Hex-rays 每年都会为 IDA 举办插件大赛，每年都会涌现出各种类型的插件，来看看 2025 年有什么插件！

Hex-rays 每年都会为 IDA 举办插件大赛，该大赛每年都会涌现出各种类型的插件，有安全团队也有个人安全研究员，为了解决各种问题从而开发各种插件。2025 年的插件大赛一共入围了二十五款插件。延宕延宕再延宕后，评审团最终评出的前三名为：

🥇 iOSHelper

iOSHelper 是对 iOS 平台的二进制文件进行逆向分析的工具包，在微码级进行调整生成更简洁的伪代码，减轻了对 iOS 平台进行漏洞研究的负担。

🥈 BinSync

BinSync 是一个逆向工程协作工具，基于 git 和 LibBS 构建，可同步包括注释在内的各种信息。团队成员无论是使用 IDA、Ghidra 还是 Binary Ninja，都可以通过 BinSync 进行协作。

🥉 CrystalRE

CrystalRE 是用于对 Crystal 编程语言生成的二进制文件进行逆向分析的工具。由于 Crystal 的符号与运行时结构很复杂，该插件可以大大帮助简化对 Crystal 二进制文件的分析。

评审团最终还选出了四个新秀：

🏅 HappyIDA

该插件是为反编译器增加易用功能的，例如函数导航、剪贴板助手、Rust字符串美化等。

🏅 EmuIt

Emult 是基于 Unicorn 构建的 IDA Pro 模拟器，支持定位恶意软件中的解密函数并获取所有解密后的字符串等功能。

🏅 Sharingan

简化进行反混淆和字符串/数据解密操作的插件，可视化操作对用户十分友好。

🏅 Yarka

根据用户选定的内容，自动创建 Yara 签名。

以下是本届插件大赛上二十五款插件的简要介绍：

点击查看原文跳转 Hex-Rays 官网。

阅读原文

跳转微信打开

生态系统中威胁情报是如何传递的？谁在产出和消费？

工作来源

NDSS 2026

工作背景

威胁情报市场正以惊人的速度增长，预计到2026年将超过150亿美元。这个生态系统由全球分布的安全厂商、沙箱、杀软引擎和独立贡献者组成，他们通过分析恶意二进制文件、钓鱼网站等提取IOC并进行共享。针对整个威胁情报供应链的拓扑结构、瓶颈节点以及攻击者如何利用该生态的盲区进行逃避，业界缺乏系统性的定量认知。

工作准备

选取了威胁情报平台（如VirusTotal等）、反病毒厂商（如Kaspersky等）、沙盒服务商（如Any.Run等）共三大类的30家厂商。由于商业保密协议，厂商间共享数据的关系是不会对外公开的。

工作设计

研究人员生成无害但具备可疑行为的二进制文件，程序文件会在运行时将系统环境的指纹与执行ID编码在子域名中，通过HTTP请求发送出来。除了网络行为外，二进制文件也会释放副本文件，沙盒如果继续执行副本文件的话，发出的网络请求也会带上父文件信息。外传的信息是基于前人的研究选取的一些特征：

在自有服务器收集这些发送出来的请求，并且轮询开放的安全信誉列表，查看这些域名与IP什么时候会被拉黑。包括（1）Google Safe Browsing 或者FireHol（2）Quad9、Google、Cloudflare或 Palo Alto DNS Security（3）VirusTotal 或 AlienVault Open Threat Exchange（4）一家商业威胁情报供应商。

如EXT-DE-2从EXT-TI-3接收了Satelite A1，执行后生成了Satelite A2，又将Satelite A2共享给EXT-TI-3。

工作评估

威胁情报平台对样本的执行次数，要远高于沙盒厂商与反病毒引擎厂商。并且，威胁情报平台在多个国家/地区都执行了样本，带来了更大的地域多样性。

聚类发现了将一个供应商拆分成了不同的簇，而没有发现将多个簇归类为同一个供应商。这也是生态系统健康的标志，厂商在尽量提供多样性。

大多数厂商只有3种以内的执行环境，且大多数尽管执行环境不同但部署的位置是相同的。虽然 67% 的厂商会进行动态分析，但绝大多数厂商根本不执行释放的子文件。

只有约 16% 的厂商愿意向外共享威胁情报。

生态系统高度依赖 4 家核心“枢纽厂商”，其他大多数厂商和沙盒只“消费”不“贡献”。杀软引擎厂商通常不共享数据，威胁情报平台则大量共享数据。

域名/URL等网络 IOC 的共享频率远远高于二进制文件本身。并且，对网络IOC的探查也更加频繁。

虽然沙盒提取IOC 只要几分钟，但因为枢纽厂商的延迟，威胁情报的共享往往需要几个小时甚至几天。

域名黑名单要间隔数小时，彻底的域名封禁平均需要 10 天以上。

通过威胁情报共享，在厂商间进行共享，最终走向封禁的过程如下所示。

大多数免费沙盒的 IP 和系统特征常年不变。在 VirusTotal 上通过 Yara 规则回溯，发现了 800 多个真实的恶意软件样本正在主动核对开源的“沙盒 IP 黑名单”以进行检测规避。测试显示，哪怕只去掉一个沙盒 IP，下游厂商收到情报的概率就会暴跌 60%。

