SecLens 情报中心

网安资讯,一网打尽。汇集权威漏洞通告与行业要闻,结合分组浏览、智能过滤、RSS订阅 和 Webhook 推送,多通道拓展您的安全情报视野。

威胁情报

针对攻击活动、样本与IOC的持续情报更新。

  • 2026年前5月社交渗透加剧,赛事诱饵与供应链风险升温

    发布时间 2026-06-05 22:03 (UTC+08:00) 抓取时间 2026-06-06 03:40 (UTC+08:00)

    2026年1—5月,围绕跨境情报窃取、AI加速的网络犯罪、重大赛事诱饵诈骗、软件供应链投毒与人道主义数据暴露等风险同时升温。攻击者一边利用社交平台与虚假招聘渠道对高价值人群进行长期渗透,另一边通过海量钓鱼与快速迭代恶意软件在多地区扩张,并借助品牌仿冒域名和社交账号在大型活动前集中收割。整体内容共包含5个关键安全事件/威胁要点。 1、中国国家背景情报人员利用LinkedIn等招聘平台实施长期渗透,FBI、MI5以及澳大利亚、加拿大、新西兰政府联合通报其通过境外注册的虚假公司伪装“招聘者”,锁定具备安全许可、军事背景或敏感信息接触权限的人群,重点面向印太地区相关军人、安全许可持有人、记者、学者与智库人员,以关系培养方式逐步获取非公开信息服务于北京的战略利益。 2、中国语系网络犯罪团伙TA4922将以牟利为目的的攻击

    扩展字段 
    {
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "银狐",
    "Atlas RAT"
  ],
  "malware_name": null,
  "reference_links": [
    "https://www.cybermaterial.com/p/cyber-briefing-20260605"
  ],
  "related_anonymous": "银狐",
  "target_area": [
    "欧洲组织",
    "Academics",
    "智库员工",
    "记者",
    "Hola Browser用户",
    "西方军事人员",
    "联合国世界粮食计划署(WFP)",
    "Security clearance holders",
    "印太地区军事人员",
    "非洲组织"
  ],
  "target_country": [
    "美国",
    "非洲",
    "澳大利亚",
    "加拿大",
    "英国",
    "新西兰"
  ],
  "target_industry_type": [
    "政府",
    "民营、外资及其它行业",
    "科教卫"
  ]
}
    微步银狐情报 group:银狐 silverfox tag:Atlas RAT tag:银狐 threatbook threat_intelligence threat_intelligence

  • 跨国诈骗链条、加密制裁与VPN漏洞在野并发

    发布时间 2026-06-05 13:00 (UTC+08:00) 抓取时间 2026-06-06 01:41 (UTC+08:00)

    2026年5月中下旬至6月初,跨国网络诈骗、地缘政治关联的加密金融制裁、针对政府与关键机构的个人数据外泄,以及面向企业的钓鱼入侵与VPN漏洞在野利用同时活跃,呈现“犯罪链条跨平台运营—资金快速洗白—利用已知缺陷横向渗透”的复合态势。其中包含5个关键安全事件与威胁要点。 1、2026年5月,美国多部门执法力量与私营企业联合开展“Disruption Week”行动,基于共享威胁情报,主动处置东南亚跨国犯罪网络运营的超过140万个社交媒体与邮件账号,并下线支撑诈骗的服务器与托管基础设施;该行动在泰国逮捕7名诈骗者并推动泰国警方新增立案,同时促成冻结与洗钱相关的加密货币资金超过380万美元,目标明确指向“加密货币投资诈骗—跨平台引流—加密资产洗白”的全链条。 2、2026年6月初,美国财政部制裁伊朗最大加密货币交易所

