烽火狼烟丨暗网数据及攻击威胁情报分析周报（02/09-02/12）

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件250起，同比上周减少36.06%。本周内贩卖数据总量共计584133.7万条；累计涉及6个主要地区及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及社交、金融、个人信息等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比   

近期主要威胁来自勒索软件、蠕虫攻击及网站攻击，需加强关注；本周内出现的安全漏洞以yuan1994 tpadmin WebUploader反序列化漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP7684条，主要涉及命令注入、组件攻击等类型。

Suno数据库数据泄露

泄露时间：2026-02-10

泄露内容：黑客声称成功入侵了知名人工智能音乐生成公司Suno，并出售其核心数据与源代码。被盗数据包含约6000万条用户记录，涉及电话号码、电子邮箱及注册日期等敏感信息。此外，黑客还宣称已获取Suno 整个Git组织的访问权限，其中包含公司完整的源代码库。

泄露数据量：6000万

关联行业：音乐

地区：美国

法国航空未授权管理访问权限出售

泄露时间：2026-02-10

泄露内容：攻击者声称出售法国航空公司系统的未授权管理访问权限，该权限通过利用一个已知漏洞并结合内部网络面板的访问路径实现，能够提取超过200万条用户数据，涉及内容包括姓名、邮箱、电话、出生日期、账户状态、登录记录以及求职申请相关的敏感信息。

泄露数据量：200万

关联行业：航空

地区：法国

超过2亿条Telegram用户记录泄露

泄露时间：2026-02-10

泄露内容：黑客在公开论坛上发布了一份据称包含超2亿条Telegram用户记录的数据集。Telegram是一款全球广泛使用的跨平台即时通讯应用。此次泄露的数据涉及用户名、真实姓名、电子邮箱及电话号码等高敏感个人信息，对用户隐私与安全构成严重潜在威胁。

泄露数据量：2亿

关联行业：社交媒体

地区：阿联酋

WormGPT的用户数据泄露

泄露时间：2026-02-10

泄露内容：据报道攻击者在数据泄露论坛上公开了人工智能黑客平台WormGPT的数据库样本，泄露了该平台约19,000名用户的敏感信息。泄露数据涵盖邮箱地址、付款记录、订阅详情及用户ID等多种个人数据。

泄露数据量：约1.9万

关联行业：人工智能

地区：乌克兰

Flickr用户数据泄露

泄露时间：2026-02-09

泄露内容：据报道美国在线照片与视频托管社交平台Flickr由于第三方邮件服务商系统存在安全漏洞，可能导致部分用户个人信息遭遇未授权访问。泄露数据包括姓名、用户名、邮箱地址、账户类型、IP地址、地理位置及平台活动记录。

泄露数据量：未涉及

关联行业：社交媒体

地区：美国

OpenClaw为AI代理市场添加VirusTotal扫描功能

近期安全研究发现，开源AI代理扩展平台OpenClaw的技能市场ClawHub中潜藏大量恶意扩展，其伪装为合法工具，实则用于执行下载恶意文件、植入后门或窃取数据等行为，使AI代理成为潜在的恶意软件分发渠道。为应对这一新型供应链攻击风险，OpenClaw宣布引入自动安全扫描机制：所有上传技能均通过SHA-256哈希值与VirusTotal数据库比对，未知样本将进一步通过Code Insight引擎进行深度分析，并根据结果自动批准、标记或阻止相应扩展。同时，平台建立了已发布扩展的每日重扫描机制，并计划通过完善威胁模型、推动安全审计、开放用户举报等功能，持续加强生态治理，以应对传统静态扫描无法检测的新型攻击手法。

消息来源：

https://www.esecurityplanet.com/threats/openclaw-adds-virustotal-scanning-to-ai-agent-marketplace/

Exchange Online将合法邮件标记为钓鱼邮件

近期，Exchange Online电子邮件服务出现故障。自2026年2月5日起，该问题持续影响部分用户的正常邮件收发，导致一些合法邮件被误判为钓鱼邮件并转入隔离区，用户因此无法按时发送或接收邮件。经查，此次故障是由于一条近期更新的URL检测规则过于敏感所致。该公司表示，该调整本为应对新型网络威胁而更新检测机制，但引发了误报情况。目前，服务方正尝试逐步释放被隔离的邮件，并恢复被错误阻止的链接。官方建议受影响的用户在此期间持续关注隔离文件夹，并保持对潜在钓鱼威胁的安全防护意识。

消息来源：

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-online-flags-legitimate-emails-as-phishing/