研究人员给样本加上常见的UPX壳后，厂商的执行率骤降了 35%。很多厂商直接给出了Dropper的判定，但并没有实际去脱壳与分析该样本，导致大量TTP情报白白流走。

工作思考

独家的高质量威胁情报是安全公司的核心护城河，没有厂商会愿意白白把有价值的内容分享给别人。由于恶意样本量的激增，厂商为了维持分析的吞吐量，也不得不牺牲深度脱壳与执行分析的能力。

跳转微信打开

线上一张照片就能按图索骥线下找到真人吗？

工作来源

PETS 2025

工作背景

在 OSINT 开源情报分析领域，通过图片来确定拍摄位置一直是一项高级技能。那么多模态的视觉大语言模型，可不可以基于已有的知识实现这一判断呢？将图片的元数据（EXIF 的 GPS 坐标等）剥离，仍可以通过图片本身的内容来判断地理与时间细节。

工作准备

模型准备：挑选了过去三年内最前沿的模型，包括传统视觉模型（StreetClip, GeoClip）、开源 LVLM（LLaVA）、闭源商业巨头（GPT-4o）以及专用的商业定位工具（GeoSpy）。

图片准备：现有数据集（Im2GPS, YFCC26k 等）中有很多图片不适合该场景使用，研究人员构建了一个 5 万张图片的全新数据集。数据集以国家领土面积作为权重，从 Google Street View 进行全球随机采样，确保非洲、南美等常被忽视的地区也能被覆盖。利用 GPT-4o 对每一张抓取的图像生成描述，通过关键词过滤掉所有“室内”、“严重遮挡”、“无特征（如纯天空/纯地面）”的无效图片。最后还引入了人类专家进行 1000 张图像的抽样双盲验证（Kappa 一致性高达 0.82）。

工作设计

原生 LVLM 具备一定的识别能力，但往往极度依赖“标志性建筑”，在面对普通街景时表现不佳。

为了探究 LVLM 攻击的“破坏力上限”，研究人员提出了一个增强型攻击框架ETHAN。其核心有两大技术：

基于领域数据的微调： 使用 GEOLOCATIONHUB 中 3 万张带有详细地理描述的图像对 LVLM 进行有监督微调，使其真正具备处理全球街景特征的底层视觉直觉。

“专家”级思维链提示工程： 研究人员深入分析了 GeoGuessr（著名地理盲猜游戏）人类顶级玩家的思维模式，并将其固化为一段结构化的思维链提示词。ETHAN 强制要求大模型在给出最终经纬度之前，必须按顺序从以下四个维度进行分析：

① 基础设施：分析道路标线颜色、路标语言/形状、电线杆样式和车牌特征；

② 自然元素：分析土壤颜色、植被类型（温带树木还是热带棕榈）、地形地貌（高山、海岸、沙漠）；

③ 车辆分析：分析常见车型、方向盘位置，甚至涉水喉（说明多雨涝）和生锈模式（说明沿海高盐）；

④ 文化指标：分析建筑材料、店铺招牌、路人服饰和涂鸦风格。

工作评估

超越他人的准确度： 在 GEOLOCATIONHUB 的 2 万张图片测试数据集上，ETHAN 在最严格的街道级（1公里以内）精度上达到了 28.7%，超过了商业专有工具 GeoSpy 的 26.5% 和 GPT-4o 的 23.2%。在城市级（25公里）达到 59.2%，国家级达到 95.6%，大洲级高达 99.3%。

人机大战（GeoGuessr 游戏）：研究人员编写脚本让 ETHAN 直接接入 GeoGuessr 游戏平台，与全球真实玩家进行了 41 轮随机匹配对战。结果 ETHAN 取得了 4550.5 分的平均分（人类平均仅 4120.3），胜率高达 85.4%。在一次挪威偏远村庄的测试中，ETHAN 仅通过屋顶建筑风格和路标排版，将误差锁定在 2 公里以内，而人类对手偏差了 5 公里。

不足与局限：在极度低能见度（大雾、黑夜）、缺乏特征的沙漠荒原，以及高度同质化的现代城市住宅区，ETHAN 依然会发生严重的误判。

工作思考

通过游戏的 PK 测试，说明 ETHAN 具备真实环境下的动态对抗能力。其一公里的定位精度也十分恐怖，将目标锁定在 1 公里范围内，基本上就意味着攻击者可以通过无人机、摄像头或线下踩点轻易完成最后的“收网”了。

