2026-01-26 02:25:52 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本期周报汇总全球OT与关键基础设施安全动态：NIST启动SP800-82修订对齐CSF2.0，欧盟拟强化ICT供应链立法；思科零日、FortiGate认证绕过、TP-Link摄像头、GNUtelnetd等高危漏洞在野利用；IngramMicro、韩国教源集团遭勒索，欧洲铁路、阿富汗政府、英国基建受攻击；AI提示注入、DLL侧载、恶意PyPI包、驱动级防御绕过等新型攻击手法升级，建议关基单位立即补丁、加固边界、禁用Telnet、升级开发工具、收敛暴露面并强化供应链与日志监测。 综合评分： 95 文章分类： 漏洞预警,工业网络安全,威胁情报,安全大事件,政策法规

cover_image

工业网络安全周报-2026年第4期

OT网络安全领军者 OT网络安全领军者

安帝Andisec

2026年1月24日 12:02 北京

本文预计阅读时间32分钟

BREAKING NEWS

本期摘要

政策法规方面，NIST 启动 SP 800-82 全面修订，强化工业控制系统（OT）安全指导并与 CSF 2.0 对齐；欧盟拟修订《网络安全法》，重点提升 ICT 供应链安全与整体网络韧性；美国众议院听证聚焦网络、无人机及 AI 威胁，推动延长 CISA 授权以加强关键基础设施防护。

漏洞预警方面，思科披露零日漏洞并确认已被黑客利用，FortiGate防火墙亦遭遇新一轮攻击，边界设备安全形势严峻。TP-Link VIGI系列摄像头被发现存在高危认证绕过漏洞，可能导致设备被非法控制。与此同时，GNU InetUtils telnetd可被绕过认证直接获取Root权限，binary-parser漏洞可能引发Node.js任意代码执行，Linux 系统上的NVIDIA Nsight图形界面同样存在代码执行风险，需引起高度重视。

安全事件方面，Ingram Micro遭遇勒索软件攻击，约4.2万人受到影响。网络间谍组织Nomad Leopard针对阿富汗政府实施精准钓鱼攻击。英国国家网络安全中心警告，俄罗斯关联黑客持续发动DDoS攻击，威胁关键基础设施稳定运行。欧洲铁路系统通告亦发生乘客信息泄露。韩国教源集团遭勒索病毒攻击导致业务中断。

风险预警方面，工业控制系统与AI系统遭受的黑客与网络犯罪攻势明显加剧，对关键基础设施和智能应用安全构成严峻挑战。高级APT级PDFSider 恶意软件被勒索软件组织滥用，并结合DLL侧加载技术，成功规避传统杀毒软件与EDR检测。与此同时，攻击者利用机器学习技术打造安卓木马程序，可绕过基于脚本的广告点击检测机制。开源生态同样面临威胁，恶意PyPI软件包冒充常用库，在Linux主机上部署XMRig挖矿程序。此外，黑客还滥用超过2500个合法安全工具，构建隐蔽且难以防护的攻击通道，整体风险隐蔽性与破坏性持续上升。

政策法规

1、NIST启动SP 800-82全面修订，强化OT网络安全指导并对齐CSF 2.0

2026年1月23日，美国国家标准与技术研究院（NIST）正式启动对《运营技术安全指南》SP 800-82 Rev.4 的全面修订工作，并发布预先征求意见稿，旨在强化对OT环境的网络安全指导，使其与更新后的NIST相关框架和标准保持一致。此次修订将系统吸取近年OT安全实践和事件中的经验教训，并对齐多项关键文件，包括网络安全框架CSF 2.0、NIST IR 8286 Rev.1、NIST SP 800-53 Rev.5.2.0，以及最新的OT网络安全标准与最佳实践，以更好应对不断演变的OT威胁形势。NIST明确表示，修订版将扩展对更多OT系统类型的覆盖，如楼宇自动化、交通运输和海事系统，并征求意见确定还应重点纳入哪些OT领域。同时，指南计划加强对新兴技术和能力在OT环境中应用的指导，包括行为异常检测、数字孪生、物联网、人工智能与机器学习、零信任、云计算、5G及先进无线技术和边缘计算等。在结构上，NIST拟更新全文原则性指导，并刷新有关OT威胁、漏洞、事件、持续活动以及安全能力、工具和缓解措施的内容。同时，提议将OT覆盖层附录F独立成文，并把附录C、D、E转移为动态网络资源，以提升文档可读性和时效性。此外，NIST还考虑删除过时或不再适用的内容。

