure-fmc-flaws-giving-root-access/

06

AI代理OpenClaw存在安全漏洞

近日，安全研究人员发现热门AI代理OpenClaw存在名为ClawJacked的安全漏洞，是由OpenClaw网关服务默认绑定本地主机而导致的WebSocket接口暴露问题所导致，允许攻击者通过诱骗用户点击恶意网页的方式，调用嵌入网页的JavaScript，以无上限的暴力破解速率猜测OpenClaw管理密码，一旦猜测出正确密码，即可将任意设备静默注册为可信设备，进而通过认证会话直接与AI平台进行交互，窃取用户敏感信息。目前，用户可通过将OpenClaw升级至2026.2.26或更高版本的方式修复上述安全漏洞。

链接：https://www.bleepingcomputer.com/news/security/clawjacked-attack-let-malicious-websites-hijack-openclaw-to-steal-data/

07

Langflow存在远程代码执行漏洞

近日，安全研究人员发现Langflow存在远程代码执行漏洞（CVE-2026-27966），是由Langflow硬编码中的CSV代理节点配置存在缺陷所导致，允许未经身份验证的攻击者通过向目标设备发送恶意请求的方式远程执行任意代码。漏洞影响Langflow versions < 1.8.0等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://www.sentinelone.com/vulnerability-database/cve-2026-27966/

08

jsPDF存在安全漏洞

近日，安全研究人员发现被广泛应用的jsPDF库存在安全漏洞（CVE-2026-25755），是由相关组件对用户输入处理方式存在缺陷所导致，允许攻击者通过addJS方法进行PDF对象注入的方式绕过PDF JavaScript安全限制机制，在用户打开文档时触发未授权操作。漏洞影响jsPDF < 4.2.0等版本，目前用户可通过版本升级修复上述安全漏洞。

链接：https://www.miggo.io/vulnerability-database/cve/CVE-2026-25755

04

木马病毒

01

新型Linux僵尸网络SSHStalker被披露

近日，威胁情报公司Flare披露了一个名为SSHStalker的新型Linux僵尸网络，其通过互联网中继聊天协议（IRC）实现命令与控制（C2）操作。在攻击流程方面，SSHStalker通过伪装成nmap开源工具的Go二进制文件发起自动SSH扫描与暴力破解，实现初始访问后，利用被入侵主机扫描其他SSH目标，形成蠕虫式传播。感染主机后，它会下载GCC工具链在本地编译有效载荷，提升可移植性与规避能力。首批有效载荷为含硬编码C2服务器和频道的C语言IRC机器人，用于注册新受害者至僵尸网络基础设施。随后，恶意软件会获取包含编排变种的GS和bootbou归档文件，并通过每分钟运行的cron作业实现持久化。此外，为提升权限，该僵尸网络可利用2009年至2010年Linux内核的16个网络安全漏洞，在暴力破解获得的低权限用户基础上进一步提权，从而实现对目标设备的完全控制。

链接：https://www.bleepingcomputer.com/news/security/new-linux-botnet-sshstalker-uses-old-school-irc-for-c2-comms/

02

跨平台商业间谍软件ZeroDayRAT被披露

近日，安全机构iVerify披露了一款名为ZeroDayRAT的新型商业移动间谍软件。经分析发现，该间谍软件支持安卓与iOS双平台，攻击者可完全控制受感染设备，实现实时摄像头访问、键盘记录、GPS定位追踪及金融数据窃取等核心功能。同时，ZeroDayRAT具有模块化功能特点，包括：一是控制面板模块，可提供设备全维度概览，包括手机型号、操作系统、电池状态、SIM卡信息、应用使用记录、短信预览及近期活动轨迹，使攻击者能精准分析用户习惯与社交关系；二是实时监控模块，支持前置/后置摄像头画面直播、屏幕录制、麦克风监听及GPS历史轨迹追踪，结合账户选项卡列出的Google、WhatsApp、Instagram等平台注册账号，可发起针对性社交工程攻击或账户盗用；三是金融盗窃模块，不仅可通过扫描设备钱包应用记录ID、劫持剪贴板的方式窃取电子加密货币，而且可针对移动银行、UPI服务及PayPal等支付平台，通过覆盖层收集登录凭证的方式窃取用户银行资产。

链接：https://securityaffairs.com/187820/malware/zerodayrat-spyware-grants-attackers-total-access-to-mobile-devices.html

03

Aeternum僵尸网络被披露

近日，安全研究人员披露了一款名为Aeternum的新僵尸网络。经分析发现，Aeternum与传统僵尸网络相比，具有以下特点：一是不再依赖传统的C2服务器进行通联，而是将指令存储在公共Polygon区块链中，在植入受控设备后发布的每项指令均会写入Polygon区块链上的智能合约中，受控端通过查询公共RPC节点进行指令读取；二是利用价值1美元的olygon网络原生令牌（MATIC）即可处理100至150个命令传输操作，其运营成本极低，具有较强的地下网络销售和商业变现能力；三是具有多项规避沙箱和反分析功能，可有效防止自身在虚拟环境中执行恶意功能。

链接：https://qrator.net/blog/details/Exploring-Aeternum-C2/

编辑：林青

往期推荐

每周网络安全简讯 ( 2026年 第6周 )

每周网络安全简讯 ( 2026年 第5周 )

每周网络安全简讯 ( 2026年 第4周 )

每周网络安全简讯 ( 2026年 第3周 )

每周网络安全简讯 ( 2026年 第1-2周 )

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发 是对我们最好的支持

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客安全 国信中心 国信中心《每周网络安全简讯 ( 2026年 第7-10周 )》