过去的时代，大家常常认为随便一拍的照片怎么会有人能认得出来是哪里，即使有能认出来的人也不会针对我。在大模型时代，看着差不多的照片也能分辨出大概的位置，想保持隐身变得不容易。该技术被用于监控和跟踪会很令人担忧，间谍可以执行定向的暗杀，私生饭可以追踪明星的住宅地址。当然，科技向善，警方也可以利用它快速定位绑架等恶性犯罪受害者的大概位置。

根据 GDPR 第 9 条和欧盟《人工智能法案》，此类能够从图像中推断出敏感个人位置的 AI 系统，极有可能被归类为高风险应用，存在较大合规与隐私风险。有一些潜在的防御策略：① 在 LVLM 训练阶段引入差分隐私或选择性特征抑制，让模型“故意遗忘”特定的地理敏感特征；② 社交媒体平台（如微信、Twitter）在用户上传图像时，实时运行后台过滤，对高风险的建筑立面或路标进行自动模糊处理；③ 给图像添加人眼不可见的微小对抗噪声（如使用 SGA 技术扰乱模型的 CoT 注意力机制），可以让模型将美国的自由女神像误认为是法国的埃菲尔铁塔，使得大模型的国家级定位准确率从 78.6% 暴跌至 3.4%。

跳转微信打开

思科安全推理大模型是如何构建的？

工作来源

arXiv:2601.21051

工作背景

以 DeepSeek-R1 与 OpenAI o1 为代表的原生推理模型引领了大模型技术的新范式，通过逐步推理来提升“智能”表现，但这种推理方法在网络安全领域尚不成熟。现有的安全大模型处理直接查询时表现尚可，面对需要多步逻辑分析的复杂任务（威胁情报分析、漏洞评估、事件响应等）时往往力不从心。

在网络安全领域中，“如何得出结论”和“结论本身”一样重要。业界需要一种能够“三思而后行”且提供可审计逻辑链的安全大模型，这样才能增强对其输出结果的可信度。思科的 Foundation AI 团队顺势而为，在 2026 年年初发布了全球首个专门为网络安全领域打造的开源原生推理大模型。

工作准备

基于 Foundation AI 此前发布的基座模型 Foundation-Sec-8B，该模型基于 Llama-3.1-8B-Base 且在 80 亿 token 的私有网络安全语料库上预训练而来。

研究人员又利用 Gemini-2.5-Flash 构建 Agent，生成了约 200 万个合成数据样本，从而进行第一阶段的微调。这 200 万数据中并非完全是网络安全相关语料，网络安全语料只占到 26.8%。在垂类大模型的训练中，最害怕由于喂了太多网络安全知识，导致模型连最基础的代码和数据逻辑都遗忘了。所以数学和编程数据占到了约三分之一；剩下的则是指令遵循、通用对话、科学和安全对齐数据。

用到的网络安全相关评估 Benchmark：

用到的通用评估 Benchmark：

工作设计

与传统的指令微调不同，研究人员采用两阶段推理训练模式：

阶段 ① 监督微调（SFT）植入推理本能

在 200 万合成数据上进行 3 个Epoch 的微调，使模型学会原生推理行为。之后模型在输出最终答案前，会生成显式的推理轨迹。

阶段 ② 可验证奖励强化学习

使用组相对策略优化（GRPO）算法，为每个 Prompt 生成 5 个回答，通过任务验证给出二元奖励。研究人员也解决了强化学习中两个常见的痛点：

数据异构性：不同任务的输出长度差异巨大，如果简单地将长回答的所有 Token 损失求平均，会导致模型在弱势任务上输出冗长、重复的废话来降低 Loss。而 Dr.GRPO 提出的“样本级损失聚合”方法，可以确保长序列和短序列对梯度更新的贡献公平。

奖励破解与格式退化：模型也会发现损失会随着输出长度增加而减小，于是为了“偷懒”，它可能只输出最终正确答案，而把思考过程缩短为

<think>No</think>

。研究人员在奖励函数中硬编码了格式惩罚，强制要求模型输出的推理思考，必须有实质性内容。从而降低了模型用短答案或者毫无意义的长废话来骗取奖励所带来的影响，这也是训练垂类小模型需要注意的地方。

工作评估

网络安全基准测试

在 CTIBench-RCM 这个极其考验底层安全推理的任务上，该模型取得了 75.3% 的好成绩，不仅超过了指令微调版（70.4%），甚至超越了参数量大 15 倍的 GPT-OSS-120B（71.2%）以及 Llama-3.3-70B-Instruct（68.4%）。值得注意的是，在其他几个数据集上，该模型未能与其他表现较好的开源模型拉开差距，并且被商业模型 GPT 大幅领先。