勒索软件Warlock成功入侵了SmarterTools

SmarterTools公司证实其网络遭到了黑客的入侵。攻击者利用了一台由员工自行设置且未及时应用补丁的SmarterMail邮件服务器实例成功突破防线并进入内部网络。在获得初始访问权限后，攻击者并未立即执行勒索，而是潜伏数日，随后进一步控制了Active Directory服务器、创建新用户，并部署了Velociraptor和加密器等后续载荷，用于维持持久访问和文件加密。这种延迟行动解释了为何部分客户在补丁发布后仍受影响——因为初始入侵发生在补丁应用之前。

消息来源：

https://thehackernews.com/2026/02/warlock-ransomware-breaches.html

欧洲委员会移动设备管理平台遭攻击

欧洲委员会披露其用于管理员工移动设备的中央平台遭到网络攻击。攻击者可能访问了部分员工的个人信息（包括姓名和手机号码），但调查未发现移动设备本身被入侵的迹象。委员会在检测到可疑活动后迅速响应，约九小时内遏制事件并完成系统清理。此次攻击与近期针对Ivanti Endpoint Manager Mobile (EPMM)平台的系列入侵相关，该平台被多个欧洲公共机构用于设备管理。欧委会表示将持续监控系统安全，并采取措施加强防护，以避免类似事件再次发生。

消息来源：

https://www.bleepingcomputer.com/news/security/european-commission-discloses-breach-that-exposed-staff-data/

网络攻击从勒索破坏转向长期隐秘渗透

根据最新发布的报告，网络攻击的主导趋势正在发生根本性转变：攻击策略已从过去以勒索软件和数据加密为主的显性破坏，转向寻求长期、隐秘的持续访问。攻击者不再追求快速且引人注目的打击，而是像“数字寄生虫”一样，潜伏在受害系统内部持续窃取价值。研究显示，2025年勒索软件加密行为较前一年下降了38%，这标志着攻击者正转向更隐蔽的作战模式——侧重于悄无声息地窃取数据、收集凭证、长期潜伏，并通过事后数据勒索而非即时加密破坏来获利。这表明攻击者的优先目标已从短期破坏彻底转向长期潜伏与持续控制。

消息来源：

https://thehackernews.com/2026/02/from-ransomware-to-residency-inside.html

黑客组织利用蠕虫攻击云原生环境构建犯罪基础设施

近期某黑客组织对云原生环境发起大规模攻击。该组织利用自动化蠕虫式工具链，针对暴露的Docker API、Kubernetes集群、Ray仪表板、Redis服务器等云基础设施漏洞实施渗透，构建用于数据窃取、勒索软件部署和加密货币挖矿的犯罪平台。攻击过程高度自动化，通过扫描并调用如“proxy.sh”等脚本识别目标环境、投递定向载荷，完成从漏洞利用、持久化访问到横向移动的完整攻击链。主要攻击载荷包括扫描模块、Kubernetes集群控制工具及远程命令执行脚本。攻击目标集中在AWS与Azure云环境，以机会主义方式选择受害基础设施，导致相关托管组织成为犯罪活动的附带受害者。

消息来源：

https://thehackernews.com/2026/02/teampcp-worm-exploits-cloud.html

恶意Outlook加载项利用废弃域名实施攻击

安全研究人员披露了首个在野外被检测到的恶意Microsoft Outlook加载项攻击，揭示了一种新型供应链攻击方式。该攻击的核心机制源于Office加载项的运作模式：加载项的清单文件中声明了一个URL，每次加载项在Outlook中以iframe形式实时加载该URL内容。由于该域名已失效并被攻击者重新注册，攻击者在相应URL上部署了钓鱼工具包。当用户打开加载项时，伪造的Microsoft登录页面优先展示，用于窃取用户凭据，随后通过Telegram Bot API将信息发送给攻击者，并将用户重定向至真实的Microsoft登录页面，以降低察觉风险。针对此类威胁，研究人员建议：应对已上架的加载项实施持续内容监控，例如在其清单所声明的URL内容发生变化时，触发重新审查机制。

消息来源：

https://thehackernews.com/2026/02/first-malicious-outlook-add-in-found.html

黑客组织利用人工智能诱饵攻击加密货币组织

据报道某黑客组织正在利用人工智能辅助的诱饵与复杂的社会工程手段对加密货币行业发动针对性攻击。该组织通常利用已攻破的Telegram账号与目标建立联系，引导受害者进入伪造的Zoom会议链接。该链接会将用户重定向至攻击者控制的恶意域名。点击后受害者会进入伪装成真实会议的界面，在会议中攻击者常以音频故障为借口，诱使受害者运行所谓的“故障排除”命令，其中实际包含恶意代码，从而触发感染流程。感染过程始于名为WAVESHAPER的恶意可执行文件，它会收集系统信息并部署一个名为HYPERCALL的Golang下载器，进而加载多个恶意模块，包括可实现远程访问的HIDDENCALL、数据窃密组件DEEPBREATH、另一下载器SUGARLOADER以及名为SILENCELIFT的简易后门。这些工具协同工作，窃取凭证、浏览器数据和会话令牌，以支持金融盗窃与后续入侵。

