ThreatsDay 简报：GhostAd 泄漏、macOS 攻击、代理僵尸网络、云漏洞及 12 条以上新闻

一名立陶宛公民因涉嫌向 280 万台系统植入伪装为 KMSAuto 的剪贴板窃取恶意软件而被捕，该工具本应用于非法激活 Windows 与 Office 软件。该 29 岁男子已从格鲁吉亚引渡至韩国。"从 2020 年 4 月到 2023 年 1 月，黑客在全球散布了 280 万份伪装为非法 Windows 授权激活程序（KMSAuto）的恶意软件，" 韩国当局

在 2025 年圣诞假期期间，观察到针对 Adobe ColdFusion 服务器的 "协同利用" 活动。"攻击似乎由单一威胁行为体使用日本基础设施（CTG Server Limited）发起，" GreyNoise

卡巴斯基称在部分 Android 平板型号上发现预装恶意软件，代号 Keenadu。"这是一段位于 libandroid_runtime.so 中的后门，" 该俄罗斯网络安全公司

Reddit 禁止了 r/ChatGPTJailbreak 社区，该社区拥有超过 229,000 名用户，致力于规避大型语言模型（LLM）安全过滤与防护。Reddit 表示该社区因违反"规则 8"而被封禁，规则禁止任何可能破坏站点或干扰正常使用的行为。该举措紧随 WIRED 报道的聊天机器人用户分享如何利用全身衣物照片生成非合意深度伪造的案例。禁令后，社区迁移至

供应链攻击活动 GlassWorm 再次出现，这次在 Open VSX 市场投放了三个针对 macOS 用户的可疑扩展，累计下载 50,000 次。扩展旨在攻击超过 50 种浏览器扩展钱包并窃取资金，名称分别为 studio-velte-distributor.pro-svelte-extension、cudra-production.vsce-prettier-pro 与 Puccin-development.full-access-catppuccin-pro-extension。与以往不同，此次 payload 采用 AES‑256‑CBC 加密并嵌入编译后的 JavaScript，核心机制仍为从 Solana 拉取 C2 并执行返回的指令。新目标为取代硬件钱包应用的恶意代码。至 2025 年 12 月 29 日，后门钱包的 C2 返回空文件，表明活动仍在研发中。针对 macOS 的攻击利用 AppleScript 进行隐蔽执行，使用 LaunchAgents 持久化。恶意代码在激活前会等待 15 分钟，旨在窃取 iCloud Keychain 数据库以及开发者凭证（GitHub、npm token、~/.ssh 目录等）。

面对监管机构对 Meta 平台上诈骗广告的审查，路透社获悉该公司制定了一套 "playbook"，通过在广告库搜索中删除诈骗广告，使监管方看到的搜索结果更干净，从而误导监管机构。Meta 先辨识日本用户常用的关键词与名人姓名，再在搜索中重复执行相同查询并删除被标记为欺诈的广告。此举虽削减了部分违规广告，却让监管方误以为平台已完成清理，导致日本监管机构未进一步强制广告主身份核验。该策略随后被写入全球通用的 "playbook"，用于规避美国、欧洲、印度、澳洲、巴西、泰国等市场的监管压力。Meta 对此辩称此举是为了从系统中移除有害广告。

去中心化知识产权平台 Unleash Protocol 宣布检测到其智能合约出现未授权活动，导致约 390 万美元的用户资金被提取。PeckShield

美国司法部宣布，迪士尼同意支付 1000 万美元民事罚款，以解决联邦贸易委员会（FTC）指称其在 YouTube 视频内容上违反儿童在线隐私保护法（COPPA）的指控。FTC 称迪士尼未正确标识面向儿童的 YouTube 内容，导致其在平台上投放针对儿童的定向广告并非法收集信息，未取得家长同意。和解还要求迪士尼停止在 YouTube 上的违规行为，并建立合规计划，确保未来符合 COPPA 要求。

新出现的网络犯罪工具 ErrTraffic 让威胁行为者能够自动化 ClickFix 攻击，通过在被入侵站点上生成假冒浏览器故障，引导用户执行恶意指令。该工具由 "LenAI" 推出，跨平台支援 Windows、macOS、Linux 与 Android，能够向受害站点注入信息窃取器或 Android 银行 trojan。ErrTraffic 的控制面板为自行托管的 PHP 程序，内置对独联体国家的硬编码排除。攻击者只需在受害站点植入一行 HTML 注入，即可通过控制面板分发 payload。