    扩展字段 
    {
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "伊斯兰革命卫队",
    "ValleyRAT",
    "SilentRunLoader",
    "银狐",
    "Atlas RAT",
    "RomulusLoader"
  ],
  "malware_name": null,
  "reference_links": [
    "https://buaq.net/go-421245.html"
  ],
  "related_anonymous": "伊斯兰革命卫队,银狐",
  "target_area": [
    "Google",
    "西班牙国民警卫队",
    "西班牙国家警察",
    "西班牙国家总检察长办公室"
  ],
  "target_country": [
    "泰国",
    "意大利",
    "英国",
    "德国",
    "南非"
  ],
  "target_industry_type": [
    "政府",
    "民营、外资及其它行业"
  ]
}
    微步银狐情报 group:伊斯兰革命卫队,银狐 silverfox tag:Atlas RAT tag:RomulusLoader tag:SilentRunLoader tag:ValleyRAT tag:伊斯兰革命卫队 tag:银狐 threatbook threat_intelligence threat_intelligence

  • TA4922钓鱼投递RomulusLoader与Atlas RAT

    发布时间 2026-06-04 21:30 (UTC+08:00) 抓取时间 2026-06-05 09:41 (UTC+08:00)

    Proofpoint跟踪的新命名网络犯罪团伙TA4922在3月至4月加大钓鱼活动,通过企业邮箱投递带有AI辅助生成内容的诱饵邮件,试图远程进入受害者环境以实施数据窃取、欺诈及倒卖访问权限。其邮件主题伪装为税务稽核、人力资源通知或客服沟通,并引导收件人访问文件共享平台上的URL下载ZIP文件;受害者打开含恶意DLL的ZIP并触发DLL侧加载后,会部署新发现的RomulusLoader或SilentRunLoader以投递更多恶意软件。SilentRunLoader为Python信息窃取程序,代码中存在大量未替换占位符及简体中文注释,被评估为使用LLM快速生成。部分邮件还投递远控木马Atlas RAT,该多阶段后门可与C2交互下载核心模块与插件,具备侦察、数据外传、音视频录制、键盘记录、剪贴板与截图窃取及重启系统等

    扩展字段 
    {
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "SilentRunLoader",
    "银狐",
    "Atlas RAT",
    "RomulusLoader"
  ],
  "malware_name": [
    "silent_run_and_upload.py"
  ],
  "reference_links": [
    "https://nationalcybersecurity.com/chinese-cybercrime-group-deploys-ai-coded-malware-campaigns-cybercrime-infosec/"
  ],
  "related_anonymous": "银狐",
  "target_area": null,
  "target_country": [
    "新加坡",
    "日本",
    "英国",
    "印度",
    "德国"
  ],
  "target_industry_type": [
    "国央企"
  ]
}
    微步银狐情报 group:银狐 silverfox tag:Atlas RAT tag:RomulusLoader tag:SilentRunLoader tag:银狐 threatbook threat_intelligence threat_intelligence

  • TA4922钓鱼行动扩至多国并混用RAT与RMM

    发布时间 2026-06-04 21:23 (UTC+08:00) 抓取时间 2026-06-05 09:41 (UTC+08:00)

    2025年春季起,一个中文网络犯罪行动TA4922进入安全监测视野,早期主要以日本为核心目标,使用税务主题钓鱼、冒充真实员工等方式诱导受害者,并通过远控木马获取系统访问权限。到2026年4月-2026年6月初,该团伙在两个月内显著提速并快速扩张到多国,同时在投递方式、后续链路与载荷选择上呈现“多工具、多路径、强适配”的特征,给邮件安全拦截、恶意样本分类与归因带来更高不确定性。主要包含3个关键安全要点。 1、2025年春季-2026年6月初:TA4922将钓鱼活动从日本扩展到东亚与欧洲、非洲多国(日本占比仍最高,覆盖台湾、韩国、新加坡、马来西亚、印度尼西亚,以及英国、德国、意大利和南非),诱饵邮件严格本地化到语言与方言层面,常冒充财务部门、税务机关、人力资源团队或受害者同事,以税务与发票等金融主题实施社会工程;大

