社保補繳無捷徑！北京人社緊急提醒防范代辦騙局；別讓AI代理“替你做事”變成“替你泄密” | 牛覽

新聞速覽

• 社保補繳無捷徑！北京人社緊急提醒防范代辦騙

• 別讓AI代理“替你做事”變成“替你泄密”

• AI勒索軟件已“出鞘”：PromptLock引爆智能化攻擊與NFC欺詐增長

• FBI警告AI深度偽造釣魚升級：政府高官語音被冒充攻擊政務賬戶

• FBI查封詐騙后臺網站：搜索引擎假銀行廣告致千萬美元損失

• 從東方雨虹被騙案看海外子公司資金安全：你的審批流程真的夠嚴嗎？

• 48小時淪陷6萬臺服務器：Operation PCPCAT敲響Next.js安全警鐘

• 從語音到接管：商用人形機器人安全防線為何形同虛設

• 偽裝殺毒軟件文檔突襲以色列企業，PYTRIC與RUSTRIC植入體浮出水面

• 新型惡意工具NtKiller可繞過主流EDR，安全團隊如何應對？

特別關注

社保補繳無捷徑！北京人社緊急提醒防范代辦騙局

近日，北京市人力資源和社會保障局發布警示：任何聲稱可代辦社保補繳、代繳并收取費用的行為均涉嫌詐騙。官方明確指出，北京市社保經辦部門從未授權任何公司或個人開展此類業務。社保補繳必須基于真實勞動關系，并通過正規渠道依法辦理。不法分子常以“一次性補繳”“內部渠道”為誘餌，騙取市民身份信息與錢財。公眾應提高警惕，切勿輕信非官方承諾，謹防財產與個人信息雙重損失。

https://mp.weixin.qq.com/s/6rBMnkJvqEfO829j9Goo2Q

熱點觀察

別讓AI代理“替你做事”變成“替你泄密”

生成式AI代理正以前所未有的深度索要用戶數據。為實現任務自動化，如訂票、查郵件或管理日程，AI助手需訪問操作系統、日歷、通訊錄甚至云端文件。Ada Lovelace研究所高級研究員Harry Farmer指出，此類代理需大量個人信息才能運作，構成“對網絡安全與隱私的深刻威脅”。牛津大學副教授Carissa Véliz強調，用戶常無法驗證企業是否合規使用數據，且代理一旦接入設備，還可能泄露聯系人等第三方信息。Signal基金會主席Meredith Whittaker警告，具備系統級權限的AI代理對應用層加密構成“存在性威脅”，亟需開發者級別的拒絕接入機制。當前多數產品默認以用戶數據訓練模型，而非征得明確同意。

https://www.wired.com/story/expired-tired-wired-all-access-ai-agents/

AI勒索軟件已“出鞘”：PromptLock引爆智能化攻擊與NFC欺詐增長

最新 ESET Threat Report H2 2025 報告顯示，以往只在理論階段的 AI驅動惡意軟件 已真正出現在野外攻擊中。研究首次確認了能夠在執行時動態生成惡意腳本的 AI勒索軟件 PromptLock，標志著勒索軟件正從靜態代碼向智能化、自適應攻擊演進。與此同時，AI輔助的詐騙活動顯著增長，例如高質量 deepfake、AI生成釣魚網站等手段正在提高社會工程攻擊的成功率。

報告數據顯示，與 2024 年相比，NFC（近場通信）相關的移動欺詐在 2025 年下半年增長了約 87%，威脅樣本包括升級版 NGate、結合遠程訪問功能的 RatOn 以及針對地區市場的 PhantomCard。這些惡意程序不僅搶奪聯系人信息，還助長支付欺詐和 SIM 卡接管風險。

勒索軟件生態也在重塑：一些舊有家族，如 Lumma Stealer，被打擊后檢測量下跌 86%，而 CloudEyE/GuLoader 檢測量則激增近 30 倍，說明犯罪鏈條會迅速重組以維持盈利。預計 2025 年勒索軟件受害者數量將比 2024 年增長約 40%。在此背景下，CISO 需要將 AI增強攻擊與移動/NFC欺詐 視為現實基礎風險，提升端點檢測、移動零信任策略，并嚴控內部 AI 使用策略。

https://www.cybersecurity-insiders.com/ai-driven-ransomware-and-nfc-fraud-surge/

從語音到接管：商用人形機器人安全防線為何形同虛設

在上海GEEKCon大會上，安全團隊演示了商用機器人存在的系統性安全缺陷。研究人員利用人形與四足機器人在Bluetooth、無線接口及語音交互中的漏洞，實現數分鐘內的完全控制。更嚴重的是，被入侵設備可通過短距無線傳播利用鏈，形成“物理Botnet”，甚至感染未聯網的機器人。

