文章总结： 文档汇总了近期网络安全动态：EmEditor遭供应链攻击植入木马、RondoDox僵尸网络利用高危漏洞攻击IoT设备、中国网络安全法修订案施行重罚违规行为、谷歌云服务被滥用于钓鱼攻击、罗马尼亚及法国关键基础设施遭勒索攻击。另提及昆明数据泄露案及欧洲数字主权警示。建议企业及时修复漏洞、审查供应链并提升合规防护。 综合评分： 82 文章分类： 威胁情报,政策法规,应急响应,漏洞预警,供应链安全

知名文本编辑器EmEditor官网遭攻陷，官方安装包被植入间谍软件

汇能云安全

2026年1月6日 09:23 广东

01月06日，星期二，您好！中科汇能与您分享信息安全快讯：

01

知名文本编辑器EmEditor官网遭攻陷，官方安装包被植入间谍软件

2025年12月19日至22日期间，知名文本编辑器EmEditor的官方下载渠道遭到供应链攻击。攻击者通过隐秘篡改其官网下载按钮的配置，在近四天时间里，使不知情的用户点击“立即下载”后，获取到被恶意篡改的安装包。该恶意软件携带的非法数字签名显示为“沃尔沙姆投资有限公司”，而非官方的“Emurasoft公司”，奇安信威胁情报中心已就此发布详细分析报告。

隐藏在安装包中的是一款功能全面的信息窃取木马。它不仅能窃取VPN配置、浏览器数据、各类应用账号凭证及本地文件，还会通过安装一款名为“谷歌云端硬盘缓存”的恶意浏览器扩展实现持久化驻留。该扩展具备键盘记录、屏幕截图甚至替换剪贴板中加密货币地址的能力。值得注意的是，恶意软件内置了“禁止感染”名单，会自动避开系统语言属俄罗斯、乌克兰、哈萨克斯坦及伊朗的设备。安全团队建议立即排查是否存在相关签名文件及恶意扩展。

02

RondoDox僵尸网络利用高危漏洞React2Shell，持续劫持物联网与网络服务器

网络安全研究人员披露，一个名为RondoDox的僵尸网络在2025年发起了长达九个月的持续性攻击活动，旨在劫持物联网设备和网络服务器以扩大其僵尸网络。该活动利用了一个名为React2Shell（CVE-2025-55182）的关键漏洞，该漏洞存在于React服务器组件和Next.js中，CVSS评分高达10.0分，允许未经身份验证的攻击者远程执行代码。攻击目标广泛，包括Wavlink等品牌的路由器、IP摄像头以及WordPress、Drupal等热门网络应用平台。截至2025年12月底，全球仍有约9万个系统暴露于此漏洞。

此次攻击活动组织严密，经历了从初期侦察、大规模漏洞扫描到完全自动化部署的阶段。攻击者在受感染设备上部署加密货币矿工和Mirai变种等恶意载荷，其显著特点是具备主动清除竞争对手恶意软件的能力，通过持续监控并终止非白名单进程，确保对设备的独占控制。监测数据显示，美国是受影响最严重的国家。为应对威胁，安全专家建议组织应立即更新Next.js至安全版本，将物联网设备隔离到专用网络，并部署网络应用防火墙进行防护。

03

《网络安全法》修订案正式施行，AI监管与千万级罚款成焦点

《中华人民共和国网络安全法》修订案于2026年1月1日起正式施行。此次修订旨在应对数字化与人工智能技术发展带来的新挑战。修订案新增条款，明确国家支持人工智能基础理论研究与关键技术研发，并要求完善AI伦理规范、加强风险监测评估。同时，新法大幅提高了违法成本，针对网络运营者不履行安全保护义务的行为，最高罚款额度提升至一千万元，对直接责任人员的最高罚款也提至一百万元，旨在扭转“违法成本低”的局面。

新法进一步细化了责任体系，区分了普通网络运营者与关键信息基础设施运营者的不同要求，并对后者提出了更严格的安全防护标准。修订案还注重法律体系的协同，明确平台处理个人信息需同步遵守《个人信息保护法》等相关法规，构建了更为严密的责任网络。专家指出，这些变化体现了统筹发展与安全的思路，为人工智能产业的健康发展筑牢了安全屏障，标志着我国网络空间治理迈向规范化、法治化的新阶段。

