网络世界正以前所未有的速度演变。每周涌现的新型骗局、入侵手段和技术滥用，都在揭示日常科技如何轻易被武器化。那些本应助力工作、连接与安全的技术工具，如今正沦为窃取、监视与欺诈的帮凶。

现代黑客不再单纯破坏系统——他们更擅长"合法"利用系统。通过潜伏可信应用、克隆真实网站、诱导用户主动交出控制权，攻击者实现了无感知入侵。数据窃取已非终极目标，掌控数字生活的话语权、资金流与通信命脉才是新型犯罪的核心诉求。

本期威胁日报聚焦这场不对称攻防的最新战况——犯罪集团的智能化升级、防御体系的失效边界，以及互联世界中每个个体面临的安全启示。

1. 东南亚"杀猪盘"帝国覆灭：美国查获50亿美元加密货币资产

美国司法部宣布从柬埔寨、缅甸和老挝的强迫劳动诈骗园区没收价值50亿美元（约127,271枚比特币）的加密货币资产。这些被称为"杀猪盘"（Pig Butchering）的复合式诈骗基地，以虚假恋爱结合高回报投资为诱饵实施跨国诈骗。受害者往往在长期情感培养建立信任后，遭遇资金窃取。

起诉书显示，38岁的陈志（又名Vincent）及其控制的王子集团（Prince Group）涉嫌运营这个强迫劳工在监狱式园区内实施工业化诈骗的犯罪网络。美国财政部同步将王子集团及其关联实体金贝集团、黄金财富度假世界等列为跨国犯罪组织实施制裁。区块链分析公司Elliptic指出，这批被没收的比特币实为2020年从中国与伊朗运营的矿企LuBian窃取所得。

2. 巴西银行木马Maverick利用WhatsApp蠕虫传播

卡巴斯基发现针对巴西用户的新型银行木马Maverick，其通过名为SORVEPOTEL的WhatsApp蠕虫传播，与Coyote木马存在代码重叠。该木马利用开源项目WPPConnect实现WhatsApp Web端消息自动传播，并监控26家巴西银行、6家加密货币交易所及1个支付平台的登录行为。仅10月前十天，巴西境内就拦截了6.2万次通过WhatsApp恶意LNK文件的感染尝试。

3. 研究揭示卫星通信监听风险：民用设备可截获军事机密

马里兰大学与加州大学圣地亚哥分校联合研究发现，使用屋顶安装的民用级卫星天线，可拦截39颗地球同步卫星传输的未加密通信数据。泄露信息包括军方海岸监视数据、企业敏感邮件、ATM网络信息及航班Wi-Fi用户浏览记录。在披露后，T-Mobile已着手加密其卫星通信。

4. 旧协议新威胁：NetBIOS与LLMNR协议暴露凭证窃取风险

Resecurity警告称，NetBIOS名称服务（NBT-NS）和链路本地多播名称解析（LLMNR）等传统Windows协议，无需利用软件漏洞即可导致凭证泄露。攻击者通过Responder等工具可捕获NTLMv2哈希，进而实施离线破解或中继攻击。安全建议包括禁用这两项协议，并强化Kerberos认证及LDAP防护。

5. Unity官网遭篡改：购物车页面植入支付信息窃取程序

游戏引擎开发商Unity Technologies官网的SpeedTree结账页面遭恶意代码注入，导致428名用户的姓名、地址、支付卡信息等敏感数据泄露。事件发现于2025年8月26日，受影响用户已获信用监控服务通知。

6. 美国短信钓鱼三年敛财超10亿美元

《华尔街日报》援引国土安全部数据称，中国犯罪集团通过Telegram销售的钓鱼工具包，伪装包裹递送与道路收费通知，三年间从美国用户窃取超10亿美元。这些通过SIM农场发送的诈骗短信，高峰期单日发送量达33万条。窃取的信用卡信息被用于苹果/谷歌钱包的跨境消费。

7. macOS用户当心：虚假Homebrew网站分发窃密木马

安全人员发现针对macOS用户的精密攻击链，攻击者克隆Homebrew安装页面（homebrewfaq[.]org等），结合剪贴板劫持技术分发Odyssey窃密木马。当用户复制虚假安装命令时，隐藏JavaScript会注入恶意指令。

8. 英国重大网络事件年增130% 曝中国APT长期渗透

英国国家网络安全中心（NCSC）报告显示，2024年9月至2025年8月共处理204起"国家级重大"网络事件，同比激增130%。彭博社另披露中国背景APT组织持续十余年渗透英国政府涉密系统，获取包括政策制定文件在内的中低密级信息。

