1、新型僵尸网络利用Node.js扩展攻击

https://securelist.com/tsundere-node-js-botnet-uses-ethereum-blockchain/117979/

2025年年中发现新型Tsundere僵尸网络，该威胁基于Node.js开发，通过伪装成《Valorant》等热门游戏的MSI安装器或PowerShell脚本感染Windows用户。该恶意程序刻意避开独联体地区，感染后借助pm2工具实现持久化驻留。其控制面板"Tsundere Netto"采用开放注册模式，集成黑市交易功能，允许攻击者买卖僵尸节点使用权。研究人员将该网络归因于俄语黑客"koneko"，其同期运营123 Stealer窃取木马，自诩"Node恶意软件高级专家"。当前该僵尸网络维持90至115个活跃节点，具备远程执行动态JavaScript代码能力，威胁态势呈持续扩张趋势。

2、黑客通过网络侦察引导导弹袭击货轮

https://aws.amazon.com/cn/blogs/security/new-amazon-threat-intelligence-findings-nation-state-actors-bridging-cyber-and-kinetic-warfare/

与伊朗关联的黑客组织通过预先网络侦察为物理导弹袭击提供精确目标数据，开创了"网络赋能的动能目标定位"新范式。报告显示，疑似伊朗革命卫队支持的Imperial Kitten组织自2021年12月起持续入侵海上船舶自动识别系统与监控设备，2024年1月27日针对特定货轮AIS数据进行定向搜索，数日后该货轮即遭胡塞武装导弹袭击。同年6月，隶属伊朗情报部门的MuddyWater利用被入侵的耶路撒冷监控摄像头实时画面，协助伊朗调整导弹打击坐标。攻击者采用匿名VPN网络隐藏踪迹，通过实时数据流为军事行动提供情报支撑。专家指出国家行为体已将数字侦察与动能打击深度融合，传统网络与物理安全界限正加速消融，组织需扩展威胁建模并强化关键基础设施防护，以应对这一战争形态的演变。

3、TamperedChef恶意广告活动滥用数字签名伪装合法应用

https://www.acronis.com/en/tru/posts/cooking-up-trouble-how-tamperedchef-uses-signed-apps-to-deliver-stealthy-payloads/

名为TamperedChef的全球恶意广告活动通过伪造数字签名应用程序传播隐蔽恶意载荷。攻击者伪装成浏览器、PDF编辑器和游戏等日常软件，利用恶意广告与SEO优化诱骗用户下载运行。该活动采用美国空壳公司网络获取代码签名证书，建立工业化商业运作体系，证书吊销后立即注册新实体轮换身份。其攻击链通过投放XML配置文件创建计划任务实现持久化，每24小时执行高度混淆的JavaScript后门，具备注册表操作、设备指纹采集与远程代码执行能力。遥测显示美洲地区受害严重，医疗、建筑、制造业成重灾区，反映攻击者利用用户搜索专业设备手册的行为特征。

4、D-Link停产路由器曝远程代码执行漏洞

https://www.bleepingcomputer.com/news/security/d-link-warns-of-new-rce-flaws-in-end-of-life-dir-878-routers/

D-Link已停产的DIR-878路由器存在三个可远程利用的命令执行漏洞（CVE-2025-60672、CVE-2025-60673、CVE-2025-60676），相关技术细节与概念验证代码已公之于众。该型号于2021年停产，但二手市场仍以75至122美元价格流通。D-Link明确表示不会为此发布安全更新，建议用户立即更换为仍在支持的产品。漏洞分别存在于动态DNS设置、DMZ配置及QoS规则处理功能中，攻击者可通过未授权命令注入实现远程代码执行。

5、黑客公开售三星麦迪逊医疗数据

https://hackread.com/hacker-samsung-medison-data-breach-3rd-party/

近日，化名为"888"的黑客在网络犯罪论坛兜售据称通过第三方承包商入侵窃取的三星麦迪逊医疗数据。该黑客声称掌握源代码、私钥、SMTP凭证、配置文件及从医疗备份中提取的用户个人身份信息，并已导出MSSQL数据库和AWS S3存储桶内容，同时提供持续访问权限作为附加服务。三星麦迪逊隶属三星集团，主营超声等医学影像设备。交易要求买家通过Keybase提交报价，并以门罗币支付。经研究分析，泄露截图显示后端数据库、员工记录及云存储日志等敏感信息。

