文章总结： 文档分析了2026年红队钓鱼攻击的新手法，重点包括针对EDR未覆盖的供应链（如外包人员和软件供应链）、利用小众文件传输通道（工单系统、个人邮箱）以及攻击防护薄弱的Mac平台。关键发现显示红队正通过邪修套路绕过传统防护，攻击效率高且技术迭代速度快。可操作建议包括加强供应链安全管理、限制工单系统文件格式、提升员工安全意识等。 综合评分： 84 文章分类： 红队,渗透测试,内网渗透,安全意识,漏洞分析

2026，红队钓鱼的邪修手法

原创

ThreatBook ThreatBook

微步在线

2026年6月15日 08:30 北京

在小说阅读器读本章

去阅读

最近，有一波红队开始研究邪修投毒套路了。

正统钓鱼“规规矩矩”，AI撰写正文，附件是加密压缩包，太容易被管控措施拦截，因此手法必须要有想象力。

具体手法，下面细说。

攻击入口：针对EDR尚未覆盖的供应链

首当其冲的是针对第三方驻场、外包进行钓鱼。

从去年开始，针对外包的钓鱼明显增多。红队伪装为外包公司，通过飞书向驻场运维发送通知.rar，内含一个伪装为pdf的exe文件，运行后加载内存Payload对抗杀软。

由于外包人员大多都不在公司EDR覆盖范围之内，但同时具备一定的内网权限，红队拿到合法凭据后可以快速横移。

其次是软件供应链，突破杀软、桌管后分发恶意代码。

在一次演练中，红队获取了杀软管理员身份，将恶意文件加白后，向多台终端推送恶意文件并执行。

样本运行后调用cmd命令，动态加载shellcode。

这类手法攻击效率很高，如果集权系统存在RCE漏洞或者未开启多因素认证，被红队利用的概率不算低。

需要注意的是，如果是All in One软件被突破，红队有可能会同时接管所有防护能力，危害非常大。

钓鱼手法：利用小众的文件传输通道

相比选择防护更薄弱的目标，红队更邪修的套路，是一些意料之外的文件传输通道。

一、针对在线工单系统

如下图所示，红队伪装为某制造企业的客户，在其工单系统上提交差评反馈，附件为经过篡改图标后的的CS木马。

售后人员没有任何防备就直接下载、运行了恶意样本，安全人员也没有通过修改配置，去限制工单系统的上传文件格式。

类似这样的文件传输通道还有很多，小程序、APP、网页应用……不可能面面俱到。就算不能传文件，也能私信下载链接。

二、针对个人邮箱

相比企业邮箱，163、qq这类个人邮箱没有邮件网关的保护，也被红队重点关注，诱饵多为与用户个人强相关的信息。

攻击平台：针对尚处“裸奔状态”的Mac

与外包人员PC类似，多数Mac机器也因为各种原因，EDR的安装率很低，处于裸奔状态，因此红队只需要绕过Mac内置防护技术即可。手法可参考macOS，正在大规模失陷

在某次实战演练期间，红队伪装为求职者，向目标单位HR投递压缩包，内含伪装为简历的pkg格式远控程序。

样本运行后，会释放魔改过的FRP代理、扫描、窃密等多个后门工具，通过curl命令绕过Gatekeeper校验，创建plist启动项实现持久化运行。

总结

从微步OneSEC EDR在近几次实战演练捕获到的样本来看，传统邮件钓鱼很难投递成功，红队不得不去研究一些邪修套路，不然这免杀不就白写了么。

而且微步发现，红队将新技术应用于实战的速度，最快已经可以达到天级，这背后大概率有Agent Skills定期检索最新PoC，配合AI Coding快速迭代。

不过，邪修套路千万条，核心就是一条：哪里防护技术缺失、安全意识薄弱，红队就会追着哪里猛打。

攻防演练期间，部署OneSEC达500点以上的用户，可免费享受5*8小时MEDR专家值守服务，线上专家实时协助开展防御工作。

联系微步

扫码即刻沟通试用OneSEC

↓↓↓

·END·

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线 ThreatBook ThreatBook《2026，红队钓鱼的邪修手法》