资料来源：

http://rnb.d11k.top/w/07wm23

2、欧盟拟修订《网络安全法》，强化ICT供应链安全与网络韧性

2026年1月21日，欧盟委员会提出修订《网络安全法》的新方案，作为整体网络安全举措的一部分，旨在提升欧盟网络韧性与应对能力，重点保障信息通信技术（ICT）供应链安全。该提案通过更简化的网络安全认证流程，确保产品在设计阶段即具备安全性，同时强化欧盟网络安全局（ENISA）在支持成员国和企业应对网络威胁中的作用。方案将与拟议的《网络与信息安全指令2》（NIS2）修正案同步推进。NIS2专项修订主要提升法律清晰度，简化约28,700家企业（其中包括6,200家微型和小型企业）的合规流程，并通过引入新的中小企业类别，为约22,500家公司降低合规成本。同时，修订还将统一管辖规则、精简勒索软件数据收集，并在ENISA协调下加强对跨境实体的监管。修订后的《网络安全法》提出建立横向的ICT供应链安全框架，采用协调、适度且基于风险的方法，识别并降低欧盟18个关键行业中来自高风险第三国供应商的安全风险，必要时可限制其产品用于关键ICT资产。在认证方面，欧盟将引入更新后的欧洲网络安全认证框架（ECCF），明确适用范围和治理机制，默认在12个月内制定认证方案，由ENISA负责维护。该框架旨在为企业提供可操作的自愿合规工具，提升欧盟企业竞争力，并增强公众对复杂ICT供应链安全性的信任。

资料来源：

http://dxa.d11k.top/w/TRCGvw

3、美众议院听证聚焦网络、无人机与AI威胁，推动延长CISA授权强化关键基础设施防护

2026年1月23日，美国众议院国土安全委员会举行题为“国土安全部监督：CISA、TSA、S&T”的听证会，重点审查日益升级的网络攻击、无人机和人工智能等新兴威胁对美国交通运输系统和关键基础设施的影响，并推动立法延长《网络安全和基础设施安全局法案》（CISA）2015年的授权期限。听证会证人包括网络安全和基础设施安全局（CISA）代理局长马杜·戈图穆卡拉、运输安全管理局（TSA）代理局长哈·阮·麦克尼尔及科技局副局长佩德罗·阿连德。委员会主席、纽约州共和党众议员安德鲁·R·加巴里诺指出，传统恐怖主义威胁已演变为更复杂的网络攻击、无人机协同破坏及人工智能加速的网络行动，对交通系统和关键基础设施构成更高风险。戈图穆卡拉在证词中强调，CISA的核心使命是保护国家关键基础设施免受网络和物理威胁，并通过“任务优先”重塑，加强联邦民用网络防御、支持管道、金融系统等关键资产安全，以及弥合网络风险与现实世界后果之间的差距。过去一年，CISA持续发布紧急指令、扩展端点检测与响应（EDR）能力，并推进《2022年网络事件报告和关键基础设施法案》（CIRCIA）最终规则制定。听证会同时释放出监管趋严信号，表明未来关键基础设施运营方将面临更高的合规要求、更频繁的事件报告义务，以及联邦政府在工业和OT网络安全治理中的更深度介入。

