跨国诈骗链条、加密制裁与VPN漏洞在野并发
摘要
2026年5月中下旬至6月初,跨国网络诈骗、地缘政治关联的加密金融制裁、针对政府与关键机构的个人数据外泄,以及面向企业的钓鱼入侵与VPN漏洞在野利用同时活跃,呈现“犯罪链条跨平台运营—资金快速洗白—利用已知缺陷横向渗透”的复合态势。其中包含5个关键安全事件与威胁要点。 1、2026年5月,美国多部门执法力量与私营企业联合开展“Disruption Week”行动,基于共享威胁情报,主动处置东南亚跨国犯罪网络运营的超过140万个社交媒体与邮件账号,并下线支撑诈骗的服务器与托管基础设施;该行动在泰国逮捕7名诈骗者并推动泰国警方新增立案,同时促成冻结与洗钱相关的加密货币资金超过380万美元,目标明确指向“加密货币投资诈骗—跨平台引流—加密资产洗白”的全链条。 2、2026年6月初,美国财政部制裁伊朗最大加密货币交易所Nobitex及多名关键高管,并同步点名另外3家伊朗交易平台;Nobitex被指为勒索软件行为者与恐怖活动相关交易提供便利,并在2025年处理了伊朗全国超过一半的数字资产流入,协助伊斯兰革命卫队进行大规模制裁规避,制裁措施要求冻结所有受美国管辖的相关资产并禁止美国公民与被点名交易
正文
## 事件背景 2026年6月5日,多个网络安全事件被披露。美国司法部的诈骗中心联合多家私营企业,针对网络加密货币投资诈骗展开了“干扰周”行动,成功关闭了东南亚跨国犯罪网络运营的140万个社交媒体和电子邮件账户,并逮捕了七名诈骗嫌疑人。此外,西班牙国家警察逮捕了一名与数据泄露事件相关的个人,该事件涉及多个关键政府机构的敏感信息泄露。 ## 攻击手法 TA4922网络犯罪团伙正在扩大其网络钓鱼活动,目标包括德国、意大利、南非和英国的组织。该团伙通过人力资源、企业税务和发票主题的诱饵发起凭证钓鱼攻击,试图将受害者的通信转移到WhatsApp、LINE和Microsoft Teams等非监控的消息渠道。攻击者还利用DLL侧载技术部署远程访问木马,如ValleyRAT和Atlas RAT,并使用RomulusLoader和SilentRunLoader等工具。这些高级加载器会投放二次可执行文件,专门针对Google Chrome提取存储的凭证、Cookies和浏览信息。 ## 影响评估 这些网络安全事件的发生主要源于网络犯罪团伙的财务动机,导致了大规模的数据盗窃和企业欺诈。数据泄露事件使多个政府机构面临重大安全风险,敏感信息的公开可能导致更广泛的安全隐患。同时,TA4922的活动可能使其盗取的访问权限被直接出售给其他间谍组织,进一步加剧了网络安全威胁。 ## 处置建议 针对这些事件,相关机构采取了多项应对措施,包括逮捕涉案人员、冻结与诈骗活动相关的加密货币资产,以及对受影响的VPN系统发布安全补丁和应急措施。此外,CISA已将PAN-OS的认证绕过漏洞列入已知被利用漏洞目录,以提高对该漏洞的关注和防范。
标签
- group:伊斯兰革命卫队,银狐
- silverfox
- tag:Atlas RAT
- tag:RomulusLoader
- tag:SilentRunLoader
- tag:ValleyRAT
- tag:伊斯兰革命卫队
- tag:银狐
- threatbook
- threat_intelligence
扩展字段
{
"attack_method": {
"attack_type": null,
"attck_count": 0,
"is_command": null,
"is_new_attack": null
},
"event_types": [],
"gpt_tags": [
"伊斯兰革命卫队",
"ValleyRAT",
"SilentRunLoader",
"银狐",
"Atlas RAT",
"RomulusLoader"
],
"malware_name": null,
"reference_links": [
"https://buaq.net/go-421245.html"
],
"related_anonymous": "伊斯兰革命卫队,银狐",
"target_area": [
"Google",
"西班牙国民警卫队",
"西班牙国家警察",
"西班牙国家总检察长办公室"
],
"target_country": [
"泰国",
"意大利",
"英国",
"德国",
"南非"
],
"target_industry_type": [
"政府",
"民营、外资及其它行业"
]
}