實驗對象為Unitree人形機器人，售價約10萬元人民幣，搭載內置AI代理負責自主行動與空間感知。研究人員通過語音指令繞過防護，接管控制權，并將攻擊擴散至鄰近設備。現場演示中，機器人執行攻擊性動作，凸顯其對人身與環境的現實威脅。

事件表明，機器人安全風險已超越數據泄露，直指物理傷害。隨著機器人進入服務、醫療與工業場景，語音接口、無線協議與AI控制面的安全短板亟待系統性加固。

https://www.securitylab.ru/news/567534.php

偽裝殺毒軟件文檔突襲以色列企業，PYTRIC與RUSTRIC植入體浮出水面

SEQRITE Labs APT團隊披露，一個新威脅集群UNG0801發起了名為Operation IconCat的定向攻擊行動，主要針對以色列企業環境，重點覆蓋IT服務商、人力外包和軟件公司。攻擊者濫用知名安全廠商品牌，通過仿冒殺毒軟件界面的釣魚郵件提升成功率。

釣魚郵件以希伯來語撰寫，偽裝成合規通知、安全通告或企業網絡研討會邀請，附件仿冒Check Point和SentinelOne界面。自2025年11月中旬起，研究人員觀察到兩條感染鏈，分別投遞PYTRIC和RUSTRIC植入體。

其中，PYTRIC通過惡意PDF誘導受害者從Dropbox下載偽裝成“Security Scanner”的工具，植入體基于Python并使用PyInstaller打包，具備文件掃描、權限檢測和數據與備份清除能力，并通過Telegram機器人Backup2040通信，呈現明顯wiper特征。

另一條鏈路通過攜帶VBA宏的Word文檔投遞Rust編寫的RUSTRIC，枚舉包括CrowdStrike、Microsoft Defender在內的28款AV/EDR產品，并執行基礎偵察命令，偏向情報收集。兩者共享基礎設施與戰術，體現出利用安全品牌實施精準釣魚的上升趨勢。

https://cyberpress.org/malicious-av-themed-documents/

安全事件

FBI警告AI深度偽造釣魚升級：政府高官語音被冒充攻擊政務賬戶

美國聯邦調查局（FBI）近期發布公告，警告一場利用深度偽造（deepfake）和生成式AI技術的網絡詐騙活動正在進行中。攻擊者自2025年4月起，通過AI生成的語音和短信（分別稱為vishing與smishing），冒充美國聯邦及州級高級官員向目標發送信息，試圖以建立信任關系為前提獲取受害者的賬戶訪問權限。

這些釣魚消息常包含看似真實的對話或請求，甚至引誘目標點擊偽裝成啟用另一個通訊平臺的惡意鏈接，一旦賬戶被攻破，攻擊者可利用所獲聯系名單繼續針對其他官員及其聯系人發動二次攻擊。

FBI特別強調，AI語音克隆技術已經發展到難以用肉眼或聽覺辨別真假，常規的來電顯示或發信號碼驗證并不可靠。為降低風險，FBI建議接收此類信息時務必通過已知官方渠道驗證身份，仔細檢查URL、郵件地址和語音中的異常特征，并在必要時聯系相關安全官員或FBI獲取幫助。

此類深度偽造攻擊通過社會工程學建立信任后實施侵害，對政府機構及關鍵人員構成實質威脅，同時也為更廣泛的企業和公眾安全敲響警鐘。

https://www.cybersecurity-insiders.com/fbi-warns-about-deepfake-spoofing-campaign-mimicking-government-officials/

FBI查封詐騙后臺網站：搜索引擎假銀行廣告致千萬美元損失

美國司法部宣布，聯邦調查局（FBI）已依法查封域名 web3adspanels.org，該域名及其數據庫被用于一個通過搜索引擎偽造廣告誘導受害者訪問假銀行網站的銀行賬戶接管詐騙計劃。這一行動旨在切斷犯罪團伙訪問被盜銀行登錄憑證的能力并阻止進一步資金損失。

據法庭文件，攻擊者通過在 Google 和 Bing 上投放偽裝成銀行官方的廣告，把用戶引導至釣魚網站，內嵌惡意程序在用戶輸入賬戶憑據時竊取信息。犯罪分子隨后利用這些憑據登錄真實銀行網站實施未授權訪問并轉移資金。迄今已確認至少 19 名受害者遍及美國，包括兩家佐治亞州企業，導致約 2800 萬美元的嘗試性損失和約 1460 萬美元的實際損失。域名托管著成千上萬名受害者的被盜憑證，并在 2025 年 11 月仍在支持詐騙活動。

