文章总结： 微软2026年Q1邮件威胁报告显示季度检测到83亿次钓鱼攻击，QR码钓鱼暴增146%，Tycoon2FA平台遭打击后转向.RU域名。主要趋势包括CAPTCHA门控钓鱼3月增长125%、凭据钓鱼占比达94%、BEC攻击1070万次。报告建议启用安全防护功能、推进无密码认证并加强用户培训。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析,网络安全,解决方案

微软深度解析：2026年Q1邮件威胁格局——83亿次钓鱼、二维码暴增146%、Tycoon2FA遭打击

bitbot bitbot

Desync InfoSec

2026年5月1日 12:11 北京

在小说阅读器读本章

去阅读

2026年第一季度（1月至3月），微软威胁情报团队检测到约83亿次基于邮件的钓鱼威胁，月度数量从1月的29亿次略降至3月的26亿次。QR码钓鱼成为增长最快的攻击向量，季度内增长超过一倍；CAPTCHA门控钓鱼也在载荷类型上快速演变。

────────────────

一、总体态势：83亿次钓鱼威胁

整体来看，78%的邮件威胁基于链接投递，恶意载荷在1月占比19%（受大规模HTML和ZIP活动推动），2月和3月稳定在13%。凭据钓鱼始终是恶意载荷背后的主导目标。这一趋势表明，威胁行为者越来越倾向于使用托管式凭据钓鱼基础设施，而非本地渲染的载荷。

关键发现：78%的邮件威胁为链接型投递；QR码钓鱼季度增长146%；CAPTCHA门控钓鱼在3月暴增125%至1190万次攻击。

────────────────

二、Tycoon2FA打击行动影响

自2023年8月出现以来，Tycoon2FA已迅速成为最广泛的钓鱼即服务（PhaaS）平台之一，利用adversary-in-the-middle (AiTM)技术试图绕过非防钓鱼型多因素认证（MFA）防御。该平台背后的组织（微软追踪编号为Storm-1747）出租恶意基础设施并销售仿冒企业应用登录页面的钓鱼套件。

本季度初，Tycoon2FA活动处于低迷期。1月邮件量较2025年12月下降54%，连续第二个月大幅下降。部分原因可能与微软数字犯罪部门打击RedVDS服务有关——该服务被许多Tycoon2FA客户用于分发恶意邮件。

2月激增44%后，3月Tycoon2FA相关钓鱼攻击下降15%，主要受协调打击行动影响。2026年3月初，微软数字犯罪部门与Europol及行业伙伴合作，对Tycoon2FA基础设施和运营进行了打击，显著削弱了平台的托管能力。

图1：Tycoon2FA月度恶意消息量（2025年11月–2026年3月）

Tycoon2FA的基础设施构成在2026年前三个月多次演变。1月开始向较新的通用顶级域名（.DIGITAL、.BUSINESS、.CONTRACTORS等）转移，3月打击后则明显转向.RU注册——3月最后一周以来超过41%的Tycoon2FA域名使用.RU TLD。此外，3月底Tycoon2FA开始放弃Cloudflare托管，转向多种替代平台。

────────────────

三、QR码钓鱼：季度增长146%

QR码钓鱼是Q1 2026最显著的变化。攻击量从1月的760万次增至3月的1870万次，季度增长146%。在经历1月35%的下降后，2月增长59%、3月再增55%，达到至少一年来的最高月度量。

图3：QR码钓鱼攻击周度趋势（2025年11月–2026年3月）

PDF附件是主导投递方式，从1月的65%增至3月的70%。值得注意的是，QR码直接嵌入邮件正文的方式在3月暴增336%——虽然仅占总量的5%，但完全消除了对附件的依赖，防御者应持续关注。

────────────────

四、CAPTCHA门控钓鱼：载荷类型快速轮换

威胁行为者使用CAPTCHA页面延迟检测、增加用户交互。在1月（-45%）和2月（-8%）下降后，CAPTCHA门控钓鱼在3月暴增+125%至1190万次攻击，为过去一年最高值。