    扩展字段 
    {
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "RMM",
    "ValleyRAT",
    "SilentRunLoader",
    "银狐",
    "Atlas RAT",
    "RomulusLoader"
  ],
  "malware_name": null,
  "reference_links": [
    "https://www.darkreading.com/threat-intelligence/china-ta4922-cybercrime-attacks-globally"
  ],
  "related_anonymous": "银狐",
  "target_area": null,
  "target_country": [
    "马来西亚",
    "中国台湾",
    "意大利",
    "韩国",
    "新加坡",
    "印度尼西亚",
    "日本",
    "英国",
    "南非",
    "德国"
  ],
  "target_industry_type": [
    "国央企",
    "金融"
  ]
}
    微步银狐情报 group:银狐 silverfox tag:Atlas RAT tag:RMM tag:RomulusLoader tag:SilentRunLoader tag:ValleyRAT tag:银狐 threatbook threat_intelligence threat_intelligence

  • TA4922借钓鱼投放Atlas RAT扩大多国入侵

    发布时间 2026-06-04 15:59 (UTC+08:00) 抓取时间 2026-06-06 05:41 (UTC+08:00)

    2026年6月4日,Proofpoint披露其追踪的威胁行为体TA4922近期在全球范围内加大活动,使用间谍型远程访问木马Atlas RAT对多国组织发起钓鱼传播与入侵,影响范围包括东亚、南非,并扩展至德国、意大利、英国等欧洲国家。该活动通过WhatsApp、LINE和Microsoft Teams发送带有工资单、发票、税务审计、增值税申报或政府通知等诱饵信息,引导受害者打开被植入的文档以投放Atlas RAT。该木马可实现插件与载荷下载、系统侦察、文件与注册表操作、键盘记录、截图、音频与摄像头录制、浏览器历史窃取以及系统关机/重启等控制。研究人员还发现新型加载器RomulusLoader,TA4922可借助AnyDesk、SyncFuture等远程管理工具进行进程操纵,以下载并执行额外载荷;其活动自3月起上升

    扩展字段 
    {
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [
    "网络钓鱼事件"
  ],
  "gpt_tags": [
    "银狐",
    "Atlas RAT",
    "RomulusLoader"
  ],
  "malware_name": null,
  "reference_links": [
    "https://computerhoy.20minutos.es/ciberseguridad/hackers-chinos-estan-utilizando-un-nuevo-malware-atlas-rat-para-realizar-ciberataques-europa_6979001_0.html"
  ],
  "related_anonymous": "银狐",
  "target_area": null,
  "target_country": [
    "意大利",
    "英国",
    "德国"
  ],
  "target_industry_type": [
    "国央企"
  ]
}
    微步银狐情报 event:网络钓鱼事件 group:银狐 silverfox tag:Atlas RAT tag:RomulusLoader tag:银狐 threatbook threat_intelligence phishing threat_intelligence

  • TA4922在多地区投放多款恶意软件牟利

    发布时间 2026-06-04 15:34 (UTC+08:00) 抓取时间 2026-06-05 11:42 (UTC+08:00)

    2026年6月4日,Proofpoint通报网络犯罪组织TA4922在多个地区开展以牟利为目的的恶意软件投放活动,目标涉及日本、英国、德国及东南亚的组织。活动中使用并扩展了多种恶意软件与加载器,包括Atlas RAT、RomulusLoader、SilentRunLoader和ValleyRAT,表现出较高的行动频率与战术调整能力。

    扩展字段 
    {
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "ValleyRAT",
    "SilentRunLoader",
    "银狐",
    "Atlas RAT",
    "RomulusLoader"
  ],
  "malware_name": null,
  "reference_links": [
    "https://www.itsecuritynews.info/proofpoint-warns-ta4922-deploys-atlas-rat-romulusloader-silentrunloader-and-valleyrat/"
  ],
  "related_anonymous": "银狐",
  "target_area": null,
  "target_country": [
    "日本",
    "英国",
    "德国"
  ],
  "target_industry_type": null
}
    微步银狐情报 group:银狐 silverfox tag:Atlas RAT tag:RomulusLoader tag:SilentRunLoader tag:ValleyRAT tag:银狐 threatbook threat_intelligence threat_intelligence

