1、KONNI组织利用安卓Find Hub功能发起攻击

https://www.genians.co.kr/en/blog/threat_intelligence/android

安全机构近日发布的一份报告揭示了与KONNI APT活动相关的新型网络攻击，攻击者利用谷歌的Find Hub功能，通过伪装成心理咨询师和朝鲜人权活动家的身份，散布恶意软件以远程擦除安卓设备数据。该攻击活动已秘密持续近一年，恶意文件通过韩国KakaoTalk即时通讯软件传播，攻击者借助信任关系进行社交工程攻击，成功入侵目标设备。

2、Triofox认证绕过漏洞遭野外利用

https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480/

研究人员发现Gladinet Triofox文件共享平台存在高危认证绕过漏洞CVE-2025-12480。攻击者自2025年8月24日起利用该漏洞伪造HTTP Host头为localhost，绕过身份验证访问配置页面，创建高权限管理员账户并执行恶意代码。UNC6485威胁行为体通过滥用平台内置防病毒功能，将恶意脚本配置为扫描引擎路径实现代码执行，进而部署Zoho UEMS、AnyDesk等远程工具，建立SSH隧道进行横向移动。官方以在新版本中修复该漏洞。

3、QRR钓鱼即服务平台攻击Microsoft 365用户

https://www.bleepingcomputer.com/news/security/quantum-route-redirect-phaas-targets-microsoft-365-users-worldwide/

网络安全研究人员发现，名为Quantum Route Redirect（QRR）的新型钓鱼即服务平台正通过约1000个域名对全球Microsoft 365用户发起自动化攻击。自2025年8月以来，该平台已波及90个国家，其中76%的攻击针对美国用户。QRR通过伪装成DocuSign请求、付款通知、未读语音邮件或二维码的钓鱼邮件，利用特定URL模式将受害者导向凭据收集页面。其内置过滤机制可精准识别并区分人类访客与自动化安全系统，使攻击者能绕过防护并实时监控流量数据。该平台显著降低了技术门槛，使低技能攻击者也能高效实施大规模钓鱼活动。

4、npm包expr-eval存在严重漏洞

https://kb.cert.org/vuls/id/263614

安全研究人员发现npm包expr-eval中存在严重漏洞，可能导致攻击者通过恶意构造的输入执行任意代码。这一JavaScript库被广泛用于计算数学表达式，并在自然语言处理和人工智能等应用中发挥重要作用。然而，研究人员指出，该库的漏洞允许攻击者在解析器使用的对象中定义任意函数，从而注入恶意代码并执行系统级命令，这可能导致敏感数据泄露和本地资源被访问。该漏洞已被标记为CVE-2025-12735，并通过Pull Request #288得到修复。

5、瑞士NCSC发布警告：谨防iPhone丢失后钓鱼诈骗短信

https://www.bleepingcomputer.com/news/security/lost-iphone-dont-fall-for-phishing-texts-saying-it-was-found/

瑞士国家网络安全中心（NCSC）近日发布警告，提醒iPhone用户注意一种新的网络钓鱼诈骗。该诈骗声称找到了用户丢失或被盗的iPhone，实际目的是窃取Apple ID凭证。攻击者利用用户在“查找”应用中设置的自定义信息，通过短信或iMessage发送钓鱼信息，声称手机已经被找到，并提供一个链接供用户查看设备位置。该链接实际上指向一个模仿苹果网站的钓鱼页面，用户在此输入的信息将被攻击者获取，从而导致账户被完全控制。

6、新型Whisper Leak工具可窃取加密流量中AI Agent的用户提示

https://cybersecuritynews.com/whisper-leak-toolkit/

研究人员发现"Whisper Leak"旁路攻击技术，能通过分析加密流量的数据包大小和时间特征，窃取AI聊天对话主题，准确率高达98%。该漏洞对敏感话题用户构成严重威胁，微软等公司已部署修复方案，建议用户采取防护措施。

7、 runc关键漏洞威胁Docker和Kubernetes容器隔离安全

https://cybersecuritynews.com/runc-tool-vulnerability/

runc曝出三个关键漏洞（CVE-2025-31133/52565/52881），攻击者可突破容器隔离获取宿主机root权限。所有版本受影响，已发布修复版本1.2.8/1.3.3/1.4.0-rc.3+，建议立即升级并启用用户命名空间防护。

8、最新分析揭示LockBit 5.0核心能力与两阶段执行模型

https://cybersecuritynews.com/new-analysis-uncovers-lockbit-5-0-key-capabilities/

LockBit 5.0勒索软件2025年9月升级，采用两阶段执行模型提升隐蔽性，通过加载器动态解析API并注入有效载荷，绕过安全检测，威胁关键基础设施，展现持续技术演进和广泛攻击能力。

9、AI浏览器通过模拟人类用户行为绕过付费墙

https://cybersecuritynews.com/ai-browsers-bypass-content-paywall/

先进AI浏览器如Atlas和Comet通过模仿人类行为绕过付费墙，直接获取隐藏内容或聚合信息还原文章，威胁出版商收入。传统防护机制失效，服务器端付费墙仅能提供有限保护。

10、恶意NuGet包暗藏逻辑炸弹：安装数年后才引爆的定时威胁

https://thehackernews.com/2025/11/hidden-logic-bombs-in-malware-laced.html

Socket发现9个恶意NuGet包，由用户"shanhai666"发布，设计在2027-2028年触发破坏数据库和工业控制系统。最危险的Sharp7Extend包针对PLC，分阶段执行随机终止和静默写入失败，伪装成随机故障，使取证困难。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。