资料来源：

http://fwc.d11k.top/w/EYUpTH

漏洞预警

4、思科披露零日漏洞及正在遭到黑客利用风险预警

2026年1月22日，思科（Cisco）公司发布安全通告并提供补丁，修复了一个影响其Unified Communications Manager（统一通信管理器）及相关协同通信产品的关键零日漏洞，编号 CVE-2026-20045，该缺陷允许未经认证的远程攻击者通过特制HTTP请求在受影响设备上执行恶意命令，从而获得操作系统用户权限并进一步提升至root权限。受影响的产品包括Cisco Unified CM及其Session Management Edition、Unified CM IM & Presence Service、Unity Connection和Webex Calling Dedicated Instance等通信与协作平台组件。思科在公告中指出，虽然公开尚未披露具体的攻击细节，但已“意识到该漏洞在野外存在利用尝试”，并强烈建议全球用户尽快应用补丁以遏制潜在风险。安全情报引擎Hunter数据显示目前约1300个Cisco Unified CM实例暴露于互联网上，其中近半数位于美国，这意味着若未及时修补，相关系统可能面临实质性攻击威胁。此外，美国网络安全与基础设施安全局（CISA）已将此漏洞加入已知被利用漏洞（KEV）目录，并要求联邦机构在2月11日前完成修补。

资料来源：

http://5ia.d11k.top/w/QJKqub

5、TP-Link修补VIGI系列摄像头高危认证绕过漏洞风险

2026年1月19日，TP-Link近日发布补丁修复了一个影响其 VIGI C与VIGI InSight系列专业摄像头的高危漏洞（漏洞编号 CVE-2026-0629，CVSS 8.7），该缺陷存在于摄像头本地Web界面的密码恢复功能中，可被攻击者通过 LAN 网络绕过认证机制、重置管理员密码并获取完整控制权限。发现此漏洞的研究员 Arko Dhar 曾在 2025年10月扫描中发现超过2500台可被互联网访问的易受攻击VIGI摄像头实例（实际受影响数量可能更高），这些设备主要部署在企业与监控环境中，暴露于远程入侵风险之中。成功利用该漏洞可让攻击者获得实时录像与录制数据访问权限、操纵摄像头配置、进行网络横向移动甚至作为更深层网络攻击的跳板，从而对企业安全监控、隐私保护与网络安全防线造成严重威胁。

资料来源：

http://q3d.d11k.top/w/zNlPAd

6、FortiGate防火墙遭新一轮攻击

2026年1月22日，安全研究机构 Arctic Wolf 警告，近期针对 FortiGate 系列防火墙的新一轮恶意攻击活动明显上升，攻击者利用 FortiCloud SSO（单点登录）认证绕过缺陷发起入侵，迅速创建新用户账号、修改设备配置并提取防火墙配置信息，显示出针对关键网络边界安全设备的高风险威胁态势。已有观察到的攻击行为包括自动化登录尝试针对默认或常见账户（例如[email protected]），在几秒钟内成功导出设备配置、调整 VPN 访问策略等，这类变更可能使网络边界保护失效并为进一步横向渗透打开通路。此次攻击与 2025年12月出现的针对CVE-2025-59718 和 CVE-2025-59719 两个严重认证绕过漏洞的利用活动类似，这两个漏洞的CVSS评分高达9.8，原始补丁于Fortinet发布后不久便遭滥用。尽管FortiCloud SSO功能默认情况下是关闭的，但在设备初次通过UI注册FortiCare服务时往往默认启用，增加了暴露风险。业内用户在讨论中指出，现有补丁可能未完全涵盖所有攻击向量，Fortinet 正在开发进一步的修复版本。