  • TA4922扩展至欧非并迭代远控工具链

    发布时间 2026-06-04 14:00 (UTC+08:00) 抓取时间 2026-06-05 09:41 (UTC+08:00)

    一支以盈利为目的、中文环境活跃的网络犯罪团伙TA4922在近月内快速扩张攻击版图并迭代其恶意工具链:攻击活动同时混用恶意软件投递、凭证钓鱼与信用卡盗刷等欺诈手段,核心目标是获取受害者系统的远程访问权限,用于数据窃取、金融欺诈以及倒卖“访问权”。其社会工程话术高度本地化,覆盖税务、财务与人事主题,并刻意将受害者从电子邮件引导至即时通讯工具以延长欺骗链路、规避邮件侧安全可见性。主要包含3个关键安全要点。 1、近月内,TA4922的地理覆盖从东亚扩展到欧洲与非洲:历史上重点攻击日本,同时针对中国台湾、韩国、新加坡、印度;近月内进一步触达英国、德国、意大利与南非,诱饵内容按目标语言与业务场景定制,常以工资单、发票、HR通知等为主题,提升打开率与执行率。 2、近月内,TA4922显著加速更新恶意软件体系并采用更隐蔽的投递

    扩展字段 
    {
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [],
  "gpt_tags": [
    "ValleyRAT",
    "SilentRunLoader",
    "银狐",
    "Atlas RAT",
    "Winos4.0",
    "RomulusLoader"
  ],
  "malware_name": null,
  "reference_links": [
    "https://www.infosecurity-magazine.com/news/ta4922-global-expansion/"
  ],
  "related_anonymous": "银狐",
  "target_area": null,
  "target_country": [
    "中国台湾",
    "韩国",
    "意大利",
    "新加坡",
    "日本",
    "印度",
    "英国",
    "德国",
    "南非"
  ],
  "target_industry_type": [
    "政府"
  ]
}
    微步银狐情报 group:银狐 silverfox tag:Atlas RAT tag:RomulusLoader tag:SilentRunLoader tag:ValleyRAT tag:Winos4.0 tag:银狐 threatbook threat_intelligence threat_intelligence

  • NFSP因托管商cPanel漏洞遭勒索软件致运维受扰

    发布时间 2026-06-04 13:02 (UTC+08:00) 抓取时间 2026-06-05 09:41 (UTC+08:00)

    2026年6月4日,通报称NFSP遭遇勒索软件事件,攻击据报源于其网站托管服务商环境中的cPanel关键漏洞被利用。入侵后攻击者在环境内投放勒索软件,导致运维受扰、访问受限,NFSP为处置风险暂停了与Microsoft Office相关的邮件链接以隔离影响并开展调查。同日提到的威胁情报指出,中文威胁组织TA4922在亚洲、欧洲和南非扩大活动,主要通过钓鱼、社会工程手段投放远程访问木马(RAT),以维持持久访问并窃取凭据与敏感数据。

    扩展字段 
    {
  "attack_method": {
    "attack_type": null,
    "attck_count": 0,
    "is_command": null,
    "is_new_attack": null
  },
  "event_types": [
    "勒索软件事件"
  ],
  "gpt_tags": [
    "银狐"
  ],
  "ioc": {
    "domain": [
      "x.com",
      "instagram.com"
    ],
    "ioc": [
      "x.com",
      "instagram.com"
    ]
  },
  "malware_name": null,
  "reference_links": [
    "https://undercodenews.com/a-darkweb-threat-actor-claim-nfsp-ransomware-strike-exposes-critical-cpanel-weakness-as-global-cybercrime-wave-intensifies-video/"
  ],
  "related_anonymous": "银狐",
  "target_area": [
    "NFSP"
  ],
  "target_country": null,
  "target_industry_type": [
    "国央企"
  ]
}
    微步银狐情报 event:勒索软件事件 group:银狐 silverfox tag:银狐 threatbook threat_intelligence ransomware threat_intelligence