Chasing the Silver Fox: Cat & Mouse in Kernel Shadows Check Point Research发现Silver Fox APT利用未知漏洞驱动amsdk.sys终止受保护进程，绕过安全软件。该驱动微软签名，未被现有检测机制发现。攻击者使用双驱动策略针对不同Windows版本，并在补丁发布后修改驱动以规避检测。最终payload为ValleyRAT远程访问木马。... 2025-8-28 12:56:11 | 阅读: 17 | 收藏 | 0day Fans - research.checkpoint.com watchdog windows valleyrat antimalware microsoft

ZipLine Campaign: A Sophisticated Phishing Attack Targeting US Companies Check Point Research发现了一项针对美国关键制造企业的复杂社会工程攻击活动ZipLine。攻击者通过公司“联系我们”表单伪装成潜在商业伙伴，与受害者进行数周邮件交流以建立信任后，发送包含恶意ZIP文件的邮件。该文件内含名为MixShell的自定义内存驻留后门程序，利用DNS TXT隧道和HTTP回退进行C2通信，并支持文件操作、反向代理会话等功能。攻击者还利用看似合法的域名和网站增加可信度。... 2025-8-26 12:56:58 | 阅读: 14 | 收藏 | 0day Fans - research.checkpoint.com herokuapp mixshell powershell hxxps payload

CVE-2025-54136 – MCPoison Cursor IDE: Persistent Code Execution via MCP Trust Bypass Check Point Research发现Cursor AI IDE中的Model Context Protocol (MCP)配置文件存在安全漏洞。一旦用户批准某个MCP配置文件后，攻击者可以修改其内容为恶意代码（如反向shell），而系统不会再次提示用户确认。这可能导致持久性远程代码执行和系统被控制。该漏洞已在最新版本中修复，现要求对任何MCP更改重新审批。... 2025-8-5 12:54:17 | 阅读: 15 | 收藏 | 0day Fans - research.checkpoint.com mcp approval victim reverse attacker

Before ToolShell: Exploring Storm-2603’s Previous Ransomware Operations Check Point Research分析了威胁行为者Storm-2603及其使用的ak47c2恶意软件框架，该框架包括HTTP和DNS客户端。Storm-2603利用多种勒索软件（如LockBit Black和Warlock）及开源工具（如PsExec和masscan）攻击拉丁美洲和亚太地区的组织，并结合DLL劫持技术部署恶意软件。... 2025-7-31 18:41:24 | 阅读: 17 | 收藏 | 0day Fans - research.checkpoint.com ransomware 2603 microsoft warlock c2

The State of Ransomware – Q2 2025 2025年第二季度勒索软件生态系统发生显著变化：多个主要RaaS团伙消失或减少活动；公开列出的受害者数量下降；新型团伙如Qilin崛起并采用创新性勒索手段；数据窃取与曝光成为主要勒索方式；全球执法行动和支付限制推动赎金支付率降至低位。... 2025-7-31 12:40:58 | 阅读: 27 | 收藏 | 0day Fans - research.checkpoint.com ransomware dragonforce extortion q2 qilin

Sealed Chain of Deception: Actors leveraging Node.JS to Launch JSCeal Check Point Research发现名为JSCEAL的恶意活动，通过伪装成加密货币应用诱导用户下载恶意软件。攻击者利用Node.js和编译JavaScript隐藏代码，窃取敏感数据并进一步操控系统。... 2025-7-29 13:14:31 | 阅读: 16 | 收藏 | 0day Fans - research.checkpoint.com download tradingview windows malicious desktops

Iranian Educated Manticore Targets Leading Tech Academics 伊朗网络威胁组织Educated Manticore针对以色列记者、网络安全专家及学者发起网络钓鱼攻击，伪装成虚构公司员工通过邮件或WhatsApp发送虚假链接，诱导受害者进入伪造的Google登录页面或Google Meet邀请，窃取其凭证及双因素认证代码。... 2025-6-25 12:55:5 | 阅读: 9 | 收藏 | 0day Fans - research.checkpoint.com phishing manticore educated victim

In the Wild: Malware Prototype with Embedded Prompt Injection 这篇文章介绍了一种新型恶意软件样本，其采用了一种不寻常的逃避机制——尝试通过提示注入（“忽略所有之前的指令...”）来操控处理样本的AI模型。该样本可能是一个孤立组件或实验性概念验证。尽管攻击在某些大语言模型上失败，但其技术细节和未来对威胁格局的影响值得探讨。... 2025-6-25 12:9:13 | 阅读: 12 | 收藏 | 0day Fans - research.checkpoint.com injection llm mcp client opaque

Fake Minecraft mods distributed by the Stargazers Ghost Network to steal gamers’ data Check Point Research发现针对Minecraft用户的多阶段攻击活动，通过GitHub分发伪装成作弊工具的恶意软件。该恶意软件分为三个阶段：前两个用Java编写需Minecraft环境运行，第三个为.NET窃取器。开发者为俄语使用者。... 2025-6-18 13:10:57 | 阅读: 20 | 收藏 | 0day Fans - research.checkpoint.com malicious stealer stage mods github

From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery Check Point Research发现了一个活跃的恶意软件活动，利用Discord的过期或删除邀请链接进行攻击。攻击者通过注册vanity链接劫持这些链接，并结合ClickFix钓鱼技术、多阶段加载器和时间规避策略，悄悄分发AsyncRAT和定制Skuld Stealer（针对加密钱包）。payload通过GitHub、Bitbucket等可信云服务交付以避免检测。... 2025-6-12 13:0:12 | 阅读: 12 | 收藏 | 0day Fans - research.checkpoint.com invite malicious bitbucket attackers skuld