消息来源：

https://thehackernews.com/2026/02/north-korea-linked-unc1069-uses-ai.html

Bing广告被用于投放Azure托管技术支持的诈骗广告

攻击者正利用Bing搜索广告及Microsoft Azure基础设施，向用户推送欺诈性技术支持网页。该攻击链条始于用户在Bing中搜索知名品牌（如“Amazon”）时，搜索结果顶部的广告位被恶意广告占据。用户一旦点击，将被重定向至一个新注册的WordPress中间页面（例如highswit[.]space）。该页面表面无害，实则内置自动跳转器，将访客引导至托管于Azure Blob Storage上的欺诈性技术支持网页。攻击者通过Azure平台托管恶意页面，借助其可信云基础设施掩盖真实目的地，使得最终网址更难以被识别为恶意。诈骗页面伪装成正规技术支持服务，诱导受害者联系所谓“客服人员”，进而窃取敏感信息或诱骗其支付不必要的费用。

消息来源：

https://www.esecurityplanet.com/threats/bing-ads-abused-to-deliver-azure-hosted-tech-support-scams/

SolarWinds WHD实例成为企业网络攻击入侵的起点

安全研究团队披露，部分暴露在互联网环境中的SolarWinds Web Help Desk（WHD）实例正被攻击者利用，作为入侵企业网络的初始入口，并借此横向移动至网络中更高价值的资产。在该攻击链中，攻击者首先成功攻破暴露在外的SolarWinds WHD实例，获得未经身份验证的远程代码执行权限，并在WHD应用上下文中执行任意命令。随后，攻击者利用PowerShell，通过Windows后台智能传输服务（BITS）下载并执行后续恶意载荷，并进一步下载合法的Zoho ManageEngine远程监控与管理（RMM）组件，以维持对受感染系统的持久访问。为应对此类威胁，安全专家建议：确保所有暴露在外的WHD实例及时更新至最新安全补丁版本，并对已确认受感染的主机进行隔离，以限制攻击扩散与损害范围。

消息来源：

https://thehackernews.com/2026/02/solarwinds-web-help-desk-exploited-for.html

JeecgBoot路径遍历漏洞（CVE-2026-2111）

JeecgBoot是一款基于Java的快速开发平台，提供代码生成、模块化开发和增强检索生成功能。JeecgBoot存在路径遍历漏洞。该漏洞产生的原因是检索增强生成模块未能对filePath参数进行有效校验。攻击者可利用该漏洞通过已认证低权限用户身份遍历服务器文件系统路径，从而读取受限文件内容。

影响版本：

JeecgBoot<=3.9.0

yuan1994 tpadmin WebUploader反序列化漏洞（CVE-2026-2113）

yuan1994 tpadmin是一款基于ThinkPHP的后台管理系统，提供文件上传、数据管理和WebUploader组件集成功能。yuan1994 tpadmin存在反序列化漏洞。该漏洞产生的原因是WebUploader组件未能对用户输入进行有效验证。攻击者可利用该漏洞在未授权状态下触发不可信数据的反序列化，从而执行任意代码或读取敏感信息。

影响版本：

tpadmin<=1.3.12

Xiaopi Panel SQL注入漏洞（CVE-2026-2122）

Xiaopi Panel是一款用于系统管理和安全防护的面板工具，提供WAF防火墙、配置演示和用户权限控制功能。Xiaopi Panel存在SQL注入漏洞。该漏洞产生的原因是/demo.php文件未能对ID参数进行有效过滤。攻击者可利用该漏洞通过已认证低权限用户身份注入恶意SQL代码，从而对数据库执行任意操作。

影响版本：

Xiaopi  Panel<=20260126

WeKan信息泄露漏洞（CVE-2026-2205）

WeKan是一款开源看板协作平台，提供卡片管理、数据发布和Meteor发布处理功能。WeKan存在信息泄露漏洞。该漏洞产生的原因是server/publications/cards.js中的Meteor发布处理程序未能对数据访问进行有效限制。攻击者可利用该漏洞通过已认证低权限用户身份获取未授权访问的卡片信息，从而导致敏感信息泄露。

影响版本：

WeKan<8.21

Tenda AC7反射型跨站脚本漏洞（CVE-2026-24426）

Tenda AC7是一款双频无线路由器，提供无线网络覆盖、设备连接和Web管理界面。Tenda AC7存在反射型跨站脚本漏洞。该漏洞产生的原因是Web管理界面未能对用户输入进行有效编码。攻击者可利用该漏洞通过诱导用户访问恶意链接在受害者浏览器中注入任意HTML或JavaScript代码，从而对系统造成破坏。

影响版本：

Tenda  AC7<=V03.03.03.01_cn

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。