📱 **移动安全威胁持续演变**：Konfety恶意软件通过双应用欺骗、ZIP操作和动态代码加载等复杂手段规避检测，并利用CaramelAds SDK进行广告欺诈。新型安卓恶意软件攻击利用607个域名传播伪造的Telegram应用，使用篡改版APK文件和危险权限。SarangTrap勒索活动伪装成约会应用，窃取用户敏感数据后进行勒索，主要集中在韩国。同时，租赁具备2FA拦截和AV绕过功能的Android恶意软件服务（如PhantomOS和Nebula）的出现，极大地降低了高级移动恶意软件活动的门槛，技术门槛的降低使得更多攻击者能够利用这些工具。

🇮🇷 **APT组织利用新兴技术与策略进行攻击**：伊朗APT组织MuddyWater在以伊冲突期间利用DCHSpy Android监控软件，该软件能窃取WhatsApp数据、账户、联系人、短信、文件、位置和通话记录，并能录制音频和拍照。APT36（透明部落）首次将目标转向Linux环境，特别是印度的BOSS Linux，通过网络钓鱼邮件窃取关键数据。Elephant APT组织攻击土耳其军工企业，利用DLL侧载技术规避防御。值得关注的是，首款AI驱动的恶意软件LameHug问世，利用LLM生成命令，并被认为与俄罗斯APT28组织有关联。

💻 **多款设备漏洞暴露，影响广泛**：大华IP摄像头存在缓冲区溢出漏洞（CVE-2025-31700和CVE-2025-31701），可能导致设备崩溃或执行任意代码。LG Innotek的LNV5110R相机型号存在身份验证绕过漏洞（CVE-2025-7742），攻击者可获得管理员权限。一款国产IP摄像头（Shenzhen Liandian Communication Technology LTD）存在隐蔽后门（CVE-2025-7503），允许攻击者获取Root权限。此外，Kigen eSIM技术也存在严重缺陷，可能允许攻击者窃取和篡改运营商的eSIM配置文件，影响数十亿物联网设备。

🇰🇵 **APT-C-06（DarkHotel）持续活跃，利用输入法和网盘传播**：朝鲜输入法安装程序被发现携带APT-C-06（DarkHotel）使用的第二阶段载荷DarkSeal。该恶意软件通过百度网盘、微信和U盘等方式传播，表明攻击者正在利用多种渠道渗透用户设备，并持续利用熟悉的载荷进行攻击活动。

AVL威胁情报团队 2025-07-30 09:50 四川

近期威胁情报速览！

01 Konfety回归，通过 ZIP 操作和动态加载不断演变

Konfety Android恶意软件的一种新变体采用复杂规避技术，利用双应用欺骗、ZIP 级别逃避、动态代码加载等手段隐藏关键功能，通过 CaramelAds SDK 实施广告欺诈。Konfety 模仿 Google Play 上提供的无害产品，伪装成一个合法的应用程序。该恶意软件的功能包括将用户重定向到恶意网站、推送不需要的应用程序安装以及虚假的浏览器通知。

https://zimperium.com/blog/konfety-returns-classic-mobile-threat-with-new-evasion-techniques

02 新型安卓恶意软件攻击：607 个域名被用于传播伪造 Telegram 应用

一场新型威胁攻击正通过数百个恶意域名诱骗安卓用户下载伪造的 Telegram 应用，这些域名均伪装成 Telegram 官方下载页面，其中多数通过 Gname 域名注册商注册，服务器位于国内。近几周，该攻击活动利用仿冒网站、二维码重定向以及植入危险权限和远程执行功能的篡改版 APK 文件实施攻击。

https://hackread.com/fake-telegram-apps-domains-android-malware-attack/

03 SarangTrap 勒索活动：仿冒约会应用针对安卓和ios用户

伪装成合法的约会和社交媒体应用程序针对 Android 和 iOS 平台上的移动用户。攻击活动规模庞大，涉及 250 多个恶意 Android 应用程序和 80 多个恶意域名，攻击者利用精心设计的钓鱼域名来模仿合法品牌和应用商店，从而诱骗用户下载恶意软件，旨在窃取敏感个人数据（例如联系人列表和私人图像），随后攻击者可能利用获取到的敏感数据进行钱财勒索，受害者主要集中在韩国。

https://zimperium.com/blog/the-dark-side-of-romance-sarangtrap-extortion-campaign