图4：CAPTCHA门控钓鱼月度量（2025年11月–2026年3月）

Q1最显著的CAPTCHA趋势是投递方法的快速轮换：

HTML附件：1月最常见（37%），2月下降34%至年度低点，3月翻倍以上增长但仍居第二。

SVG文件：2月增长49%成为最常见方式，但3月暴跌57%仅占7%。

PDF文件：3月暴增+356%，重新夺回自2025年7月以来最常见投递方式的地位，超出年度高点37%。

DOC/DOCX文件：此前9个月占比不超过9%，3月增长+373%至15%。

典型案例：2月23-25日，一场大规模SVG钓鱼活动在3天内向23个国家5.3万个组织发送超120万封邮件。附件SVG文件打开后在浏览器中加载，先显示假CAPTCHA安全检查，通过后展示仿冒登录页面窃取凭据。

攻击中使用的恶意域名包括：

bouleversement.niovapahrm[.]com haematogenesis.hvishay[.]com ubiquitarianism.drilto[.]com

────────────────

五、恶意载荷：凭据钓鱼主导地位巩固

凭据钓鱼在Q1进一步巩固了对恶意载荷格局的控制，从1月的89%增至2月的95%，3月稳定在94%。传统恶意软件投递持续长期下降，季度末仅占5-6%。

图7：恶意载荷按文件类型分布（Q1 2026）

最突出的载荷趋势是各文件类型的波动性极大，受大规模活动驱动：

• HTML附件：1月领先（37%），2月跌至年度低点（-57%），3月近三倍增长（+175%）

• 恶意PDF：持续上升，2月+38%，3月+50%，达一年多来最高月度量，3月占29%

• ZIP/GZIP附件：1月近乎翻倍（+94%），2月下降38%，3月激增79%——威胁行为者常用ZIP绕过MOTW保护

• SVG文件：2月增长50%后3月下降32%

大规模HTML钓鱼活动：3月17日，微软检测到一场超过150万封恶意邮件的大规模活动，针对43个国家17.9万个组织，占3月所有恶意HTML附件的约7%。值得注意的是，虽然邮件共享相同工具和结构，但最终钓鱼载荷托管基础设施关联多个不同PhaaS提供商——主要是Tycoon2FA，还有Kratos（原Sneaky2FA）和EvilTokens。

────────────────

六、商业邮件欺诈（BEC）：季度1070万次攻击

BEC攻击在Q1总计约1070万次：1月增长24%，2月下降8%，3月激增26%。攻击构成保持一致——泛化触达消息（如”你在工位吗？”）占每月初始联系邮件的82-84%，明确的财务交易请求仅占9-10%。

图9：BEC月度攻击量（2025年11月–2026年3月）

在明确财务请求子类中，薪资更新请求2月增长15%，达到8个月来最高值，可能反映报税季相关社会工程；礼品卡请求2月下降37%后3月反弹+108%。

图10：BEC初始邮件内容类型分布（Q1 2026）

────────────────

七、防御建议

• 审查Exchange Online Protection和Microsoft Defender for Office 365的推荐设置

• 启用Zero-hour Auto Purge (ZAP)，事后隔离已投递的恶意邮件

• 开启Safe Links和Safe Attachments

• 启用网络保护和SmartScreen

• 推进无密码认证（Windows Hello、FIDO密钥、Microsoft Authenticator）

• 配置自动攻击中断（Microsoft Defender XDR）

• 开展用户安全意识培训和钓鱼模拟演练

────────────────

IoC情报

| | | | — | — | | 类型 | 值 | | 恶意域名 | bouleversement.niovapahrm[.]com | | 恶意域名 | haematogenesis.hvishay[.]com | | 恶意域名 | ubiquitarianism.drilto[.]com | | 威胁组织 | Storm-1747（Tycoon2FA运营者） | | PhaaS平台 | Tycoon2FA, Kratos (Sneaky2FA), EvilTokens |

────────────────

来源：Microsoft Security Blog

原文：https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/

发布日期：2026年4月30日

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Desync InfoSec bitbot bitbot《微软深度解析：2026年Q1邮件威胁格局——83亿次钓鱼、二维码暴增146%、Tycoon2FA遭打击》