资料来源：

http://b3a.d11k.top/w/SZ757c

7、GNU InetUtils telnetd 关键漏洞可绕过认证获得Root权限

2026年1月22日，安全研究揭露 GNU InetUtils 套件中的 telnetd（Telnet 守护进程）存在一处极其严重的远程认证绕过漏洞（CVE-2026-24061，CVSS评分9.8/10），该缺陷已在代码中潜伏近 11年，影响所有从版本 1.9.3至2.7 的发布版。漏洞根源在于 telnetd服务器未对客户端传入的 USER 环境变量进行有效净化与过滤，直接将其传递给系统的/usr/bin/login程序。而login程序会将-f参数解释为“信任登录”，绕过正常认证流程。借助这一缺陷，远程攻击者无需合法凭证，只需发送特制的 USER=-f root 值即可能直接获取受影响系统的root 权限，实现完全控制。研究者Simon Josefsson和报告者Kyu Neushwaistein于2026年1月19日披露此漏洞，并指出此问题源自2015年3月19日的一次代码提交，之后在多个版本中沿用但未被发现。安全情报机构GreyNoise的监测数据显示，在短时间内已有来自包括香港、美国、日本等多个国家的21个恶意IP试图利用该漏洞进行远程攻击，表明漏洞在野外已出现利用行为。鉴于使用Telnet的系统依然存在于一些遗留环境、嵌入式设备及内部网络，运营者被强烈建议立即禁用telnetd服务或将其网络访问限制为可信网络，并尽快应用官方发布的补丁或升级至修复版本，以防止严重的系统被入侵风险。

资料来源：

http://bya.d11k.top/w/F7pgoc

8、二进制解析库binary-parser漏洞可导致Node.js任意代码执行风险

2026年1月21日，安全机构CERT协调中心（CERT/CC）发布通告称，广泛用于Node.js环境中的开源 npm 库binary-parser在2.3.0之前的所有版本中存在严重安全漏洞（CVE-2026-1245，CVSS 6.5），可能被恶意利用实现任意JavaScript代码执行。Binary-parser是一个用于构建二进制数据解析器的库，支持整数、浮点数、字符串及数组等多种数据类型，平均每周约有13,000次下载。该漏洞的根本原因在于库在运行时使用JavaScript的Function构造函数动态生成解析代码时未对用户输入值（如字段名或编码参数）进行充分清洗或过滤，导致攻击者可将受控输入嵌入到生成的代码字符串中并在运行时执行。CERT/CC指出，只有在应用程序使用基于不受信任数据构建动态解析定义的情况下才会被利用，而仅使用静态硬编码解析定义的应用不受影响。成功利用该漏洞可能使攻击者在受影响的Node.js进程权限下执行任意命令，从而访问本地数据、修改应用逻辑或执行系统命令，这对依赖该组件处理不受信任输入的应用形成严重威胁。安全建议开发者和维护者尽快将binary-parser升级到2.3.0或更新版本，并避免将用户可控值传递给解析字段名或编码参数，以阻断恶意代码注入链路。

资料来源：

http://vyc.d11k.top/w/VtbXrx

9、Linux系统上的NVIDIA Nsight图形界面存在代码执行漏洞

2026年1月21日，NVIDIA发布紧急安全更新，修补其Nsight Graphics图形调试与性能分析工具在 Linux平台上的一个关键安全漏洞 CVE-2025-33206，漏洞严重性被评定为高（CVSS 7.8）。该缺陷存在于所有 2025.5 版本之前的 Linux 发行版中，源于应用程序在处理输入时未对命令参数进行严格净化，使本地攻击者能够通过命令注入（OS Command Injection）构造恶意输入触发未预期的系统命令执行，从而实现任意代码执行、数据篡改、权限提升甚至拒绝服务（DoS）等安全后果。尽管该漏洞需要攻击者具备本地访问权限和用户交互条件，但执行成功后可直接危及开发环境和图形相关工作流的完整性与机密性，尤其是共享工作站或多用户开发主机等场景面临较高风险。此次漏洞主要影响图形开发者、性能优化团队以及在Linux上使用Nsight Graphics进行渲染分析和调试的组织。为应对风险，NVIDIA已发布2025.5修复版并敦促用户立即升级至该版本或更高版本以关闭该安全漏洞；同时建议加强本地访问控制、检查系统日志异常行为及审计图形调试工具的输入处理流程，以降低恶意利用可能性。

