安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员发现一款名为Fast16的Lua破坏性恶意软件，其创建时间早于Stuxnet，旨在篡改高精度计算软件结果。该软件曾出现在ShadowBrokers泄露的NSA攻击工具中，并于2005年被用于攻击。安全公司认为Fast16可能由美国开发。Fast16的补丁模式旨在对土木工程及物理过程模拟软件进行战略性破坏，通过在计算中引入微小但系统性的误差，长期降低工程系统性能甚至造成灾难性后果。蠕虫组件可感染同网络其他系统，通过在不同机器验证计算结果来阻止破坏被发现。Fast16弥合了早期不为人知的开发项目与后期基于Lua/LuaJIT的广泛工具包之间的演进鸿沟，证明在2000年代中期国家级网络破坏能力已完全开发部署完毕。

研究团队发现ClickFix社会工程攻击出现新变种，攻击者突破传统PowerShell和Rundll32依赖，转而滥用cmdkey和regsvr32等Windows原生实用程序实现多阶段隐蔽攻击。该变种通过伪造验证码页面诱骗用户在运行对话框执行恶意命令，利用cmdkey存储远程访问凭据后，通过regsvr32从UNC路径加载并执行远程DLL，实现凭证暂存、载荷检索与静默执行的完整攻击链。专家建议监控出站SMB/UNC访问，限制cmdkey外部使用，并持续对用户进行ClickFix社会工程攻击教育。

Trigona勒索软件关联组织近期在2026年3月的攻击中部署了名为"uploader_client.exe"的定制命令行数据窃取工具，标志着其策略的重大转变。该工具与攻击者控制的服务器硬编码通信，默认使用五个并行连接加速传输，并支持在发送2048 MB数据后轮换TCP连接以规避网络流量监控。攻击者可通过--exclude-ext标志过滤.mp3、.mp4等低价值文件，精准窃取发票及高价值PDF文档。

研究人员发现LMDeploy（开源LLM部署工具包）的高危SSSRF漏洞CVE-2026-33626在公开披露后12小时31分钟内即遭在野利用。漏洞CVSS评分7.5，存在于LMDeploy视觉语言模块的load_image()函数，该函数获取任意URL时未验证内部/私有IP地址，允许攻击者访问云元数据服务、内部网络和敏感资源，可窃取云凭据、端口扫描内网、横向移动。漏洞影响0.12.0及此前所有启用视觉语言支持的版本。

研究员发现苹果App Store中存在26款名为FakeWallet的恶意应用，冒充Bitpie、Coinbase、imToken、TokenPocket和Trust Wallet等主流加密钱包，自2025年秋季起窃取恢复短语和私钥。应用启动后将用户重定向至仿冒App Store的浏览器页面分发木马化正版钱包。应用图标与原始一致但名称含故意拼写错误（如LeddgerNew），部分应用名称和图标与加密货币无关，作为占位符引导用户通过企业配置文件安装钱包应用。苹果在披露后已下架多数应用，未发现通过Google Play分发。

法国警方在旺代地区逮捕20岁男性黑客HexDex，其被控从数十个网站窃取私人信息并在BreachForums和DarkForums上泄露。调查始于2025年12月底，收到近100起数据盗窃报案。HexDex涉嫌攻击约15个法国体育联合会，以及法国教育部、枪支持有者国家数据库SIA、国家警察培训平台e-campus、摩泽尔省警察局、国家领土凝聚力署ANCT、公共服务招聘门户和巴黎爱乐音乐厅等。网络犯罪旅BL2C查扣其计算机设备并控制其DarkForum账号，该账号现已显示被当局查封通知。目前嫌疑人仍被拘留进行设备取证分析。