文章总结： 本周情报聚焦APT37冒充韩剧编剧投递恶意HWP、ArcaneWerewolf对俄企投放Loki2.1、乌兹别克斯坦Android多阶段木马及以色列OperationIconCat虚假杀软钓鱼四大攻击；漏洞端思源、Eigent、actiontechsqle、KenticoXperience、Rukovoditel五款产品曝出硬编码密钥、一键RCE、JWT弱密、Referer信息泄露与存储XSS，建议立即升级补丁、加固会话与输入过滤并提升社工防范。 综合评分： 82 文章分类： 威胁情报,漏洞预警,恶意软件,移动安全,社会工程学

每周网安资讯 （12.23-12.29）| APT37组织冒充韩国电视节目编剧诱使受害者安装恶意软件

交大捷普

2025年12月29日 18:11 陕西

2025

[ 每周网安资讯 ]

12.23-12.29

网安资讯

1、国家信息中心发布公开征集《粮食库存管理人工智能技术应用指南》粮食行业标准起草单位及起草人通知

根据国家粮食和物资储备局办公室《关于下达2025年粮食行业标准制定计划的通知》（国粮办标〔2025〕363号）的相关要求，由国家信息中心牵头承担《粮食库存管理人工智能技术应用指南》粮食行业标准的制定工作，研制周期为24个月。为广泛吸收各相关方参与，保障标准质量，现面向社会公开征集标准起草单位和起草人。

安全情报

1、APT37组织冒充韩国电视节目编剧诱使受害者安装恶意软件

Genians安全中心发现APT37组织发起的“Artemis”攻击活动。攻击者伪装成韩国电视节目编剧、大学教授等身份，通过社交工程与目标建立信任，然后发送伪装成面试问卷、活动指南等的恶意HWP文件。

2、Arcane Werewolf组织针对俄罗斯制造企业部署Loki 2.1恶意软件

BI.ZONE威胁情报团队观察到名为Arcane Werewolf（Mythic Likho）的威胁行为者针对俄罗斯制造企业发起攻击。2025年10月，攻击者分发包含恶意LNK文件的ZIP存档链接，受害者点击后，会从嵌套URL中获取恶意ZIP。LNK文件触发PowerShell命令，下载并运行恶意可执行文件，该文件是一个Go编写的恶意Dropper，携带两个Base64编码的有效负载，其中一个是Loki 2.0加载程序。

3、新型恶意软件攻击瞄准乌兹别克斯坦Android用户

2025年10月，Group-IB研究人员监测到针对乌兹别克斯坦Android设备的新一轮复杂恶意软件活动。过去几年中，该威胁从简单的SMS窃取工具发展为采用多阶段感染链的隐蔽恶意程序。攻击者通过利用Telegram和社会工程学技术模拟无害的媒体文件，例如照片和视频，从而诱导用户安装恶意APK。

4、UNG0801利用虚假防病毒软件图标诱饵针对以色列组织

Seqrite Labs安全团队发现了一项名为Operation IconCat的恶意活动，该活动以以色列组织为目标，使用伪装成合法安全工具的武器化文档。攻击者利用社会工程学钓鱼诱饵，用希伯来语编写类似常规内部通信的内容，如合规更新、安全公告或公司网络研讨会公告，并使用知名安全厂商的品牌标识来增加诱饵的合法性。

漏洞预警

1、思源：通过硬编码会话秘密绕过信息披露和认证

思源是一款自托管、开源的个人知识管理软件。在3.5.1及之前的版本中，思源笔记应用程序为其会话存储使用硬编码的加密密钥。这种不安全的做法使会话加密无效。由于敏感的AccessAuthCode存储在会话cookie中，因此拦截或获得用户加密的会话cookie（例如，通过会话劫持）的攻击者可以使用公钥在本地解密它。

2、Eigent中的一键远程代码执行（RCE）漏洞

Eigent是一个多代理劳动力。在版本0.0.60中，在Eigent中发现了一键远程代码执行（RCE）漏洞。此漏洞允许攻击者通过特定的交互（单击一次）在受害者的计算机或服务器上执行任意代码。此问题已在版本0.0.61中修补。

3、actiontech sqle JWT Secret JWT.go硬编码密钥

在最高4.2511.0的actiontech sqle中检测到安全漏洞。受影响的元素是组件jwt Secret Handler的sqle/utils/jwt.go文件中的未知函数。操纵参数JWTSecretKey会导致使用硬编码的加密密钥。攻击可以远程进行。攻击的复杂性被评为高。可利用性被认为是困难的。该漏洞已公开披露，可能会被使用。

4、Kentico Xperience存在将系统数据暴露到未授权控制的范围漏洞

Kentico Xperience是Kentico公司的一个数字体验平台。Kentico Xperience存在安全漏洞，该漏洞源于HTTP Referer标头可能泄露虚拟上下文URL，导致敏感信息暴露给外部域。

5、Rukovoditel存在跨站脚本漏洞

Rukovoditel是Rukovoditel团队的一套基于Web的开源项目管理软件。该软件具有项目管理、客户关系管理等功能。Rukovoditel 3.4.1版本存在安全漏洞，该漏洞源于存储型跨站脚本漏洞，可能导致认证攻击者在项目任务评论中注入恶意脚本。

关于捷普

捷普作为一家国内先进的新时代网络信息安全产品和服务提供商，坚持以“全面安全 智慧安全”为产品理念，持续技术创新，为广大用户提供基础设施安全、数据安全、信创安全、工业互联网安全、云安全、物联网安全、国密安全等七大系列网络安全产品。并在风险评估、渗透测试等安全服务上占据优势，协助用户全面提升IT基础设施的安全性、合规性和生产效能，面向数字时代保障信息系统全面安全。

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：交大捷普 《每周网安资讯 （12.23-12.29）| APT37组织冒充韩国电视节目编剧诱使受害者安装恶意软件》