CVE-2025-33053, Stealth Falcon and Horus: A Saga of Middle Eastern Cyber Espionage Check Point Research发现APT组织Stealth Falcon利用零日漏洞CVE-2025-33053通过.url文件传播恶意软件，主要针对中东和非洲的政府机构。该漏洞允许远程代码执行，微软已发布补丁。攻击者使用WebDAV服务器部署Horus Agent等定制植入程序，并结合多种隐蔽技术进行网络间谍活动。... 2025-6-10 17:31:52 | 阅读: 19 | 收藏 | 0day Fans - research.checkpoint.com c2 shellcode stealth loader horus

The Sting of Fake Kling: Facebook Malvertising Lures Victims to Fake AI Generation Website 攻击者冒充AI平台Kling AI，通过虚假Facebook广告引诱用户访问伪造网站。用户生成媒体文件时下载伪装成图片或视频的恶意软件，使用韩文填充字符隐藏真实扩展名，并利用.NET Native AOT编译技术规避检测。执行后安装信息窃取程序并监控用户活动，在全球传播尤其影响亚洲地区。... 2025-5-20 13:4:51 | 阅读: 16 | 收藏 | 0day Fans - research.checkpoint.com banco kling loader facebook stage

Inferno Drainer Reloaded: Deep Dive into the Return of the Most Sophisticated Crypto Drainer Check Point Research发现了一个针对加密货币用户的复杂钓鱼活动，利用Discord平台将用户引导至伪造的Collab.Land机器人和钓鱼网站。攻击者通过恶意交易窃取资金，并使用单次使用的智能合约和链上加密配置等高级反检测技术绕过安全机制。尽管Inferno Drainer在2023年底宣布关闭，但其活动持续至2025年，并不断升级技术以规避检测。过去六个月中，超过3万名用户受害，损失达900万美元。... 2025-5-7 08:50:0 | 阅读: 6 | 收藏 | 0day Fans - research.checkpoint.com drainer inferno phishing attackers payload

Exploring the State of AI in Cyber Security: Past, Present, and Future 人工智能正在改变网络安全领域，既用于威胁检测和漏洞分析等防御手段，也被用于身份欺骗、LLM中毒及恶意软件生成等攻击方式。同时，企业中AI服务的普及增加了敏感数据泄露风险。... 2025-4-30 12:55:14 | 阅读: 13 | 收藏 | 0day Fans - research.checkpoint.com security analysis llms malicious llm

CVE-2025-24054, NTLM Exploit in the Wild 微软修复了CVE-2025-24054漏洞，该漏洞通过恶意.library-ms文件泄露NTLM哈希。攻击者在补丁发布后8天开始利用此漏洞，针对波兰和罗马尼亚机构。用户只需轻微操作即可触发攻击。... 2025-4-16 13:46:36 | 阅读: 42 | 收藏 | 0day Fans - research.checkpoint.com ntlmv2 microsoft 24054 ssp library

Renewed APT29 Phishing Campaign Against European Diplomats 俄罗斯相关威胁组织APT29发起钓鱼攻击，伪装欧洲外交部发送假邀请函至外交机构。邮件含恶意链接下载GRAPELOADER木马用于指纹识别、持久性和有效载荷交付，并发现WINELOADER新变种。两者代码结构相似，均采用混淆和加密技术提升隐蔽性。... 2025-4-15 13:1:7 | 阅读: 11 | 收藏 | 0day Fans - research.checkpoint.com wineloader grapeloader wine c2 memory

Waiting Thread Hijacking: A Stealthier Version of Thread Execution Hijacking Check Point Research提出了一种名为“等待线程劫持”（Waiting Thread Hijacking）的新进程注入技术。该方法通过利用目标进程中处于等待状态的线程，在不触发常见安全警报的情况下实现代码注入。它通过修改等待线程的返回地址来执行恶意代码，并避免使用传统技术中容易被检测到的API和操作。该技术展示了攻击者如何绕过现代端点检测系统的挑战，并为防御提供了新的视角。... 2025-4-14 16:0:38 | 阅读: 12 | 收藏 | 0day Fans - research.checkpoint.com shellcode hijacking injection remote

VanHelsing, new RaaS in Town VanHelsing RaaS 是一个新兴的勒索软件即服务项目，于2025年3月7日上线。它允许不同水平的参与者加入，并提供多平台支持和直观控制面板。在不到两周内已感染三个受害者，并要求支付高额赎金。... 2025-3-23 13:1:24 | 阅读: 16 | 收藏 | 0day Fans - research.checkpoint.com ransomware encryption network vanhelsing drives

Blind Eagle: …And Justice for All Blind Eagle (APT-C-36) targets Colombian institutions with malicious .url files exploiting CVE-2024-43451, delivering WebDAV-based malware. The group uses file-sharing platforms like Google Drive and GitHub to distribute payloads, including Remcos RAT. Over 1,600 victims were infected in a single campaign, highlighting the group's sophisticated tactics and South American origins.... 2025-3-10 12:55:35 | 阅读: 11 | 收藏 | 0day Fans - research.checkpoint.com eagle 0500 ddns github

Modern Approach to Attributing Hacktivist Groups 近年来，网络激进主义逐渐从简单的网站破坏发展为复杂的网络攻击和影响力行动。国家支持的团体伪装成独立的网络激进主义者，利用多种手段掩盖真实身份并减少国际谴责。研究通过主题建模和文体分析方法，分析数千条公开信息，揭示了这些团体间的关联及其背后的动机。... 2025-2-27 14:1:4 | 阅读: 6 | 收藏 | 0day Fans - research.checkpoint.com hacktivist analysis modeling stylometric hacktivism