9. Framework电脑预装签名UEFI组件存Bootkit风险

Eclypsium披露美国电脑厂商Framework约20万台Linux设备预装的签名UEFI shell组件存在BombShell漏洞（CVE-2025-23280/CVE-2025-23330），可绕过安全启动保护加载持久化Bootkit。漏洞核心在于mm内存修改命令的滥用。

10. 哥伦比亚钓鱼攻击利用SVG文件投递AsyncRAT

攻击者通过伪装法院通知的西班牙语钓鱼邮件，诱导用户打开SVG附件跳转至虚假页面，最终投递AsyncRAT远控木马。多阶段攻击链采用HTML应用（HTA）触发中间载荷。

11. 谷歌推出账户恢复新方案：手机号验证+紧急联系人

谷歌消息服务新增安全功能包括：自动拦截标记为垃圾的链接、通过锁屏密码实现"手机号登录"的账户恢复、设置紧急联系人协助解锁账户，以及面向Android 10+用户的密钥验证器。

12. PhantomVAI加载器通过物流主题钓鱼传播多款木马

Palo Alto Networks发现新型C#加载器PhantomVAI通过物流主题钓鱼邮件分发，投递AsyncRAT、XWorm等远控木马。压缩包内的JS/VBS脚本会释放伪装成GIF的加载器，实施虚拟机检测、进程镂空等对抗技术。

13. Whisper 2FA钓鱼工具包月均百万次攻击尝试

Barracuda数据显示，新兴的Whisper 2FA钓鱼即服务（PhaaS）工具已成为第三大流行套件。其通过AJAX技术实现实时凭证外泄循环，持续窃取多因素认证令牌。开发者正持续增加反调试保护层。

14. 青少年黑客组织SLSH宣布暂时隐匿

以英语系青少年为主的Scattered Lapsus$ Hunters（SLSH）组织在FBI查封其数据泄露网站后，宣布将隐匿至2026年。该组织此前已泄露澳航、富士胶片等6家企业的数据。

15. 攻击者滥用RMM工具实施网络渗透

研究发现APT组织与勒索团伙正滥用AnyDesk、ScreenConnect等远程管理工具的"无人值守访问"功能建立持久化控制。攻击者通过钓鱼邮件谎称用户ScreenConnect账户异常登录诱骗安装。

16. 德保联合查封1406个加密货币诈骗网站

德国与保加利亚当局10月初查封1406个虚假交易平台，这些未获BaFin许可的网站诱使用户投资后卷款消失。查封后10天内仍记录到86.6万次访问尝试。

17. NVIDIA修复Linux显卡驱动内核漏洞

NVIDIA发布补丁修复GPU Linux驱动中两个漏洞（CVE-2025-23280/CVE-2025-23330），攻击者可通过本地低权限进程触发内核读写原语。Quarkslab已发布完整PoC。

18. 两款新型安卓远控木马曝光

GhostBat RAT通过WhatsApp虚假应用瞄准印度用户，窃取银行凭证与UPI PIN；HyperRat则具备VNC远程控制、短信群发等能力。两者均采用多层混淆对抗逆向分析。

19. 巴西破获5.4亿美元加密货币洗钱网络

代号"Lusocoin"的行动查处13处地点，冻结30亿雷亚尔（约5.4亿美元）资产。该网络通过空壳公司与交易所，为贩毒、走私等犯罪活动洗钱超90亿美元。

20. 研究发现AWS X-Ray服务可被滥用作C2服务器

安全人员演示如何利用AWS X-Ray的追踪注释功能建立双向隐蔽通信。攻击者通过HTTP PUT注入Base64编码指令，受害端定期轮询获取并执行恶意命令。

21. Adobe Experience Manager修复7个安全漏洞

CVE-2025-54246至CVE-2025-54252漏洞可能导致权限绕过与未授权读写。Adobe已于上月发布补丁，未发现野外利用迹象。

22. 谷歌就面部数据集诉讼达成和解

谷歌因使用含伊利诺伊州居民生物特征数据的Diversity in Faces数据集训练算法，违反BIPA法案达成和解。该数据集由IBM于2019年创建以纠正肤色偏见。

23. 链上犯罪相关加密资产超750亿美元

Chainalysis报告显示，直接由非法实体持有的加密资产约50亿美元，另有超600亿美元钱包资金与这些实体存在关联。2024年通过混币器等手段洗钱规模超400亿美元。

网络安全的边界从未如此模糊。曾经罕见

参考来源：

ThreatsDay Bulletin: $15B Crypto Bust, Satellite Spying, Billion-Dollar Smishing, Android RATs & More