在最新的未见漏洞预测集 CWE-PREDICTION 上，同样拿下了 70.4% 的高分。在其他数据集上的表现也是平平无奇，更是比商业模型差很多。

Foundation-Sec-8B-Reasoning 模型表现良好，在多个场景下均取得了不错的效果。

网络安全垂类训练并没有牺牲它的通识能力。经过强化学习训练后，模型在 2WikiMultihopQA 这种长文本逻辑题上实现了较大提升，准确率升至 60.5%。

在 AlpacaEval 2场景下，提升了 146%。唯一的微小代价是代码生成（HumanEval）能力略微下降了约 2.4%，但这可以用其他专注于Coding的模型来解决。

Foundation-Sec-8B-Reasoning 模型表现良好，在多个场景下均取得了不错的效果。

通过消融实验对比发现，仅做监督微调的模型在多跳推理上得分惨不忍睹（如 2WikiMultihopQA 仅 24.4%）。在利用监督微调建立领域知识后，正是强化学习赋予了模型深度解析和指令遵循的能力，让表现得以大幅提升。

由于具备更强的推理能力，该模型如果被黑客利用编写恶意软件将极其危险。为此，团队为其量身定制了名为 "Metis" 的系统提示词，严格框定了它的安全边界。加上 Prompt 后，模型拒绝恶意请求的通过率达到了 93.00%；如果外挂 Llama-Guard-3 护栏，防御率高达 98.25%。

“小模型+强化学习推理”的模式能够在不牺牲广泛通用能力的前提下，在垂类任务上实现对通用大模型的反超。通过将系统提示词设定为“拥有高级网络安全专家经验”的 Metis 角色，并要求其在输出云安全配置等关键信息时必须绝对精准并引用来源，可以进一步锁定模型的专业度与安全性。

工作思考

现今的评测仍然局限在文本形态的一小类（如威胁情报报告），后续将网络安全领域承载更多信息的形态（如网络流量）接入处理，能力范围将进一步扩展。随着大模型能力的进一步提升，Agentic Workflows可能会越来越有用。

一方面如果本地部署的安全模型可以比肩规模较大的云端大模型的效果，那么就可以将调用API的费用省下来，并且能更好的保证数据隐私合规。

跳转微信打开

大模型现在真的可以取代安全分析人员了吗？

工作来源

ARES 2025

工作背景

在整个网络安全行业都在疯狂炒作“用大模型取代安全分析师”、“用 AI 自动化提取威胁情报”的当下，很多人声称大模型可以完美解决威胁情报报告信息提取的痛点。利用大模型来提取大量的、非结构化的威胁情报报告（如 Mandiant、卡巴斯基发布的 PDF 报告或博客技术文章）中的关键实体（如攻击者、恶意软件、漏洞）以及它们之间的关系（TTPs）。

演示效果较好的场景，往往使用人为截断的短文本段落，而不是动辄几十页的真实的、完整的报告。根据传统的准确率和召回率等表面指标就能够确定有效性吗？能提出来可能远远不够，还必须确保大模型的一致性（每次回答是否一样）以及置信度（对提取结果的自信是否可靠）。想要将大模型作为工业级组件应用到实际场景中，可靠性验证是必备的一环。

工作准备

研究人员整理了350份真实的、完整的威胁情报报告，这些文件中包含复杂的上下文与难以理解的长文本。选取的86个APT组织均在2008年至2020年期间发起过至少⼀次攻击活动。

准备了当时最顶级的闭源和开源大模型，包括 GPT-4o（OpenAI）、Gemini 1.5 Pro（Google）以及 Mistral Large 2。提示词按照常见规范要求进行设计：

工作设计

将威胁情报报告的提取任务核心为命名实体识别（NER）与关系提取（RE）：

• 实体：攻击者（Attacker）、恶意软件（Malware）、漏洞（Vulnerability）等；

• 关系：攻击者使用恶意软件（Uses）、恶意软件利用漏洞（Exploits）等。

根据三种不同的策略使用大模型：

① 零样本学习：直接让大模型进行处理。

② 少样本学习：基于检索增强生成（RAG），在 Prompt 中动态注入 1、3 或 5 个相似的标注示例供模型参考。

③ 模型微调：使用特定数据集对开源模型（如 Mistral 8x7B）进行全参数/LoRA微调。

与传统的方式不同，研究人员引入了两个新的指标来进行效果评价：

一致性：由于大模型存在采样随机性，研究人员使用Fleiss’ Kappa系数来评估模型在多次运行时的稳定性。对于同一份报告、同一个 Prompt，作者让大模型重复提取 5 次。如果它每次提取的 APT 组织名称和 TTP 关系都完全一样，就是高一致性。

