每周高级威胁情报解读(2026.01.09~01.15)

主要观点总结

该文章主要介绍了多起攻击事件及相关的情报信息，包括MuddyWater组织使用RustyWater工具进行攻击、金眼狗组织的水坑网站攻击活动、“DarkHotel”利用U盘内安装程序传播恶意载荷、Void Blizzard组织利用慈善基金会诱饵针对乌克兰国防部署后门、朝鲜黑客利用VS Code任务发起传染性面试攻击活动等多起事件，以及一些新的恶意软件和漏洞情报。文章还介绍了针对这些事件的一些技术分析。

关键观点总结

关键观点1: MuddyWater组织使用RustyWater工具进行攻击

该组织近期被发现使用一种名为RustyWater的新型植入工具，具有更强的隐蔽性和模块化能力。攻击者通过发送带有恶意Word文档的钓鱼邮件作为初始攻击向量，利用宏代码将恶意软件植入目标系统。

关键观点2: 金眼狗组织的水坑网站攻击活动

该组织主要面向东南亚的博彩、狗推及海外华人群体，通过仿冒热门软件的网站，并利用SEO优化诱导用户下载恶意安装包。攻击链复杂，恶意软件会释放合法软件作为掩护，并最终在内存中执行“银狐”木马和Gh0st远控木马。

关键观点3: DarkHotel利用U盘内安装程序传播恶意载荷

APT-C-06（DarkHotel）组织延续此前攻击技战术，通过伪装成常用工具安装程序的恶意EXE文件（存储于U盘传播），释放包含drivermon.ps1的加载器及shellcode形式恶意载荷。

关键观点4: Void Blizzard组织利用慈善基金会诱饵针对乌克兰国防部署后门

攻击者以慈善基金会活动为幌子，使用PLUGGYAPE软件进行攻击。通过聊天工具诱导攻击目标访问模仿慈善基金会网站的网页，一旦受害者进入这些欺诈页面，就会被诱导下载看似合法的文件，这些文件通常包含恶意软件。

关键观点5: 新型OPCOPRO诈骗活动利用AI与伪造WhatsApp群组欺骗受害者

名为OPCOPRO的大型诈骗活动通过构建AI驱动的虚假数字世界欺诈移动端用户。诈骗分子冒充高盛发送承诺股票回报的短信，诱导用户点击链接加入伪造WhatsApp群组，群内AI生成虚假氛围，最终诱骗完成KYC认证并投资。

关键观点6: 多阶段Windows恶意软件攻击活动传播Remcos RAT

Securonix威胁研究团队分析了一个名为SHADOW# REACTOR的多阶段Windows恶意软件攻击活动。该攻击首先通过混淆VBS启动器调用PowerShell下载器，从远程主机检索碎片化的文本有效载荷，最终部署Remcos远程访问木马（RAT）后门程序。

关键观点7: 新型DeVixor银行木马具备勒索功能针对伊朗用户

DeVixor是一款针对伊朗用户的Android银行远程访问木马（RAT），兼具勒索软件功能。它通过伪装成合法应用诱导用户下载安装，一旦感染会窃取银行账户、信用卡等敏感金融信息，还能执行屏幕录制、键盘记录、权限窃取、设备锁定勒索等恶意操作。

关键观点8: RedVDS助长了全球网络犯罪活动

RedVDS是一个虚拟专用服务器（VDS）提供商，被多个网络犯罪团伙用于实施各种犯罪活动。该服务通过提供低成本的Windows远程桌面服务器，吸引了全球范围内的网络犯罪分子。

关键观点9: 微软补丁日通告：2026年1月版

微软2026年1月补丁日修复了多个漏洞，其中包括已经确认在野利用的Win32K信息泄露漏洞以及被微软标记为“Exploitation More Likely”的8个漏洞。官方已发布累积更新，建议用户尽快更新。