文章总结： Resecurity利用AI合成数据蜜罐成功诱捕埃及黑客及ShinyHunters组织，通过28k虚假用户与19万交易记录等高仿真诱饵，在12天内记录18.8万次抓取并暴露真实IP，验证欺骗技术可转化为IOCs/IOAs并直接推动国际执法传票，企业可复制部署非生产诱饵实现主动防御。 综合评分： 88 文章分类： 威胁情报,AI安全,安全运营,漏洞分析,实战经验

【安全圈】黑客入侵员工网络时落入Resecurity蜜罐陷阱

安全圈

2026年1月5日 19:02 江苏

关键词

黑客

Resecurity通过部署合成数据蜜罐智胜威胁攻击者，将侦察活动转化为可操作情报。近期行动不仅捕获了与埃及有关的黑客，还诱使ShinyHunters组织做出虚假数据泄露声明。

基于AI的欺骗技术升级

Resecurity改进了用于反情报的欺骗技术，通过模拟企业环境引诱威胁攻击者进入可控陷阱。这些技术在传统蜜罐（即配置错误的服务或虚拟资源被动记录入侵者）基础上，采用AI生成的合成数据模拟真实世界模式，同时避免暴露专有信息。结合从暗网获取的先前泄露数据增强真实性，甚至能欺骗会验证目标的高级攻击者。

2025年11月21日，Resecurity数字取证与事件响应(DFIR)团队发现某威胁攻击者在针对低权限员工后，开始扫描对外服务。攻击迹象包括埃及IP地址156.193.212.244和102.41.112.148，以及Mullvad VPN的45.129.56.148和185.253.118.70。

精心设计的蜜罐陷阱

响应团队在模拟应用中部署蜜罐，包含以下合成数据集：

• 28,000条消费者记录（用户名、邮箱及组合列表中的虚假个人身份信息）
• 190,000条类似Stripe的支付交易记录（通过SDV、MOSTLY AI和Faker等工具生成）
• 在俄罗斯暗网市场植入”Mark Kelly”诱饵账户吸引攻击者

攻击者在12月12日至24日期间登录蜜罐，通过定制自动化工具和住宅代理发起超过188,000次数据抓取请求。这产生了关于攻击手法、基础设施和操作安全失误的”滥用数据”，代理故障时还泄露了真实IP。Resecurity封锁相关代理迫使攻击者复用已知主机，并将发现提交执法机构，最终促成国际传票。

高仿真隔离诱饵系统

模拟Office 365、VPN服务以及已停用的Mattermost实例（包含2023年AI生成的六组虚假聊天记录）被证明是零风险高价值仿真的理想选择。

ShinyHunters组织自投罗网

2026年1月3日的更新显示，曾被Resecurity调查的ShinyHunters组织也落入相同陷阱。该组织在Telegram吹嘘对”[honeytrap].b.idp.resecurity.com”及虚假系统拥有”完全访问权限”。

截图显示伪造的”Mark Kelly”Mattermost账户、不存在的”resecure.com”域名、测试账户重复使用的bcrypt哈希API令牌以及无价值的旧日志。该组织承认受到Resecurity战术干扰，社会工程学分析还发现与jwh*****[email protected]邮箱、美国电话号码及活动期间注册的雅虎账户存在关联。

此次行动验证了网络欺骗技术在威胁狩猎和调查中的效力，能从受控接触中生成入侵指标(IOCs)和攻击指标(IOAs)。Resecurity的日志记录和此前对ShinyHunters的曝光表明，报复行为反而导致攻击者自证其罪。企业可在非生产环境部署受监控的诱饵系统，增强对经济动机威胁攻击者的主动防御能力。

END

阅读推荐

【安全圈】汉堡王遭遇了全面的线上系统崩溃

【安全圈】币安旗下 Trust Wallet 遭供应链攻击，官方或将赔付 850 万美元

【安全圈】Handala 黑客通过入侵 Telegram 账户攻击以色列官员

【安全圈】索尼 PlayStation 5 ROM 密钥泄露，BootROM 代码或使破解更容易

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客入侵员工网络时落入Resecurity蜜罐陷阱》