文章总结： 本周威胁情报聚焦于多个活跃的网络攻击团伙及其手法。SilverFox组织利用伪装成税务通知的钓鱼邮件，部署了新的ABCDoor后门；ScarCruft则通过供应链攻击入侵游戏平台，植入RokRAT和BirdCall后门。此外，OceanLotus疑似利用PyPI传播恶意软件ZiChatBot，而MuddyWater组织被指与Chaos勒索软件攻击有关。在攻击事件方面，OperationSilentRotor针对无人机行业发动攻击，同时利用cPanel等已知漏洞进行入侵的活动也持续存在。恶意代码方面，出现了如Bluekit、CloudZRAT等新型工具包，其中CloudZRAT可窃取OTP信息。漏洞方面，CVE-2026-31431等Linux内核漏洞以及AndroidADBoverTCP的远程代码执行漏洞值得关注。 综合评分： 85 文章分类： 威胁情报,恶意软件,攻击团伙,攻击行动或事件,漏洞情报

---

每周高级威胁情报解读(2026.05.01~05.07)

威胁情报中心 威胁情报中心

奇安信威胁情报中心

2026年5月8日 10:30 北京

在小说阅读器读本章

去阅读

2026.05.01~05.07

攻击团伙情报

• Silver Fox 利用新的 ABCDoor 后门攻击俄罗斯和印度
• ScarCruft 通过供应链攻击破坏游戏平台
• OceanLotus 被怀疑使用 PyPI 传播 ZiChatBot 恶意软件
• 研究发现 MuddyWater 与一起Chaos勒索软件攻击有关

攻击行动或事件情报

• Operation Silent Rotor 在莫斯科峰会前夕针对无人机行业进行攻击
• 东南亚军事实体成为 cPanel(CVE-2026-41940) 攻击目标
• 恶意 Intercom PHP 包通过 Composer 插件向 Packagist 传播Mini Shai-Hulud 攻击
• 钓鱼活动滥用受信任的谷歌服务劫持数万个 Facebook 帐户
• 新型网络钓鱼活动瞄准美国窃取凭证
• DAEMON Tools软件感染自2026年4月8日起持续进行

恶意代码情报

• 人工智能驱动的一体化网络钓鱼工具包Bluekit
• CloudZ RAT 利用 Pheno 插件窃取 OTP 消息
• 恶意 OpenClaw 技能分发 Remcos RAT 和 GhostLoader
• InstallFix 攻击活动利用伪造的 Claude AI 安装页面诱骗用户运行恶意软件

漏洞情报

• CVE-2026-31431：复制失败漏洞允许跨云环境提升 Linux root 权限
• Android ADB over TCP 认证路径中存在严重无交互远程代码执行漏洞

攻击团伙情报

01

Silver Fox 利用新的 ABCDoor 后门攻击俄罗斯和印度

披露时间：2026年4月30日

情报来源：https://securelist.com/silver-fox-tax-notification-campaign/119575/

相关信息：

Silver Fox威胁组织通过伪装成印度和俄罗斯税务通知的钓鱼邮件，利用修改版RustSL加载器投放ValleyRAT后门，进而部署此前未公开的Python后门ABCDoor。ABCDoor基于Socket.IO通信，具备屏幕广播、文件管理、远程控制、持久化等能力，其C2域名常含abc前缀，自2024年底起持续演化，主要针对工业、咨询、零售等行业组织。

02

ScarCruft 通过供应链攻击破坏游戏平台

披露时间：2026年5月5日

情报来源：https://www.welivesecurity.com/en/eset-research/rigged-game-scarcruft-compromises-gaming-platform-supply-chain-attack/

相关信息：

APT组织ScarCruft通过入侵中国延边地区的游戏平台sqgame，在Windows客户端更新包和安卓游戏安装包中植入恶意代码，传播Windows版RokRAT后门及新发现的Android版BirdCall后门，该后门支持收集联系人、短信、文件、屏幕截图和录音等间谍功能，主要针对延边朝鲜族人群及脱北者。

03

OceanLotus 被怀疑使用 PyPI 传播 ZiChatBot 恶意软件

披露时间：2026年5月6日

情报来源：https://securelist.com/oceanlotus-suspected-pypi-zichatbot-campaign/119603/

相关信息：

海莲花组织疑似通过PyPI上传恶意wheel包，伪装成uuid32-utils、colorinal等正常库，依赖安装后释放DLL或SO格式的释放器，进而部署新型后门ZiChatBot。该后门利用Zulip聊天应用的REST API作为命令与控制服务器，接收并执行shellcode，同时通过注册表或计划任务实现持久化，以发起供应链攻击。