资料来源：

http://qid.d11k.top/w/VtbXrx

安全事件

10、Ingram Micro公司遭勒索软件攻击，42000人受影响

2026年1月19日，全球信息技术产品与供应链服务分销巨头Ingram Micro近期确认，其2025年7月发生的勒索软件攻击已导致约42,521名员工和求职者的个人敏感信息被泄露，包含姓名、出生日期、社会保障号（SSN）、护照号、驾照号等政府颁发的身份识别信息，以及就业相关数据。该事件源于未经授权的第三方于 2025年7月2日至3日间侵入公司内部文件存储系统并窃取文件，促使公司在发现后立即采取应急措施，将受影响系统下线以遏制进一步损害。攻击导致Ingram Micro的多个在线系统和服务中断近一周时间，直到 7月9日才全面恢复运营。虽然公司未公开确认具体的勒索软件团伙，但勒索组织SafePay曾在暗网泄露站点上发布了声称包含Ingram Micro被窃取的约3.5TB数据，表明可能与本次攻击相关联。作为应对措施，Ingram Micro已向受影响个人发出通知信，并提供 24个月的免费信用监控与身份保护服务，建议受害者保持警惕，定期检查银行账单与使用免费信用报告服务监测异常活动。

资料来源：

http://fld.d11k.top/w/dAixGt

11、Nomad Leopard网络间谍活动针对阿富汗政府展开精准钓鱼攻击

2026年1月22日，最新安全研究揭露一个名为“Operation Nomad Leopard”的网络间谍活动正在针对阿富汗政府机构员工发动定向钓鱼攻击，通过伪装成官方通告的钓鱼邮件引诱收件人打开恶意载荷，进而实现系统入侵与数据窃取。该活动主要利用精心伪造的政府公文作为诱饵，将一个包含恶意快捷方式（LNK）与伪装文件的ISO镜像附件发送给目标人员，受害者一旦执行恶意 LNK 文件，便会启动隐藏在其中的FALSECUB恶意软件，该恶意程序会在受感染系统中建立持久性、枚举系统信息并通过HTTPS将收集的数据发送至攻击者控制的服务器。研究人员指出，攻击者还滥用GitHub仓库托管恶意载荷并利用 TinyURL 缩短链接来躲避检测与阻断，而该威胁行为者在多个社交媒体平台上使用统一用户名（如“afghanking777000”或“Afghan Khan”）留下数字足迹，分析显示其为较低至中等技术水平的区域性威胁组织，而非成熟国家级APT。尽管该组织技术并不复杂，但其精心制作的诱饵文件和针对性强的社工策略显著提高了攻击成功率，同时显示其对阿富汗政府机构内部沟通机制及文档格式具有一定了解。

资料来源：

http://pfa.d11k.top/w/kEaXuv

12、英国国家网络安全中心警告：俄罗斯关联黑客持续发动DDoS攻击威胁关键基础设施

2026年1月20日，英国国家网络安全中心（NCSC，隶属于GCHQ）于1月19日发布风险警告称，与俄罗斯有关的黑客组织正在持续对英国关键基础设施与地方政府系统发起分布式拒绝服务（DDoS）攻击，力图通过流量淹没方式扰乱网络服务并造成业务中断。 NCSC指出，这些攻击由意识形态驱动的亲俄黑客团体发起，其主要目的不是财务收益，而是反对西方对乌克兰的支持。警告特别强调地方政府、国家关键基础设施运营者和具有运营技术（OT）组件的组织需加强网络防护、监测和应急响应能力，以应对这类简单但能导致严重运营和财务损失的攻击活动。英国此前在2025年12月已与合作伙伴联合发布类似警告，表明这类威胁存在持续性。报告特别点名 NoName057(16) 等亲俄黑客组织自2022年以来已多次发动针对北约成员国和欧洲机构的DDoS攻势，包括瑞典政府与银行、德国超250个实体以及瑞士乌克兰和平峰会等目标。该组织借助由数百台服务器组成的自建僵尸网络，并通过社交媒体、论坛和聊天应用招募超过4000名支持者和降低攻击技术门槛的平台。

