近日,瑞星威胁情报平台发现了一起由TransparentTribe组织针对印度陆军北方司令部的攻击活动。捕获的样本名为PPT for Breifing at HQ Norther Command.pptx.lnk,伪装成印度北方司令部简报的PPT文件快捷方式。该LNK文件通过调用cmd.exe以最小化窗口启动批处理脚本(excel.bat),释放诱饵PPT文档以迷惑用户感知,同时利用硬链接和注册表Run键将自定义.NET远控木马CrimsonRAT(jrnswry acrhyis.exe)部署至受害主机并建立持久化,通过与C2服务器通信从而实现屏幕监控、文件窃取、命令执行和远程控制。
近期,瑞星通过自动化沙盒捕获到一个银狐家族的最新变种样本。该变种关联的攻击活动目标明确,攻击链高度复杂且极具迷惑性,其在沿用银狐家族传统手法——多层安装包嵌套(NSIS+Inno Setup)、内存反射加载、隐蔽进程注入及DLL侧加载(白加黑)——的基础上,新增了Lua脚本作为中间攻击组件以投递RAT载荷,并利用TypeLib劫持实现持久化驻留。
瑞星威胁情报平台在2026年6月1日的威胁狩猎中发现智谱AI输入法官网提供的Windows版的下载链接下载到的软件安装包被替换为了包含病毒的版本,疑似遭遇供应链攻击。事件发生后,智谱官方迅速采取应对措施,于当晚在官网下架Windows版智谱AI输入法的下载入口,且相关下载链接指向的文件目前已替换为带有有效数字签名的正常版本,有效阻断了恶意安装包的进一步传播。
2026年5月瑞星威胁情报平台捕获到了一起以俄乌战争与欧盟制裁为诱饵的高度定向多阶段攻击事件。攻击者将初始载荷伪装成欧盟官方制裁政策文件,利用涉外人员对政策文件的信任心理作为切入点,在受害者机器上逐步推进并最终植入一个Go语言编写的持久化远控后门。