04

研究发现 MuddyWater 与一起Chaos勒索软件攻击有关

披露时间：2026年5月6日

情报来源：https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/

相关信息：

APT组织MuddyWater伪装成Chaos勒索软件，通过Microsoft Teams进行社交工程和屏幕共享，诱导用户输入凭证并操纵多因素认证，随后利用DWAgent等远程管理工具建立持久化访问，并部署名为Game.exe的自定义后门，在未实际加密文件的情况下窃取数据并实施勒索，所使用的代码签名证书等证据表明这是一起国家支持的网络间谍活动。

攻击行动或事件情报

01

Operation Silent Rotor 在莫斯科峰会前夕针对无人机行业进行攻击

披露时间：2026年5月6日

情报来源：https://www.seqrite.com/blog/operation-silent-rotor-rust-malware-unmanned-aviation-sector/

相关信息：

研究人员披露名为”Operation Silent Rotor”的攻击活动，攻击者通过钓鱼邮件发送名为cai partner.zip的压缩包，内含Rust编写的恶意可执行文件及多个诱饵文档，诱使目标执行后展示伪装成订单确认的俄语文档，同时收集主机名、IP地址等系统信息并加密发送至C2服务器，随后下载并执行第二阶段载荷，该活动瞄准欧亚无人航空领域，时间上对应莫斯科无人航空论坛。

02

东南亚军事实体成为 cPanel(CVE-2026-41940) 攻击目标

披露时间：2026年5月2日

情报来源：https://ctrlaltintel.com/research/SEA-CPanel/

相关信息：

攻击者利用cPanel认证绕过漏洞CVE-2026-41940，针对菲律宾、老挝等东南亚国家的政府与军事机构以及托管服务提供商进行交互式入侵。攻击者使用公开漏洞利用代码，同时针对印度尼西亚国防培训门户开发了自定义SQL注入至RCE的链式攻击。通过OpenVPN和Ligolo建立持久化隧道后，攻击者成功窃取了中国铁路学会电气化委员会约4.37GB的敏感文件，包含铁路技术资料及人员身份与银行信息，C2采用AdaptixC2。

03

恶意 Intercom PHP 包通过 Composer 插件向 Packagist 传播Mini Shai-Hulud 攻击

披露时间：2026年4月30日

情报来源：https://semgrep.dev/blog/2026/malicious-intercom-php-package-spreads-mini-shai-hulud-attack-to-packagist-via-composer-plugin/

相关信息：

攻击者劫持了Packagist上的intercom/intercom-php包，在5.0.2版本中植入恶意Composer插件，安装期间会下载Bun JavaScript运行时并执行混淆的凭证窃取载荷，窃取GitHub令牌、SSH密钥、云凭证和环境变量后加密外泄，这是Mini Shai-Hulud攻击从npm扩展到PHP生态的最新活动。

04

钓鱼活动滥用受信任的谷歌服务劫持数万个 Facebook 帐户

披露时间：2026年4月29日

情报来源：https://guard.io/labs/accountdumpling—hunting-down-the-google-sent-phishing-wave-compromising-30-000-facebook-accounts

相关信息：

攻击者滥用Google AppSheet的通知系统，发送经过完整SPF、DKIM和DMARC认证的虚假邮件，冒充Meta官方通知，诱骗Facebook用户访问Netlify、Vercel或Google Drive上的钓鱼页面，窃取登录凭证、双重验证码、身份证照片等敏感信息，并通过Telegram机器人实时接收被盗数据，部分页面还采用WebSocket实现人工操控。该活动已导致约三万个账户被盗，大部分受害者位于美国，溯源指向一名越南籍人员Pham Tai Tan及其关联的服务网站。

05

新型网络钓鱼活动瞄准美国窃取凭证

披露时间：2026年5月5日

情报来源：https://any.run/cybersecurity-blog/us-fake-invitation-phishing/

相关信息：

ANY.RUN研究人员发现一场针对美国跨行业机构的大规模钓鱼活动，攻击者利用可重复使用的钓鱼框架批量部署假活动邀请函页面，通过CAPTCHA验证后诱导受害者输入邮箱凭证与OTP验证码，或自动下载ScreenConnect、ITarian、Datto RMM等合法远程管理工具，进而实现账户接管或未经授权的远程访问。

06

DAEMON Tools软件感染自2026年4月8日起持续进行

披露时间：2026年5月5日

情报来源：https://securelist.com/tr/daemon-tools-backdoor/119654/

相关信息：

DAEMON Tools软件的合法安装程序自2026年4月8日起被植入恶意载荷，攻击者通过信息收集器获取受感染系统的MAC地址、进程列表等指纹信息，并有选择地向俄罗斯、白俄罗斯和泰国的政府、科研及制造业等少数目标部署更复杂的后门。