资料来源：

http://d7a.d11k.top/w/eD9CGU

13、欧洲铁路通告数据泄露，乘客信息曝光

2026年1月20日，欧洲铁路通票运营商Eurail B.V.近日确认其IT系统遭遇未经授权访问的数据泄露事件，并已向受影响旅客发送通知邮件，事件首次披露于1月10日，后续调查表明客户数据库遭外部访问且可能被拷贝出数据。初步分析显示，此次泄露的内容主要包含旅客的订单及预订信息、基本身份与联系详情，例如姓名、联系方式、出生日期等；对于直接购买通票的客户，还可能包括护照号码及有效期等护照信息，但公司表示不会存储护照影像件；而参与欧盟DiscoverEU项目的用户受影响更为复杂，涉事数据可能包括更敏感的身份证明及其他关联信息。Eurail已在发现泄露后立即采取措施加固系统、封堵安全漏洞并启动全面调查，同时与外部网络安全专家和法律顾问合作监测潜在风险。目前尚无证据显示泄露数据被滥用或公开，但公司强调正持续进行监控以防范后续攻击或滥用行为。该事件已按照欧盟通用数据保护条例（GDPR）向相关数据保护机构报告，并将向欧盟外相关监管部门逐步通知。Eurail正在直接通知可能受影响的客户，并对事件可能引发的担忧表示歉意，提醒受影响人士谨慎防范身份盗用、钓鱼诈骗等风险。

资料来源：

http://ftb.d11k.top/w/qgyxyH

14、韩国教源集团遭受勒索病毒攻击，业务中断

2026年1月21日，韩国企业界的领军企业韩国教源集团（Kyowon Group）目前正在调查一起严重的勒索软件攻击事件，该事件不仅扰乱了其运营，还可能导致数百万客户的个人信息泄露。据报道，攻击者利用暴露的外部端口入侵系统，从而在公司系统中横向移动，并感染了约800台服务器中的600台。作为预防措施，此次安全漏洞导致多个关联网站和服务暂时关闭，网络安全专家正在努力恢复受影响的数据库。当地政府的早期报告显示，多达960万个账户可能受到此次数据泄露的影响，但该公司仍在核实泄露数据的具体性质。教源集团在一份官方声明中确认，他们正与外部调查人员密切合作，以确定损失的全部范围以及漏洞的具体原因。此次攻击延续了近年来针对韩国大型企业的大规模网络安全事件频发的令人担忧的趋势。

资料来源：

http://yud.d11k.top/w/MjA49U

风险预警

15、工业控制系统与AI系统面临黑客与网络犯罪攻势加剧

2026年1月20日，新发布的Cyble Research & Intelligence Labs（CRIL）报告显示，黑客、网络犯罪团伙以及有政治动机的黑客组织持续扩大对工业控制系统（ICS）、运营技术（OT）以及人工智能系统的攻击力度，形成跨关键基础设施的新威胁态势。报告指出，攻击者频繁利用暴露的HMI（人机界面）和SCADA系统漏洞，并通过提示注入、内存污染和供应链投毒等方式侵入AI驱动的自动化工作流，显示AI技术本身也正成为新的攻击矢量。勒索软件仍是最具破坏性的主要威胁，并且正在扩散到更多关键行业，辅以社会工程、恶意SEO和AI生成的深度伪造诱饵。Cyble分析了2024年12月至2025年11月间由152家供应商披露的2451个ICS漏洞，期间Z-Pentest等黑客组织反复针对工业技术进行入侵，欧洲地区尤其受到亲俄黑客团体的持续攻击。此外，报告强调，2025年勒索软件攻击较2020年激增355％，新出现的勒索组织和变种数量显著增长，同时多次重复攻击同一受害者的现象日益突出。整体来看，ICS/OT环境正面临更复杂、更自动化且与地缘政治紧密关联的网络威胁。