置信度：模型输出结果时，研究人员要求其附带一个 0 到 1 之间的自信度评分。然后使用预期校准误差（ECE）与布里尔评分（BS）来对其进行衡量。简而言之，如果模型宣称自己有 90% 的把握，那么它输出的这批结果里，真实准确率是否也达到了 90%？如果它只有 40% 的准确率却给出了 90% 的自信度，这就是严重的“过度自信”。

工作评估

结果是相对悲观的，不宜对其有过高的期待：

基础提取能力低下：在面对真实长篇报告时，所有模型在零样本学习场景下的表现堪称灾难，F1 分数极低。使用RAG的少样本学习确实提升了性能，但当示例增加到 3 到 5 个时，性能提升就遇到了明显的“天花板”，远未达到可以完全替代人工的及格线。

一致性差：大模型是一个十分“善变”的分析人员，实验表明，同一个模型在 5 次独立运行中，提取出的实体和关系出现了巨大的波动。尤其是面对复杂的“关系提取（如 A 利用了 B 漏洞）”时，模型的一致性发生断崖式下跌。相比之下，GPT-4o 比 Gemini 和Mistral 稍微稳定一些，但依然无法满足工业级稳定性要求。

过度自信：所有的LLM 都表现出了极度的自大，它们经常给自己的结果打出90%以上的高置信度，而实际准确率往往只有 0.4 到 0.6。

微调迷思：微调让模型提取的 F1 分数有所上升，但它的置信度校准完全崩盘了。微调后的模型“学乖了”，它学会了迎合标准答案的格式，导致无论它提取的内容对错，它都近乎 100% 盲目自信。

工作思考

如果我们引入大模型是为了节省人力，但由于它经常在没有把握时瞎编乱造，导致安全分析人员必须逐行去验证它提取的信息，那么验证这种低质量输出所花费的时间，可能比分析人员自己去读报告原文还要长。这也是目前很多企业落地 AI 安全产品后，感觉到“越用越累”的根源。

目前来说，大语言模型可能在威胁情报提取方面还没有那么可靠。它们目前的技术成熟度，可能还无法胜任完全自动化的情报生产。业界可能需要停止对大模型在安全领域的盲目崇拜，重新正视大模型对人的辅助分析能力。（PS：这个是在 GPT-4o 的时代做的研究，那是2024年5月发布的模型。两年过去了，大模型也在快速进步，尽信书不如无书）

很多公司宣称“我们用百万级高质量语料微调了专属安全大模型，准确度很高”。但实际上，微调过程中的“过拟合”可能也破坏了基础大模型原本保留的一丝“自我怀疑”能力。微调后的安全大模型变成了一个“傲慢的骗子”，这对依赖大模型置信度阈值来进行告警分级的 SOC 平台来说，是绝对的毒药。

LARGE LANGUAGE MODELS ARE UNRELIABLE FOR CYBER THREAT INTELLIGENCE

跳转微信打开

Virus Bulletin也是老牌会议，从 1991 年就开始举办，历经三十余载。

Virus Bulletin也是老牌会议，从 1991 年就开始举办，历经三十余载。2024年的 VB 是在爱尔兰的都柏林举办的，为期三天。各国各公司的安全专家齐聚一堂，分享对全球威胁的理解与发现。

若是通过本文的介绍，或者是查看官网议程安排后，对其中某些议题感兴趣的话，就可以在官网下载议题对应的材料进行扩展阅读。（PS：笔者根据自身的认知局限与好恶为部分议题打了推荐查看的星级，不代表对议题实际内容高下的评判，只是为部分时间宝贵的读者再节约些时间，这部分议题相对来说可能更加值得一看。）

揭开暗网洞利用市场的神秘面纱 ⭐⭐⭐

暗网市场到底存在多少真实的漏洞利用武器？漏洞利用的经济体系是否遵循与其他合法市场相同的规则？

在 2023 年和 2024 年间，总共发布了约 550 个漏洞利用，平均每月发布约 26 个。

0-day和 1-day大约占总数的一半到三分之一。

影响漏洞在黑市定价的五个关键因素：1. 漏洞利用的类型（如 LPE 还是RCE）；2. 销售数量（独家买断还是批量多卖）；3. 目标系统的关键性和普及程度；4. 报价的独特性（是否附带源码）；5. 卖家的声誉。

本地提权（LPE）漏洞利用的平均价格约为6万美元 ；而远程代码执行（RCE）漏洞利用的平均价格约为10万美元。

RCE的价格也不都是一样的，目标系统越普及越重要，其价格越高。

例如卖家出售Microsoft Outlook RCE 0-day 漏洞，价格高达170万美元。卖家要求必须通过知名黑客 ShinyHunters 作为中间人进行担保，并要求买家先提供“资金证明”，严禁记者打扰。

主要买家群体包括：APT 组织、勒索软件团伙、经验丰富的独立黑客、以及受资助的黑客行动主义者。如一买家悬赏10万美元求购 0-day 漏洞，明确点名需求目标为 Github、Gitlab、Twitter、Snapchat、Cisco VPN、Pulse VPN 等大型平台或企业软件，并承诺给牵线搭桥的中间人1万美元的比特币中介费。