恶意代码情报

01

人工智能驱动的一体化网络钓鱼工具包Bluekit

披露时间：2026年4月29日

情报来源：https://www.varonis.com/blog/bluekit

相关信息：

Varonis Threat Labs发现名为Bluekit的新型AI驱动全能钓鱼工具包，它将40余种网站模板、自动域名注册、双因素认证绕过、反机器人伪装、地理位置模拟及AI助手等功能整合至单一面板，使攻击者能够快速构建并运营针对邮箱、云账户、开发者平台、社交媒体及加密货币服务的高仿真钓鱼活动。

02

CloudZ RAT 利用 Pheno 插件窃取 OTP 消息

披露时间：2026年5月5日

情报来源：https://blog.talosintelligence.com/cloudz-pheno-infostealer/

相关信息：

Cisco Talos研究人员披露了一场自2026年1月起持续活跃的入侵活动，攻击者利用模块化远控木马CloudZ及其Pheno插件，通过滥用Windows内置的Phone Link应用窃取受害者凭证与认证码。攻击链始于伪装成ScreenConnect更新的恶意可执行文件，释放Rust编译的加载器后部署伪装成文本文件的.NET加载器，后者通过创建名为SystemWindowsApis的计划任务并滥用regasm.exe实现持久化，执行前进行多重反分析检测。CloudZ采用ConfuserEx混淆，通过加密TCP套接字连接C2服务器，支持浏览器凭证窃取、屏幕录制、插件加载等命令，并从Pastebin或Cloudflare Workers获取二级配置。Pheno插件专门扫描YourPhone、PhoneExperienceHost等Phone Link相关进程，识别PC与手机间的本地代理连接，进而访问存储同步短信与通知数据的SQLite数据库，使攻击者能够在不感染移动设备的情况下拦截短信OTP和认证应用通知，从而绕过基于短信的多因素认证，将攻击面从手机转移至企业管理的Windows终端。

03

恶意 OpenClaw 技能分发 Remcos RAT 和 GhostLoader

披露时间：2026年5月5日

情报来源：https://www.zscaler.com/blogs/security-research/malicious-openclaw-skill-distributes-remcos-rat-and-ghostloader

相关信息：

攻击者利用OpenClaw框架的恶意技能DeepSeek-Claw，通过伪造的安装指令诱导用户或AI代理执行，在Windows上使用DLL侧载和内存加载器部署Remcos远控木马，在macOS和Linux系统上通过Node.js载荷安装GhostLoader信息窃取器，以窃取凭证、加密货币钱包和敏感数据。

04

InstallFix 攻击活动利用伪造的 Claude AI 安装页面诱骗用户运行恶意软件

披露时间：2026年5月5日

情报来源：https://www.trendmicro.com/en_us/research/26/e/installfix-and-claude-code.html

相关信息：

攻击者利用Google Ads推广伪造的Claude AI安装页面，诱导用户复制运行恶意PowerShell命令，通过mshta.exe下载ZIP与HTA混合文件，执行VBScript并绕过AMSI和SSL证书验证，最终在内存中执行shellcode，收集浏览器和电子钱包数据，同时创建计划任务实现持久化。

漏洞情报

01

CVE-2026-31431：复制失败漏洞允许跨云环境提升 Linux root 权限

披露时间：2026年5月1日

情报来源：https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/

相关信息：

Linux内核加密子系统存在本地权限提升漏洞CVE-2026-31431，非特权用户可通过AF_ALG和splice系统调用实现内核页缓存的4字节覆写，破坏任意可读文件的内存缓存，从而将权限提升至root。该漏洞影响2017年以来的几乎所有Linux发行版及云环境，已出现可利用的PoC，厂商已发布补丁或建议禁用AF_ALG模块。

02

Android ADB over TCP 认证路径中存在严重无交互远程代码执行漏洞

披露时间：2026年5月5日

情报来源：https://barghest.asia/blog/cve-2026-0073-adb-tls-auth-bypass/

相关信息：

CVE-2026-0073是Android调试桥adbd在TLS客户端认证路径中的严重漏洞，攻击者可在无需交互的情况下，通过发送非RSA类型的证书，利用EVP_PKEY_cmp返回值处理错误绕过认证，从而获得shell用户权限的远程代码执行能力。

点击阅读原文至ALPHA 9.3

即刻助力威胁研判

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心 威胁情报中心 威胁情报中心《每周高级威胁情报解读(2026.05.01~05.07)》