自 2025 年 1 月起，FBI 網絡犯罪投訴中心（IC3）收到超 5100 份銀行賬戶接管詐騙投訴，報告損失超過 2.62 億美元。執法機構提醒公眾提高防范意識，建議使用官方書簽訪問銀行網站、警惕釣魚鏈接并定期監控賬戶變動。國際合作在此次行動中也發揮了關鍵作用。

https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.html

從東方雨虹被騙案看海外子公司資金安全：你的審批流程真的夠嚴嗎？

12月23日晚間，東方雨虹（002271）發布公告稱，其下屬美國全資子公司OYH Construction Materials LLC疑遭電信詐騙，涉案金額約171.83萬美元（約合人民幣1211.80萬元）。據悉，該子公司在向總包方支付工程進度款時，郵箱被犯罪分子入侵，對方偽造總包身份申請付款實施詐騙。事發后，OYH建材公司已向美國哈里斯縣治安官辦公室、伍德斯托克警察局及FBI休斯頓分部報案。東方雨虹表示，本次事件為偶發獨立事件，不會對公司正常生產經營造成重大不利影響，公司已成立專項工作組前往處理，并將全力配合警方偵破案件以挽回損失。同時，公司管理層高度重視，將針對海外子公司、資金支付審批流程、網絡安全防護等方面深入排查風險，加強內控管理與流程優化，提升全員風險防范意識。三季報數據顯示，東方雨虹今年前三季度實現營業收入206億元，同比減少5.06%；歸母凈利潤8.1億元，同比減少36.61%。該信息綜合自公司公告，來源為證券時報，呼吁讀者關注網絡安全相關內容。

https://mp.weixin.qq.com/s/ItgmBXyuEE-tHXH1jsDIMQ

48小時淪陷6萬臺服務器：Operation PCPCAT敲響Next.js安全警鐘

近日，安全研究人員披露了一起名為Operation PCPCAT的大規模攻擊行動。攻擊者在短短48小時內，成功劫持了超過6萬臺Next.js服務器，主要目標是運行配置不當、暴露管理接口或使用弱憑證的Web應用。該行動利用自動化掃描和腳本化攻擊，快速識別互聯網上可被利用的Next.js實例，并通過遠程代碼執行等方式植入惡意代碼。

技術分析顯示，攻擊者重點濫用Next.js在生產環境中錯誤暴露的開發接口，以及未受保護的API端點。一旦入侵成功，服務器會被植入PCPCAT惡意組件，用于建立持久化控制、竊取數據或作為后續攻擊的跳板。部分受害服務器還被用于流量轉發和命令執行，顯示出明顯的僵尸網絡特征。

研究人員指出，此次事件反映出Web框架在云環境中被大規模濫用的現實風險。安全團隊建議，Next.js用戶應及時關閉開發模式，限制管理接口訪問，強化身份認證，并對服務器日志和異常行為進行持續監控，以降低被自動化攻擊批量入侵的風險。

https://securityonline.info/operation-pcpcat-60000-next-js-servers-hijacked-in-just-48-hours/

攻防技術

新型惡意工具NtKiller可繞過主流EDR，安全團隊如何應對？

安全研究人員披露，威脅行為體AlphaGhoul在地下論壇推廣一款名為NtKiller的工具，宣稱可在不觸發告警的情況下關閉殺毒軟件和EDR，從而為惡意代碼執行“清場”。該工具被定位為商業化惡意產品，核心功能售價500美元，rootkit能力和UAC bypass等高級模塊需額外付費。

KrakenLabs分析指出，NtKiller主打早期啟動階段的持久化機制，可在系統安全組件完全加載前運行，顯著降低被檢測概率。其宣傳能力包括繞過Microsoft Defender、ESET、Kaspersky、Bitdefender和Trend Micro，并聲稱在激進模式下可對抗企業級EDR。

技術細節顯示，NtKiller還涉及HVCI關閉、VBS操控、內存完整性規避，以及反調試和反分析機制，進一步增加取證和清除難度。研究人員提醒，相關能力尚未被第三方獨立驗證，但這一趨勢表明，單純依賴特征碼的防護已難以應對，企業需強化基于行為和啟動階段的檢測能力。

https://cybersecuritynews.com/threat-actors-advertised-ntkiller-malware-on-dark-web/

合作電話：18311333376

合作微信：aqniu001

聯系郵箱：bd@aqniu.com