安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员披露，与伊朗有关的黑客组织MuddyWater（又名Seedworm、Static Kitten）近期发起大范围网络间谍活动，目标覆盖多个国家和行业，其中包括一家韩国大型电子制造商、政府机构、中东一座国际机场、亚洲工业企业及教育机构。研究人员称，攻击者于2026年2月20日至27日在该韩国企业网络内活动约一周，疑似以情报搜集为导向，重点关注工业与知识产权窃取、政府间谍活动及获取下游客户或企业网络访问权限。此次行动大量使用DLL侧加载、PowerShell和Node.js加载器，并借助伪造Windows提示、注册表配置单元窃取、Kerberos票据滥用等方式获取凭证，还通过公开文件共享服务sendit.sh实施数据外传，以降低异常流量暴露风险。

研究人员披露了一起名为“Operation HumanitarianBait”的网络攻击活动。该行动利用伪造的人道主义援助相关文档作为诱饵，面向俄语用户实施定向攻击。攻击链中，恶意载荷托管在GitHub平台，受害者在接触并打开相关诱饵文件后，可能进一步下载并执行后续程序。最终载荷为基于Python开发的间谍软件，说明攻击者具备利用常见开发语言和公开平台隐藏恶意活动的能力。现有信息表明，这是一场结合社会工程、远程托管载荷与信息窃取能力的攻击行动，重点在于借助援助主题提升诱骗成功率，并针对特定语言群体展开投放。

研究人员发现TrickMo安卓银行木马出现新变种，其一项关键变化是利用TON区块链基础设施进行隐蔽的命令与控制（C2）通信。按照披露信息，这种做法意在提升攻击活动的隐匿性，降低传统网络层面检测与拦截的效果。标题同时提到，该变种还结合SOCKS5能力，将受感染的安卓设备转化为网络代理支点，以便为后续流量转发或间接访问提供条件。现有内容重点说明了其通信与代理机制的变化，表明移动端银行木马正持续演进，并尝试借助去中心化基础设施增强生存与对抗分析能力。

RubyGems因遭遇大规模恶意软件包上传事件，已暂停新用户注册。公开信息显示，此次攻击涉及数百个恶意包，被认为进一步加剧了软件供应链安全风险。RubyGems作为Ruby生态的重要软件包仓库，此类事件可能影响开发者对第三方依赖的获取与信任，也反映出开源包管理平台在账号注册、包审核和恶意内容拦截方面面临持续压力。目前已知信息主要集中在平台采取的应急措施以及攻击规模，原文未披露更详细的技术细节、影响范围或攻击者身份。

富士康向媒体证实，其北美部分工厂遭遇网络攻击，事件发生后公司已启动应急响应机制，并采取多项运营措施以保障生产和交付连续性，受影响工厂目前正逐步恢复正常生产。此次攻击被“氮气”勒索软件组织认领，该组织声称窃取了约8TB数据和超过1100万份文件，内容涉及机密指令、项目资料和图纸，并提及苹果、英特尔、谷歌、英伟达和AMD等客户。公开信息显示，Nitrogen最早于2023年出现，先与BlackCat/ALPHV载荷有关，后基于泄露的Conti 2代码发展出自有勒索软件。富士康过去也曾多次遭遇勒索软件事件。

美国制药制造企业West Pharmaceutical Services披露，其遭遇一起重大网络安全事件，攻击者不仅从公司网络中窃取了部分数据，还加密了若干系统。公司称于2026年5月4日首次发现入侵，并在5月7日确认事件具有重大影响，随后启动事件响应流程，包括在全球范围内主动下线部分系统、通知执法部门，并聘请外部网络取证专家及Palo Alto Networks Unit 42协助调查、遏制与恢复。此次事件已对公司全球业务运营造成干扰。西氏医药表示，支持发货和生产的核心企业系统已恢复，制造业务也已部分重启，但全部系统尚未完全恢复，最终恢复时间和财务影响仍未明确。公司同时称已采取措施降低被窃数据扩散风险，但未说明具体细节。