6、Matrix Push C2通过浏览器实施钓鱼攻击

https://www.blackfog.com/new-matrix-push-c2-deliver-malware/

网络犯罪分子利用新型命令与控制平台Matrix Push C2，通过浏览器通知实施无文件的跨平台钓鱼攻击。攻击者通过社会工程学手段，诱使用户在恶意或已被攻陷的网站上同意接收通知，从而利用浏览器的推送通知机制，发送伪装成操作系统警报的消息。这些通知通常涉及可疑登录或浏览器更新，用户一旦点击链接，便可能被引导至虚假网站。Matrix Push C2作为一种恶意软件即服务工具，以分层订阅方式提供给其他犯罪分子，吸引力在于其允许攻击者实时追踪受害者行为，并根据知名品牌自定义钓鱼通知。

7、Everest勒索组织声称入侵巴西石油巨头

https://hackread.com/everest-ransomware-brazil-petrobras-breach/

近日，Everest勒索软件组织在其暗网泄露网站上声称已成功入侵巴西国有石油公司Petrobras的系统，窃取了超过180GB的地震勘测数据。该组织在两份公告中指出，首批泄露的数据包含超过176GB的地震导航数据，其中90GB直接属于Petrobras。泄露的数据包括船舶定位、设备配置和深度测量等敏感信息，这些信息对石油和天然气行业至关重要，可能被竞争对手利用。Everest要求Petrobras在四天内通过加密通讯平台Tox与其联系，并设置了倒计时警告。Petrobras尚未对此事件作出公开回应。

8、意大利铁路IT服务商Almaviva遭窃2.3TB数据

https://www.bleepingcomputer.com/news/security/hacker-claims-to-steal-23tb-data-from-italian-rail-group-almaviva/

黑客声称从意大利国家铁路运营商FS Italiane集团的IT服务商Almaviva窃取2.3TB数据，并已泄露至暗网论坛。此次泄露数据为近期产生，包含2025年第三季度文件，涉及内部共享文档、技术资料、公共实体合同、人力资源档案、会计数据及多家FS集团完整数据集。专家认为该事件作案手法与2024-2025年活跃的勒索软件组织特征相符，排除系2022年Hive攻击遗留数据的可能。目前事件调查仍在进行中，尚不清楚是否涉及乘客信息或影响FS集团以外的其他客户。

9、SonicWall SonicOS漏洞可致防火墙崩溃

https://www.bleepingcomputer.com/news/security/new-sonicwall-sonicos-flaw-allows-hackers-to-crash-firewalls/

SonicWall发布安全公告，提醒客户修复SonicOS SSLVPN高危漏洞CVE-2025-40601。该漏洞源于基于堆栈的缓冲区溢出，可导致远程未认证攻击者实施拒绝服务攻击，使Gen7和Gen8硬件及虚拟防火墙崩溃。尽管官方未发现实际利用案例或公开PoC代码，但仍强烈建议用户立即升级至7.3.1-7013或8.0.3-8011及以上版本。无法及时更新的管理员应禁用SSLVPN服务或限制可信源访问。此外，SonicWall同期修复了邮件安全设备存在的两个漏洞CVE-2025-40604和CVE-2025-40605，分别允许远程代码执行和信息访问。

10、黑客组织ShinyHunters声称窃取近千家Salesforce客户数据

https://hackread.com/shinyhunters-breach-gainsight-salesforce-1000-firms/

黑客组织ShinyHunters声称对Gainsight应用数据泄露事件负责，窃取近千家Salesforce客户数据。攻击者利用先前攻击中窃取的凭证和被入侵的API令牌，绕过安全过滤器访问集成应用，影响F5、GitLab、Verizon、LinkedIn等知名企业。泄露数据可能包含业务联系人和许可信息。Salesforce已紧急撤销所有受影响的访问令牌，并将Gainsight从AppExchange平台移除。Gainsight确认检测到来自未经授权IP地址的异常API调用，已聘请Mandiant进行独立调查。黑客通过Telegram展示被盗记录截图，并威胁Salesforce若不谈判将建立新的数据泄露网站。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。