安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全研究团队披露新恶意软件家族AgingFly被用于针对地方政府和医院的攻击，目标还可能包括国防力量代表。攻击被归因于威胁集群UAC-0247。攻击始于冒充人道主义援助的钓鱼邮件，诱导目标点击链接跳转至被XSS漏洞入侵的合法网站或AI生成的伪造网站。攻击链使用LNK快捷方式启动HTA处理器，下载并执行shellcode注入合法进程。

研究人员披露威胁行为体自2025年10月起武器化n8n AI工作流自动化平台，用于传播钓鱼邮件和恶意载荷。n8n允许用户注册免费开发者账号获得托管云服务，创建自定义域名格式的webhook URL。攻击者将这些webhook链接嵌入声称共享文档的邮件中，用户点击后显示CAPTCHA验证码，完成后从外部主机下载恶意载荷。由于整个流程封装在HTML文档的JavaScript中，下载对浏览器而言似乎来自n8n域名。

新型HanGhost加载器攻击活动正针对企业财务与物流岗位人员实施打击。该攻击采用多阶段无文件执行链，通过混淆JavaScript触发PowerShell，在内存中直接运行.NET加载器，从伪装成无害图片的加密载荷中提取并执行恶意代码，全程不落盘以规避传统检测。攻击者可借此渗透支付系统拦截交易、篡改合同文档或破坏物流流程。该活动已传播包括PureHVNC、XWorm、Meduza、AgentTesla及Phantom在内的多种远控木马与窃密工具，部分案例更部署UltraVNC实现持久化访问。

WordPress生态系统遭遇重大供应链安全事件，知名插件开发商EssentialPlugin于2025年被恶意买家收购后，其旗下20余款热门插件被系统性植入后门代码。攻击者利用PHP对象注入漏洞，通过控制的服务器下发恶意序列化载荷，可在数千个网站上执行任意文件写入操作，直接获取服务器完全控制权。该后门潜伏长达七个月，于2026年4月初被激活。受影响插件累计活跃安装量超10万次，涵盖WP Logo Showcase、Popup Maker等热门工具。

研究人员发现数字签名的广告软件工具以SYSTEM权限部署载荷，在数千端点上禁用杀毒软件防护，涉及教育、公用事业、政府和医疗行业。单日观察到超过23500台感染主机在124个国家尝试连接运营者基础设施，其中324台位于高价值网络。该软件由Dragon Boss Solutions LLC签名，被多家安全方案标记为PUP的工具。更新机制检索伪装为GIF图片的MSI载荷，当前仅5家安全厂商在VirusTotal上标记为恶意。

开源Web端Nginx管理工具nginx-ui中发现关键漏洞CVE-2026-33032（CVSS 9.8），已被在野利用。该漏洞被命名为MCPwn。漏洞源于MCP集成暴露的两个HTTP端点：/mcp需要IP白名单和认证，而/mcp_message仅应用IP白名单且默认白名单为空被视为允许所有。成功利用后攻击者可拦截所有流量并获取管理员凭据。漏洞已在2.3.4版本修复，Shodan显示约2689个实例暴露在互联网上。