Source Defense Research 报告称发现了一场新全球 Magecart 活动，劫持结账与账户创建流程。攻击者利用模块化、地区化的 payload，针对 Stripe、Mollie、PagSeguro、OnePay 与 PayPal 等服务，使用假支付表单、钓鱼 iframe、静默刷卡等技术，并加入反取证手段（隐藏输入、符合 Luhn 校验的垃圾卡号）。此外，活动还窃取凭证与个人信息，实现账户接管和长期持久化。

黑客代理行动指代那些在意识形态上与国家利益一致，却不接受正式赞助或指挥的非国家网络组织。他们通过公开声明、志愿者参与和低复杂度技术，对对手造成心理、政治与运营成本，同时让背后国家保持可否认性。典型流程包括地缘政治触发、黑客社区动员、志愿者协作、快速 DDoS、网站篡改或符号性入侵，以及对外宣传成果。一旦达到预期目标，活动即会降温，区别于持续的网络犯罪或间谍行动。

中国政府自 2022 年启动的 Xinchuang 计划旨在通过国产硬件软件替代外部技术，构建自主 IT 生态。QiAnXin 报告指出，OceanLotus 黑客组织已针对该计划下的国产信息创新平台与 Windows 系统开展钓鱼活动，使用包含桌面文件、PDF 与 JAR 的诱饵。该组织利用 CVE‑2023‑52076（Atril 文档查看器远程代码执行）进行桌面文件加载，进而下载 Python 下载器。其 ELF Trojan 通过在 ELF 魔数后面填充三字节，使传统 Linux 系统报错，而国产平台能够正常解析并执行，显示出对本土系统底层机制的深刻理解。

研究人员发现 AWS IAM 的最终一致性会产生约 4 秒的窗口期，攻击者可利用已删除的访问密钥实现持久化。OFFENSAI

新出现的代理网络 IPCola（ipcola[.]com）声称拥有超过 160 万个唯一 IP，来源包括 IoT、桌面与移动设备，遍布 100 多个国家，主要集中在印度、巴西、墨西哥和美国。IPCola 为无 KYC 代理服务，用户可直接充值加密货币后使用住宅、数据中心或 ISP 代理。技术分析显示其背后依托去中心化带宽变现平台 GaGaNode，提供 SDK 实现远程代码执行（RCE），被认为由中国公司 NuoChen 运营，并有针对中国市场的 InstaIP 变体。

一场规模化 Android 广告软件行动被观察到在后台持续消耗资源并干扰正常使用，代号 GhostAd。该广告软件利用至少 15 款伪装为实用工具或表情包编辑器的应用，累计下载量达数百万，其中一款在 Google Play "Top Free Tools" 类目排名第二。所有相关应用已被下架。Check Point 称，这些应用在用户关闭或重启设备后仍保持后台广告引擎运行，持续消耗电量与移动数据。恶意软件通过前台服务保持持久执行，并使用 JobScheduler 在每次被终止后重新触发广告加载任务。攻击主要集中在菲律宾、巴基斯坦和马来西亚。GhostAd 集成多款合法广告 SDK（包括 Pangle、Vungle、MBridge、AppLovin、BIGO），但以违反公平使用政策的方式持续在后台加载、排队和刷新广告，产生大量虚假展示收益。与此同时，DoubleVerify 披露名为 SkyWalk 的欺诈方案，通过看似无害的 iOS 游戏在隐形浏览器窗口中投放广告，用户在玩 "Sushi Party" 或 "Bicycle Race" 时，隐藏网站在后台运行，产生不可见的广告展示并向广告主计费。

2025 年北朝鲜黑客因盗取超过 20 亿美元加密资产而声名鹊起，尽管整体攻击频率有所下降，但他们转向利用伪装的 IT 工作人员进入加密交易所、托管平台和 Web3 公司。Amazon 披露，自 2024 年四月以来已阻止超过 1,800 名疑似北朝鲜人员加入其员工队伍。该公司首席安全官 Stephen Schmidt 表示，相关申请环比增长 27%。其中一次，Amazon 通过检测到键入命令的极小延迟，捕获了一名伪装的 IT 工作人员，并在数天内将其从系统中剔除。此举凸显北朝鲜将加密盗窃作为武器融资、制裁规避和不稳定活动的主要手段。