资料来源：

http://pbd.d11k.top/w/npU1IF

16、高级APT级PDFSider恶意软件被勒索软件组织滥用

2026年1月20日，安全公司Resecurity近期发现一种名为 PDFSider 的高级恶意软件正被多个勒索软件组织和APT级攻击者用于实际攻击活动。PDFSider通过 DLL劫载（DLL sideloading）技术在受害者系统中执行，这种技术利用了合法程序（如PDF24 Creator）加载恶意DLL，以规避传统检测机制，增强隐蔽性。该恶意软件不仅支持远程代码执行（RCE），还能在内存中运行、收集系统信息、建立与加密控制服务器的隐秘通信通道，并提供交互式后门Shell，实现持续控制和数据窃取等高级功能。攻击通常通过附带恶意ZIP附件的鱼叉式钓鱼邮件传播，诱使目标用户打开并触发恶意代码加载。Resecurity报告指出，PDFSider已在针对一家财富100强企业的攻击中出现，并被多个勒索软件组织用于有效载荷投递，这表明其在网络犯罪生态中快速扩散。同时，该恶意软件包含多阶段环境检测逻辑，可识别虚拟机和分析工具，从而在安全研究环境中躲避分析。报告还提到，近期其他安全厂商（如Acronis、Trellix）观察到攻击者普遍采用DLL劫载技术，这种趋势使得传统防护措施难以有效阻止这类威胁。

资料来源：

http://pjb.d11k.top/w/0g9Ex2

17、利用机器学习技术的安卓木马程序可以绕过基于脚本的广告点击检测

2026年1月22日，安全研究机构Dr.Web披露了一种新型Android点击欺诈（click-fraud）特洛伊木马家族，该恶意软件利用TensorFlow.js机器学习模型进行视觉识别并自动点击广告元素，从而绕过传统基于脚本的广告点击检测机制，提升隐蔽性和欺诈成功率。该木马家族名为Android.Phantom，通过Xiaomi的GetApps 应用商店分发，运行在一个隐藏的WebView中并远程加载机器学习模型，对屏幕截图进行分析以模仿真实用户行为。它具备两种模式：一种“phantom模式”通过远端模型自动识别并点击广告，另一种“signaling模式”通过WebRTC将虚拟浏览器画面实时传输给攻击者，由远端操控点击、滚动和输入。研究人员识别出多个包含该恶意木马的游戏应用，包括Theft Auto Mafia（超过61,000次下载）、Cute Pet House（超过 34,000 次）、Creation Magic World（超过32,000次）等，均由同一开发者SHENZHEN RUIREN NETWORK CO., LTD. 发布，且恶意代码是通过后续更新植入的。该木马还通过第三方APK分发平台如Moddroid和Apkmody传播，并存在于修改版Spotify、YouTube等应用中。服务器数据表明感染情况跨越多种语言用户群体，该木马不仅可实施广告欺诈，还具备使设备加入僵尸网络、耗电、消耗数据和通过间谍模块泄露个人信息的潜力。专家建议用户避免从不可信来源下载APK，并保持防病毒软件更新来降低感染风险。

资料来源：

http://kic.d11k.top/w/ciUIaI

18、PDFSIDER恶意软件利用DLL侧加载规避杀毒软件和EDR

2026年1月20日，安全研究机构Resecurity发现一种名为PDFSIDER的恶意软件正在被威胁行为者和多个勒索软件组织利用，借助 DLL侧载（DLL side‑loading）技术绕过常见的防病毒（AV）与端点检测与响应（EDR）系统并部署隐秘后门。PDFSIDER通过将恶意DLL（如伪造的 cryptbase.dll）放置在合法应用旁边，使合法程序在启动时无意加载恶意代码，从而在受害系统中执行，达到规避检测、隐蔽执行的目的。该恶意软件具备加密命令与控制（C2）通道、内存执行而非落盘、反虚拟环境和反沙箱技术等特征，支持收集系统信息并为攻击者提供隐藏的交互式命令Shell，实现远程代码执行等高级操作，典型行为与高级持续性威胁（APT）特征一致。攻击者常通过鱼叉式钓鱼邮件将带有合法安装程序（如 PDF24 Creator）的ZIP附件发送给目标用户，诱使其运行，从而触发侧载并落地PDFSIDER。此外，Resecurity在一次针对某Fortune 100能源企业的入侵尝试调查中发现了该恶意软件的利用手法，表明其已被实际用于攻击事件。安全分析指出，DLL侧载技术正成为攻击者规避传统安全防护的常用手法，这对企业网络与关键基础设施安全构成实质性威胁，要求组织强化威胁检测、提高对恶意侧载技术的防御能力，并提高员工对社会工程诱骗的防范意识。