04 恶意 Android 应用模仿印度热门银行应用窃取登录凭证

攻击者通过传播假冒的 Android 应用程序，这些应用模仿公共部门和私人银行的界面和图标，利用印度用户对手机银行的需求，通过短信钓鱼、二维码和搜索引擎中毒等方式诱骗用户下载。APP安装后显示欺骗性的UI，收集电话号码、4位数MPIN和3位数CVV，并立即上传到私人Firebase实时数据库。同时具备支持语音验证呼叫转移和保活功能。

https://cybersecuritynews.com/malicious-android-apps-mimic-as-popular-indian-banking-apps/

05 移动威胁形势的重大演变：租赁具有2FA拦截和AV绕过功能的Android恶意软件变得便宜

PhantomOS和Nebula，两个著名的Android 设备恶意软件即服务 (MaaS) 平台，代表了移动威胁形势的重大演变，消除了传统的进入壁垒，以前将高级Android恶意软件活动限制于熟练的开发人员。

PhantomOS 收费标准为每周 799 美元或每月 2,499 美元，另加利润分享协议，提供远程静默应用程序安装、短信和一次性密码拦截以绕过双因素身份验证，以及复杂的网络钓鱼覆盖，可在看似合法的界面中掩盖恶意 URL。

Nebula 瞄准更广泛的犯罪市场，其价格更实惠，每月 300 美元起，提供自动数据提取功能，包括短信、通话记录、联系人和 GPS 位置数据。

两个平台都通过基于 Telegram 的命令和控制系统运行，即使是技术上缺乏经验的攻击者也可以通过简单的聊天命令来管理受感染的设备。

https://cybersecuritynews.com/renting-android-malware-with-2fa-interception/

01 伊朗 APT在以伊冲突期间利用 DCHSpy Android 监控软件

DCHSpy 是伊朗网络间谍组织 MuddyWater 利用的一款 Android 监控软件工具，收集 WhatsApp 数据、账户、联系人、短信、文件、位置和通话记录，还可以录制音频和拍照。鉴于近期伊朗冲突，新版 DCHSpy 似乎正在被部署用于攻击对手。它利用政治诱饵，伪装成 VPN 或银行应用程序等合法应用程序。 Lookout 获得了四个新的 DCHSpy 样本，新版本不仅能够识别并窃取设备上目标文件的数据，还能窃取 WhatsApp 数据。 

https://www.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware

02 APT36 瞄准 BOSS Linux 窃取关键数据

APT36（也称透明部落）开始针对基于Linux的环境，特别是印度政府广泛采用的BOSS Linux，标志着APT36战术的重大转变。攻击利用网络钓鱼邮件传递恶意ZIP文件，通过社会工程学与技术隐身相结合的方式，绕过用户怀疑和传统安全措施，最终目的是窃取关键基础设施中的敏感数据。

https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/

03 Elephant APT 组织攻击土耳其军工企业

Elephant APT 组织最新攻击活动针对的是土耳其国防承包商，一家精确制导导弹系统制造商。该攻击活动采用五阶段执行链，通过伪装成会议邀请的恶意 LNK 文件进行传播，发送给有意了解无人驾驶系统的目标用户。该组织利用合法二进制文件（VLC Media Player 和 Microsoft Task Scheduler）通过 DLL 侧载技术规避防御，表明威胁行为者的能力显著提升。

https://arcticwolf.com/resources/blog/dropping-elephant-apt-group-targets-turkish-defense-industry/

