加密圈的人最怕安静。市场跌成这样,BTC现报$69,314(24h -3.12%),ETH现报$2,114(24h -4.22%),大家都在算浮亏,殊不知黑产那边正忙着新一轮收割。The Hacker News本周的ThreatsDay Bulletin读下来,味道很熟悉:没惊天大案,全是“怎么还在用”的老毛病和新玩法混在一起。
先说最扎眼的。The Gentlemen这个新冒头的RaaS团伙,成员才20来号人,却已经搞定94家受害组织。起因居然是内讧——老大“hastalamuerte”在RAMP论坛公开讨薪,48,000美元 affiliate 佣金没结清,直接从Qilin跳槽单干。他们主打FortiGate,靠CVE-2024-55591认证绕过漏洞开路,手里攥着14,700台已攻陷的FortiGate设备清单,外加969组暴力破解出来的VPN凭证。数字摆在这儿,触目惊心。BYOVD带自己的漏洞驱动直杀内核级防护软件,效率高得离谱。Fortinet的设备全球铺得太广,补丁慢一步就是肉票。
Citrix那边更离谱。CVE-2025-5777和CVE-2023-4966这两个老漏洞,3月16日一天就被Defused Cyber的蜜罐逮到500多次尝试。旧洞反复爆,经常是零日的前奏。攻击者不傻,知道哪条路最熟就反复走。
再看Hijack Loader这家伙,最近双线开花。一边递送SnappyClient这个全新C++ C2框架,能截屏、键鼠记录、偷浏览器数据,还带AMSI绕过、Heaven’s Gate、直 syscall、事务性挖空等一堆逃逸招式。传播靠假冒西班牙电信Telefónica的钓鱼网站,目标直指加密货币钱包。另一边又打包升级版ACRStealer,通过PiviGames盗版游戏站下发。盗版游戏站当C2中转站,早不是新闻,可每次看还是觉得用户太好骗。
社交工程继续进化。Proofpoint扒出的CursorJack利用Cursor的MCP深度链接,一键加用户确认就能执行本地命令,或者强装恶意远程MCP服务器。PoC已经放GitHub,门槛低到可怕。LiveChat也被玩坏,钓鱼邮件假装退款,把人引到direct.lc.chat的实时聊天窗口,再一步步套银行卡、MFA码、PII。比传统钓鱼多一层“真人客服”信任感,转化率高得离谱。
Teams钓鱼也在猛涨。冒充内部IT,让员工开Quick Assist直接给远程桌面权限。Rapid7直言:Teams对外开放消息等于没装邮件网关。ClickFix套路更狠,巴基斯坦政府站被脱库放假CAPTCHA,剪贴板命令装MSI,再落AutoHotKey后门。连Lazarus、MuddyWater、APT28都抄作业了。
还有RagaSerpent这个SideWinder关联团伙,用税务审计、政府合规当饵,目标已从印度扩展到印尼、泰国、非洲、中东。SyncFuture TSM这种合法企业工具被当木马载体,伪装性拉满。
基础设施层面,GitGuardian报告2025年公开GitHub新增2865万条硬编码凭证,同比涨34%,AI服务类凭证暴增81%。28.65M这个数字,平均每天7.8万多条,防不胜防。
漏洞利用还是老样子。VulnCheck数据:2025年仅1%的CVE被野外利用,网络边缘设备占了三分之一。IBM X-Force则说,针对公网应用的攻击涨了44%。最讽刺的是Google Play 2025年拒了175万违规应用,封了8万多开发者账号,可侧载恶意软件还是抓到2700多万。
这些事凑一块看,没哪件单独能炸市场,但叠加起来就是在给黑产铺路。加密用户最该小心的恰恰是这些“看起来很小”的入口:没打补丁的FortiGate、盗版游戏、假客服聊天、Teams陌生人消息。币价跌了还能等回本,私钥被偷了可就真没了。
安静的威胁最磨人。盯紧这些细节,别等它变成头条再后悔。