04

昆明某企业核心业务系统遭入侵，公民个人信息泄露

近日，云南公安机关网安部门成功破获一起入侵企业系统、窃取公民个人信息的案件。2025年10月，昆明市公安局西山分局接到辖区某企业报案，称其核心业务系统遭非法入侵。经云南省公安厅网安总队牵头侦查，于12月4日在重庆市抓获犯罪嫌疑人李某平、杨某福，现场查获作案电脑、手机及被盗数据。初步查明，二人利用黑客技术入侵多家公司系统，将窃取的公民个人信息贩卖给境外犯罪组织，非法获利数十万元。

该案成功斩断了一条跨境贩卖公民个人信息的黑色产业链。两名犯罪嫌疑人的行为涉嫌非法侵入计算机信息系统、非法获取计算机信息系统数据及侵犯公民个人信息多项罪名，目前已被依法刑事拘留。警方指出，此案严重侵害公民权益，扰乱网络秩序。网警借此提醒广大企业与个人，网络非法外之地，需增强网络安全防护意识，定期排查系统漏洞，共同维护健康有序的网络环境。

05

《网络安全法》完成重大修订，2026年起织密智能时代安全法网

《中华人民共和国网络安全法》修订案已于2025年10月28日由全国人大常委会通过，并于2026年1月1日起正式施行。这是该法实施八年来的首次重大修改，旨在应对人工智能、数据跨境等新技术与新挑战。修订案的核心可概括为“四个强化”：强化党对网络安全工作的领导；强化对人工智能安全的前瞻性规制，首次增设人工智能发展与安全专条；强化法律责任，大幅提高罚款额度，最高可达一千万元；并强化网络主权的域外管辖效力。同时，修订案注重与《数据安全法》《个人信息保护法》等法律的体系化衔接，构建起更为协同的治理框架。

此次修订通过精细化、梯度化的罚则设计，扭转了“违法成本低”的局面。法律明确区分了一般网络运营者与关键信息基础设施运营者的责任，并引入对直接责任人员的处罚，实现“双罚制”。在人工智能治理方面，修订案确立了发展与安全并重的原则，既支持核心技术研发，也要求完善伦理规范与风险监测。此外，法律还将“关闭应用程序”明确列为处罚手段，并增设了符合条件可依法从轻、减轻处罚的条款，体现了宽严相济的治理思路。新法的实施标志着我国网络空间治理进入新阶段，对相关行业企业的合规体系提出了更高要求。

06

法国邮政新年首日再遭网络攻击，线上服务中断

当地时间2026年1月1日，法国邮政宣布其系统当日遭遇“网络攻击”，导致包括包裹追踪在内的多项线上服务目前无法访问。法国邮政表示，尽管线上功能中断，但包裹和信件的实际投递工作以及邮局柜台的滞留邮件交付服务均未受影响，仍在继续运作。值得注意的是，这已是法国邮政在短期内第二次遭遇类似攻击，上一次发生在2025年12月22日，曾导致部分投递业务和线上服务瘫痪数日。

近期，法国关键机构网络系统似乎成为频繁攻击的目标。除法国邮政外，法国内政部和体育部的网络信息系统近期也被曝相继遭遇网络攻击。这一系列事件凸显了公共服务和关键基础设施在网络威胁面前面临的持续风险。尽管具体攻击来源和细节尚未公布，但连续发生的攻击事件已对相关服务的正常运行构成了切实干扰，并再次为关键行业的网络安全防护敲响了警钟。

07

比利时网络安全负责人警告：欧洲在数字领域已“失去互联网”

比利时网络安全中心主任米格尔・德布鲁伊克近日发出警示，称欧洲在数字基础设施建设上已明显落后，甚至可以说已经“失去了互联网”。他指出，欧洲的云服务市场和互联网基础设施长期被美国企业主导，导致数据完全本地化存储成为“不切实际的幻想”。德布鲁伊克强调，欧洲的网络防御体系高度依赖私营企业，而这些企业大多来自美国，这使得欧洲在云计算和人工智能等关键技术领域的发展受制于人。