04 首款AI驱动的恶意软件LameHug问世，与俄罗斯APT28组织存在关联

CERT-UA 发现了一次针对行政当局的网络钓鱼活动。攻击者使用伪装成政府部门文件的 ZIP 文件，其中包含伪装成 .pif 文件的 LameHug 恶意软件，LameHug 通过 huggingface[.]co 服务 API 使用 LLM Qwen 2.5-Coder-32B-Instruct 生成命令。LameHug会收集系统信息，存储在本地，通过 SFTP 或 HTTP POST 请求将收集到的信息和文件泄露。乌克兰专家将该恶意软件归咎于与俄罗斯有关的组织 APT28。

https://cert.gov.ua/article/6284730

05 APT-C-06（DarkHotel）利用恶意软件为诱饵的攻击活动

2024年10月起出现了一款名为“hana9.30_x64_9.exe”的朝鲜输入法安装程序，今年6月份受影响用户数量明显增加，并且出现新的恶意软件“winrar-x64-540.exe”。恶意软件通过百度网盘，微信和U盘等方式接入用户机器，释放的载荷是APT-C-06在近些年来一直使用的第二阶段载荷DarkSeal。

https://mp.weixin.qq.com/s/Cx-v95Ua8U7I77-yQFckpA

01 大华IP摄像头缓冲区溢出漏洞导致设备遭受 RCE

大华科技发布安全公告，针对其IP摄像头产品线中两个高危漏洞进行修复。CVE-2025-31700和CVE-2025-31701（CVSS评分均为8.1），均由缓冲区溢出（buffer overflow）缺陷引发，远程攻击者可利用这些漏洞导致设备崩溃或执行任意代码。受影响设备包括多款主流摄像头系列：IPC-1XXX、IPC-2XXX、IPC-WX、IPC-ECXX系列，SD3A、SD2A、SD3D、SDT2A及SD2C系列。

https://securityonline.info/cve-2025-31700-cve-2025-31701-buffer-overflow-flaws-in-dahua-ip-cameras-expose-devices-to-rce/

02 LG Innotek 相机漏洞使攻击者获得管理员访问权限

LG Innotek 的 LNV5110R 相机型号被发现存在严重安全漏洞 CVE-2025-7742，属于身份验证绕过漏洞，攻击者通过上传特制的 HTTP POST 请求到设备的非易失性存储器可绕过正常安全控制，以管理员权限执行任意命令。该漏洞影响全球所有版本的 LNV5110R 相机型号，且由于该产品已停产，目前无安全补丁可用，仅能依靠网络隔离和防火墙等措施进行保护。

https://cybersecuritynews.com/lg-innotek-camera-vulnerabilities/

03 CVE-2025-7503：国产IP摄像头存在隐蔽后门，攻击者可获取Root权限

Shenzhen Liandian Communication Technology LTD生产的某款IP摄像头被曝存在高危漏洞（CVE-2025-7503），攻击者可通过未公开的Telnet服务获取设备root权限，对隐私安全构成严重威胁。漏洞存在于摄像头固件（AppFHE1_V1.0.6.0）及其配套内核（KerFHE1_PTZ_WIFI_V3.1.1）和硬件（HwFHE1_WF6_PTZ_WIFI_20201218）中。该漏洞不仅影响单一型号设备，更暴露出低成本OEM物联网设备的通病——未公开功能和不安全的默认配置。

https://securityonline.info/cve-2025-7503-cvss-10-hidden-backdoor-in-popular-ip-camera-grants-hackers-root-access/

04 专家发现 Kigen eSIM 技术存在严重缺陷，影响数十亿人

一种针对 Kigen eSIM 技术的新型黑客攻击方法，该技术影响数十亿台物联网设备。研究人员通过物理接触并掌握内部密钥，利用Kigen eUICC芯片中eSIM配置文件与Java Card应用隔离缺失的漏洞，提取私钥与GSMA证书。借助GSMA TS.48 v6.0测试配置，可远程安装恶意小程序，窃取并篡改任意运营商的eSIM配置文件。

https://securityaffairs.com/179894/security/experts-uncover-critical-flaws-in-kigen-esim-technology-affecting-billions.html

阅读原文

跳转微信打开