57%的卖家在平台上只发布过 1 个漏洞；36% 的卖家发布过 2 个；仅仅只有极少数的 7% 的卖家发布过 3 个及以上的漏洞。漏洞黑市呈现极其明显的“长尾效应”，超过一半的卖家属于“一锤子买卖”。

分析了一个典型卖家，他在 2024 年发布了 5 个漏洞报价，潜在收入达到54万美元。

暗网交易其实严重缺乏流动性。虽然 0-day 在外界被吹得神乎其神，但在暗网茫茫人海中找到一个“既懂复杂漏洞技术、又有十几万美金预算、并且愿意信任卖家”的精准买家其实非常困难。时间拖得越久，被其他研究员“撞车”发现或者被厂商偷偷静默修复的风险就呈指数级上升。一旦补丁发布，价值数十万美金的代码瞬间变为废纸。

0day.today曾是暗网非常有迷惑性的虚假漏洞交易平台。他们通过窃取开源的陈旧安全代码，或拼凑完全无效的伪造 PoC，配上夸张的标题，专门骗取那些技术能力不强、急于求成的新手黑客的比特币。光靠骗人就赚了将近 85 个比特币，价值近 570 万美元。

为了维持交易秩序，暗网衍生出了保证金制度。在账号旁边亮出高额的比特币存款余额，既是向卖家展示“我不差钱”的诚意，同时也是一种极佳的反侦察手段。

担保机制也起到了撮合交易作用。买家先把加密货币打给论坛的官方担保人 -> 卖家将漏洞利用代码发给担保人 -> 担保人（通常懂技术）负责验证代码是否真如描述般有效 -> 验证通过后，将代码发给买家，同时扣除中介费后将资金打给卖家。担保人会抽取高额的佣金，通常为交易额的 5% 到 15%，绝大多数高价值的0-day 交易都被强制要求走担保人交易。

双方争执不下，暗网平台还提供仲裁机制。暗网通过以上三个机制来使交易双方都认可该平台，从而撮合交易完成。

顶级 0-day 其实是战略级原材料，将其武器化就脱离了普通黑产、金融犯罪的范畴，升格成为了大国网络空间博弈、顶级 APT 组织的核心战略资源。

攻击归因与攻击基础设施分析 ⭐⭐⭐

研究人员介绍了海量的例子，在此不一一列举，感兴趣可以查看原PPT。例如利用TLSH寻找Gamaredon组织的样本：

例如寻找OILRIG 组织的 SAITAMA 后门：

例如基于证书检索：

例如监控Lazarus的独特行为：

例如APT 42重复利用基础设施绑定域名：

例如根据证书跟踪朝鲜黑客组织Kimsuky：

例如Storm-0558使用和SoftEther VPN相同的JARM指纹且2037年过期，以及签发中并不包含softether相关信息。

Linux下利用进程内存与eBPF探针检测共享对象注入攻击 ⭐⭐⭐

共享对象注入攻击示意：

检测 DT_NEEDED 感染策略如下所示，仅靠日志监控“存在”会导致大量误报，最好是可以精确指出哪个恶意模块Hook了哪个底层函数（如xstat, readdir）及其内存地址。

第一步要识别所有导入函数：

第二步要建立内存中共享对象及其基址的列表：

第三步要识别预加载共享对象及其导出符号：

最后符号交叉比对并锁定受害者：

研究人员开源了检测工具ELFieScanner，其中包含43种启发式检测逻辑。

https://github.com/JanielDary/ELFieScanner

研究人员列举了好多实战示例，例如使用 Kprobe 捕获内核级内存分配。

996的IcePeony组织⭐⭐

2024年 7 月初，IcePeony 的服务器误配成了开放目录，对外暴露了攻击工具、恶意脚本与日志。

攻击者通过 C2发送请求至受害者的 IIS 服务器，随后该模块可能与内网深处的受害者服务器进行内部通信。这种“边界中转 + 内网直连”的架构非常隐蔽。

攻击者的活跃时间集中在早上 8 点到晚上 10 点之间，很少有攻击者能够保持这种长达 14 小时高强度、集中时段的运营。

攻击者从周一到周六都保持高强度工作状态，周日则基本上肯定会休息。

总结其钻石模型：

揭开向印度尼西亚出口间谍软件的隐秘网络 ⭐⭐

至少在19个国家/地区发现了间谍软件的痕迹，商业网络武器是一个全球化、无国界的产业链。

印度尼西亚甚至在未与以色列建交的情况下，从相关公司绕路新加坡进口间谍软件。一个名为 PT. RADIKA KARYA UTAMA 的供应商在 2017 年中标了雅加达情报局的采购项目，项目明确标注为“ZERO CLICK INSTRUCTION SYSTEM（零点击指令系统）”，合同价值高达 989 亿印尼盾（约合数百万美元）。

