文章总结： Resecurity用AI生成2.8万条消费者与19万条支付假数据，布下高交互蜜罐，诱埃及黑客与ShinyHunters入彀；攻击者因OPSEC失误暴露真实IP，团伙高调炫耀的“内部截图”实为虚构Mattermost与无效令牌，相关IOC已交执法并触发跨国协查，证明合成数据+暗网旧泄露混合诱饵可高效反制高级威胁。 综合评分： 87 文章分类： 威胁情报,红队,AI安全,安全运营,漏洞分析

黑客入侵反落陷阱：Resecurity用AI蜜罐捕获攻击者并戏耍ShinyHunters团伙

看雪学苑

看雪学苑

2026年1月5日 18:00 上海

近日，网络安全企业Resecurity披露了一起通过先进“欺骗技术”成功反制黑客攻击的典型案例。该公司通过部署基于AI合成数据的蜜罐系统，不仅诱捕了与埃及关联的黑客，还使国际知名黑客团伙ShinyHunters误入虚假数据陷阱并作出错误宣传。

传统的蜜罐技术通过设置存在安全缺陷的模拟服务来记录入侵行为，而Resecurity此次采用的方案进行了全面升级。该系统利用人工智能生成高度逼真的合成数据，模拟真实的企业环境和业务数据流，同时混入从暗网获取的过往泄露数据以增强可信度。这种设计能欺骗甚至那些会预先验证目标真实性的高级威胁行为者，同时确保不暴露任何真实的敏感信息。

事件始于2025年11月21日，Resecurity的数字取证与事件响应（DFIR）团队监测到有威胁行为者在针对一名低权限员工后，开始扫描公司对公网开放的服务。攻击来源包括156.193.212.244等埃及IP地址及多个VPN出口。作为回应，安全团队迅速部署了一个包含仿真应用的蜜罐，其中植入了由SDV、MOSTLY AI和Faker等工具生成的合成数据集，包括2.8万条虚假消费者记录和19万条模拟Stripe风格的支付交易记录。此外，团队还在俄语黑市论坛上刻意投放了名为“Mark Kelly”的诱饵账户，用以吸引攻击者上钩。

这一策略取得了显著成效。蜜罐不仅记录了攻击者的战术、技术和程序（TTP），还因其设置的“高价值”诱饵（如模拟的Office 365、VPN入口以及一个充满由AI生成的2023年历史聊天记录的Mattermost协作平台实例）导致攻击者在操作安全（OPSEC）上出现失误，意外暴露了真实IP地址等基础设施信息。这些“滥用数据”已被分享给相关执法机构，并促成了跨国法律协查。

更富戏剧性的是，此前已被Resecurity深度剖析过的黑客团伙ShinyHunters也坠入了同一陷阱。2026年1月3日的更新信息显示，该团伙在Telegram上宣称已获取对Resecurity某个子域名的“完全访问权限”，并发布了据称是内部系统的截图。然而，这些截图显示的正是为“Mark Kelly”设置的虚假Mattermost界面、并不存在的域名、经过哈希处理的无效API令牌以及无用的旧日志。Resecurity进一步通过社会工程学分析，关联出此次活动中使用的特定邮箱及美国电话号码等信息。

资讯来源：cybersecuritynews

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《黑客入侵反落陷阱：Resecurity用AI蜜罐捕获攻击者并戏耍ShinyHunters团伙》