德布鲁伊克认为，当前关于“技术主权”的讨论常常流于形式，缺乏清晰重点。他建议欧盟应借鉴当年联合打造“空中客车”的经验，在云计算和数字身份等领域推动规模化发展，将资源用于自身能力建设，而非仅仅限制美国服务商。同时，他直言欧盟的《人工智能法案》在一定程度上阻碍了创新。尽管面临挑战，但欧洲内部已意识到问题，正通过“数字欧洲计划”等举措，投入资金加强人工智能、网络安全和数字基础设施建设，以期提升数字主权和竞争力。

08

新型僵尸网络利用高危漏洞React2Shell，大规模入侵物联网设备与服务器

一个名为“RondoDox”的僵尸网络在近期发起了一场持续九个月的大规模攻击活动。该活动利用名为 “React2Shell” 的关键漏洞（CVE-2025-55182，CVSS评分10.0），能够远程控制大量物联网设备和网络服务器。攻击目标极为广泛，包括常见的消费级物联网设备（如Wavlink、Linksys路由器、IP摄像头）以及广泛使用的网络应用平台（如WordPress、Drupal和基于Next.js的服务器）。攻击活动已实现高度工业化自动化，自2025年7月起每小时都会发动大规模攻击波次。

此次攻击的严重性在于其巨大的规模和技术复杂性。据监测，截至2025年12月31日，全球仍有约9万个系统易受此漏洞影响，其中超过68,400个实例位于美国。该僵尸网络不仅部署加密货币挖矿程序、Mirai变种等恶意载荷，还具备主动清除竞争对手恶意软件的独特能力，通过持续监控并终止非白名单进程，以确保对受感染设备的独占控制。安全研究人员建议，相关组织应立即将Next.js升级至已修复的版本，并将所有物联网设备隔离到专用的虚拟网络（VLAN）中，同时部署网络应用防火墙以降低风险。

09

网络犯罪分子滥用谷歌云邮件功能，发起大规模多阶段钓鱼攻击

网络安全研究人员近期披露一项复杂的钓鱼活动，攻击者通过滥用谷歌云平台的应用集成服务，从合法的谷歌邮箱地址发送伪装成企业日常通知（如语音信箱提醒、文件访问请求）的钓鱼邮件。由于邮件发自可信的谷歌域名且通过了SPF、DKIM等认证，传统电子邮件安全网关难以拦截。在2025年12月观察到的14天内，攻击者已向全球约3200家组织的客户发送了超过9300封钓鱼邮件，受影响的行业主要集中在制造业、科技、金融及专业服务领域。

此次攻击采用多阶段重定向流程以增强欺骗性：邮件中的链接首先指向谷歌云存储以获取信任，随后经过一个验证码页面以规避自动安全扫描，最终将受害者引导至仿冒的Microsoft登录页面窃取其凭证。安全公司指出，攻击链的每一跳都利用了谷歌、微软等可信基础设施，使得检测和阻挡极为困难。针对此事，谷歌已采取行动阻止对其云服务功能的滥用，并承诺实施更多防护措施。专家建议企业加强对异常邮件通知的警惕，并采用多层身份验证机制。

10

罗马尼亚最大火电企业遭勒索软件攻击，IT基础设施全面瘫痪

罗马尼亚最大的燃煤能源生产商奥尔特尼亚能源综合体于圣诞节次日（2025年12月26日）遭勒索软件攻击，导致其整个IT基础设施陷入瘫痪。受影响的系统包括公司的ERP、文档管理应用、电子邮件服务和官方网站，部分文档被加密。这家为全国提供约30%电力的能源国企表示，其业务活动受到一定影响，但国家能源系统的运行并未因此中断。事件发生后，公司IT团队已立即着手在新基础设施上重建系统，并利用备份进行恢复，同时向罗马尼亚国家网络安全局等多个主管部门报告了情况。

此次攻击是罗马尼亚近期遭受的又一重大勒索软件事件。两周前，该国国家水务管理局同样遭到攻击，影响了上千台计算机系统。安全研究人员分析，此次攻击可能与名为“Gentlemen”的勒索软件组织有关，该组织以利用泄露凭证进行初始入侵而闻名。目前，该组织尚未将奥尔特尼亚公司列入其泄密网站，暗示赎金谈判可能仍在进行中。公司表示仍在评估攻击者是否在加密前窃取了数据，这起事件再次凸显了关键基础设施面临的严峻网络威胁。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《知名文本编辑器EmEditor官网遭攻陷，官方安装包被植入间谍软件》