Wintego是一家以色列公司，其产品手册显示：公司的网络情报系统可提取聊天应用、邮件、日历、照片、实时位置等极度详细的个人数据。

海关数据显示，2019 年一套价值 559 万美元的“WINT SYSTEM”从新加坡 ESW Systems 发给了印尼国家警察。该系统号称可通过 WiFi 提取目标设备的数据。

Intellexa的间谍软件在多地以 Predator、Helios 和Arrows 等名字销售。通过全网测绘，研究人员在印尼境内发现了一台服务器，其指纹特征与 Predator 间谍软件的后端服务器完全吻合。

2021年底其后端服务器（103.106.174.99）暴露 ；2022 年捕获到其伪造西巴布亚和印尼新闻的域名 (ewestpapua.org) ；2023 年捕获到其伪造 Gelora 新闻/政党的域名(geloraku.id) 。

Candiru (Saito Tech) 支持针对 Windows、iOS 和Android 平台的攻击，甚至内置了完整的漏洞利用链，用于收集端点设备元数据和社交媒体情报。

数据证实 2020 至 2021 年间有针对印尼警方的系统交付。2021 年 7 月，CitizenLab和微软的报告通过网络扫描也确认了印尼存在疑似客户 。其中一个域名 indoprogress[.]co 模仿了印尼的左翼新闻网站 IndoPROGRESS。

全网扫描发现与NSO关联的防火墙 IP（117.102.x.x和 203.142.x.x）属于印尼的"RADIKA KARTA UTAMA" 公司网络，这恰好与前文印尼警方招标数据库中购买“零点击”系统的中标公司是同一家。

Kimsuky正在使用Go重写核心恶意软件⭐⭐

S2W内部使用puNK代表朝鲜方向的攻击组织，Kimsuky 被细分为 DragonpuNK, SharkpuNK, 和 SeedpuNK。

每个攻击小组都有各自的武器库，SeedpuNK 被认为是一个专注于开发后门和窃密木马的核心技术团队。

SeedpuNK传统的恶意软件是使用C/C++开发的，只针对Windows系统。

近期发现 SeedpuNK 在使用三种新恶意软件：AlphaSeed, Troll Stealer 和 GoBear。

传统的利用邮箱做 C&C 的木马通常使用 SMTP/IMAP 协议，容易被防火墙拦截或被邮件服务商风控。AlphaSeed内置并使用了名为chromedp的无需外部依赖、通过 Chrome DevTools 协议驱动浏览器的 Go代码库。在受害者机器上启动一个不可见的 Chrome 浏览器，像真人一样在网页版 Naver 邮箱里点按钮、写邮件。

为什么一个习惯于 C++ 的黑客组织能在短时间内高产出如此多基于新语言的恶意软件？微软认为Kimsuky深度利用了大模型。韩国政府也在推行基于Linux的国产操作系统，Go可以更容易地跨平台。

Gh0st的前世今生 ⭐

多个Gh0st的变种演化关系：

想要在主机端狩猎，关注那些在历代变种中几乎不怎么改变的核心封装函数，例如自定义的 MyCreateThread()：

想要在网络侧狩猎，底层的网络包协议结构是固定的：

发布的威胁报告在加强互联网防御中的作用 ⭐

分析了 2010 年至 2024 年 7 月期间发布的 2264 份威胁报告，其中有 498 份报告提到了 CVE。报告中共提及了 1316 个CVE，其中去重后为 449 个独特 CVE。

例如特定漏洞：

按受影响的软件来看：

部分影响力较大的报告：

为什么有些写得很好的报告却无人问津？该漏洞已经是众所周知的旧漏洞，用户早就打过补丁了；在遥测数据中该软件的可见度很差（例如只在特定小国家流行）；或者在报告发布期间，扫描器厂商（如 Tenable）还没有开发出对应的检测插件。

如何利用知识图谱与图神经网络狩猎攻击基础设施 ⭐

从响应式检测前移，构建主动式检测。

恶意主机名 -> 分析新注册主机名 -> 发现共宿关系（综合 TLS、哈希、SSH、重定向等信息）-> 构建知识图谱 -> 送入图人工智能（Graph AI）模型 -> 预警的恶意域名。

多维度特征工程：词法特征（如包含大厂名字/连字符）、托管特征（绑定 IP 数量、托管时长）、WHOIS 特征（域名注册时间、过期时间、是否开启隐私保护）、证书特征、IP 特征（ASN、国家代码）、基于网页内容的特征（如是否包含诈骗表单、iframe 数量）。