资料来源：

http://e1d.d11k.top/w/zMbGJV

19、恶意PyPI软件包冒充SymPy，在Linux主机上部署XMRig挖矿程序

2026年1月22日，安全研究者发现一个恶意Python包sympy-dev在Python Package Index（PyPI）上冒充著名的数学符号计算库SymPy（每月下载量约8500万次），其项目描述与SymPy官方一致，诱骗开发者误以为是库的开发版本并下载。截至报道，该恶意包自1月17日发布以来已被下载超过1100次，且仍可正常下载。恶意包被植入了XMRig加密货币挖矿程序的载荷触发逻辑，但为避开检测，仅在调用特定多项式函数时才激活以降低可疑行为迹象。具体而言，后门函数在被调用时会联系威胁行为者控制的服务器（例如IP地址 63.250.56[.]54），下载配置JSON及ELF二进制文件，并利用Linux的memfd_create和/proc/self/fd技术在内存中执行恶意代码，避免在磁盘上留下显著痕迹，这种内存执行技术之前已被FritzFrog和Mimo等僵尸网络/隐蔽挖矿活动采用。最终，该恶意程序下载并运行两个针对Linux主机的挖矿二进制文件，通过TLS加密的Stratum端点（默认端口3333）进行CPU挖矿，同时禁用GPU后端。安全分析人员指出，虽然此次活动主要观察到加密货币挖矿行为，但该恶意包逻辑具有通用载荷执行能力，可用于执行任意二阶段恶意代码，增加了供应链攻击风险。

资料来源：

http://ubb.d11k.top/w/yPxAM7

20、黑客滥用超2500个合法安全工具构建无防护攻击通道

2026年1月21日，一场大规模网络攻击活动正滥用Adlice Software旗下安全软件RogueKiller的一个内核驱动程序“truesight.sys”，将其转变为攻击武器。攻击者利用超过2500个有效签名的该驱动变体，在部署勒索软件和远程访问木马前，静默关闭Windows系统上的终端防护方案。这一攻击的核心在于利用旧版驱动签名规则，使一个存在漏洞的2015年之前签名的驱动（TrueSight 2.0.2）能在Windows 11等现代系统上以内核级权限运行。该驱动暴露了一个可接受攻击者输入的命令接口，能强制终止包括众多主流终端检测与响应方案及杀毒软件在内的近200种安全进程。一旦安全防护在系统内核层面被解除，相关警报与遥测数据将停止上报，勒索软件等最终载荷得以在几乎无阻力的情况下执行。受害者通常在文件已被加密或数据遭窃时才能察觉。整个攻击链条通常始于钓鱼邮件等常见方式，后续通过高度混淆的模块下载并安装恶意驱动，从初始入侵到完全控制系统可能仅需30分钟，留给防御者检测与响应的时间窗口极小。该技术对依赖传统签名防御的企业构成严重威胁。

资料来源：

http://9zc.d11k.top/w/InQCaz

往期回顾

工业网络安全情报解码 2026-03期

工业网络安全情报解码 2026-02期

工业网络安全情报解码 2026-01期

工业网络安全情报解码 2025-49期

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。公司主要产品已应用于数千家“关基”企业。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec OT网络安全领军者 OT网络安全领军者《工业网络安全周报-2026年第4期》