使用半监督图神经网络进行训练：

效果非常好，如果牺牲一半的检出率（召回率下降），可以获取99.9%的准确率。

通过UMAP等方式对特征空间进行降维可视化：

基于Gamaredon的少量种子，扩展出对更多基础设施的判断：

其中有34个域名后续被标记为恶意：

网络安全中便利的隐形代价 ⭐

容易被远程访问的设备分布：路由器（29%）、智能电视（29%）、IP 摄像头（26%）、DVR录像机（6%）、机顶盒（3%）等。

UPnP问题很多：缺乏身份验证、输入验证不严、内存损坏漏洞、SQL 注入、XML 外部实体（XXE）攻击、缺乏日志记录等。并且，很多路由器厂商写代码太烂，不仅内网可以调 UPnP，甚至外网也能发指令。

出厂默认使用且不会被修改：

超过半数的家庭每天都在经历外部的“远程访问”，可如果是在默认禁用UPnP 的设备中，发生远程访问的骤降至 9%。

攻击者滥用云端集成开发环境构建基础设施⭐

各家都推出了云端集成开发环境CDE：

GitHub Codespaces的架构很典型：

攻击者很简单即可利用公共服务开放暴露特定端口，

访问的子域名还挂在GitHub的官方域名下：

攻击者已经开始滥用该技术，从单一维度转向上下文关联可发现异常：

多模态AI作为网络防御第六感 ⭐ 

基于GPT-4o进行钓鱼邮件检测，编写提示词即可自动分析邮件头、正文与视觉元素，并以极少的样本识别新型钓鱼攻击。

例如仿冒Paypal的钓鱼邮件：

对比了传统 ML（随机森林 RF、XGBoost）与多模态 AI (GPT-4o) 的表现，多模态 LLM 掌握了“欺骗行为”的底层逻辑和视觉语义模式，具备极其强大的泛化能力。

基于多模态的网站分类流水线：HTML/图像 -> GPT-4o 文本描述 -> OpenAI 嵌入模型生成数值向量 -> 训练随机森林/XGBoost 进行分类 。这是一个大模型蒸馏架构，大模型作为“高级特征提取器”，将复杂的视觉信息降维成文本，再转成向量，最后交给计算成本极低的传统树模型去执行快速分类，以此来平衡检测精度与算力成本。

顶级APT组织The Mask重新回归 ⭐

The Mask通常被认为是西班牙语国家支持的黑客组织，从过往的攻击目标来看，极有可能是西班牙本土国家级情报机构。

FIN7开始使用新型AI 深度伪造诱饵 ⭐

FIN7注册了数千个域名，使用了 68 种不同的顶级域名。

这些域名托管在 90 个自治系统上。

FIN7正在托管多个蜜罐，例如通过名为“aiNude.ai”的“一键脱衣生成器”来分发恶意软件。

AI深度伪造蜜罐的代码中包含了来自 Facebook Audience Network与俄罗斯 Yandex Analytics 的 JavaScript 跟踪代码，但目前尚未发现相关的广告。一方面是帮助黑客监控受害者流量和转化率，另一方面是带有商业追踪代码的页面更容易被安全厂商的自动化爬虫判定为“合法的商业网站”，从而降低被封堵的概率。

恶意代码签名的早期预测 ⭐

代码签名证书的两大主要用途：标明软件发布者身份、验证软件是否被篡改。曾经Stuxnet这种国家级APT才会盗用证书，现在各种犯罪团伙都开始这么玩。获取证书的途径分为两种：1、从已有证书的组织窃取（传统常见方法）；2、购买通过各种手段签发的证书（近期激增的方法）。

暗网中的证书售卖主要集中在拉脱维亚、立陶宛、爱沙尼亚和英国，卖家甚至提供“代建壳公司”服务。价格不菲，说明攻击的回报其实很高。

由于有真金白银的投入，所以只要CA没有将证书吊销，攻击者就会持续使用好几个月。攻击者也不会直接就签发恶意样本，而是先签发合法样本提高证书信誉度。

同一提交者会在同一时间点，提交多个不同证书签发的测试样本。

交者 E 在 12月21日 14:59 到 15:00 的短短一分钟内，连续提交了 5 个由不同公司签发的 putty 程序。

进一步找到其他测试样本：

测试样本与实际恶意文件出现之间的平均时间差为 75.3 天，这也为防御方创造了时间差。从各方面信息来看，攻击者应该是仿冒了合法公司，通过了薄弱的身份验证流程。

巴基斯坦APT组织如何武器化WinRAR漏洞 ⭐

像 WinRAR 这种泛用型软件爆出 1day/0day，全球攻击者会快速在武器库中投入使用。

印度政府与军方正在从 Windows 过渡到基于Linux开发的国产操作系统，所以攻击者也对应开发了Linux平台的攻击。

可以发现其Linux Stager与APT 36的样本逻辑高度一致：

Crimson RAT是APT 36的核心武器：

研究人员发现攻击者的服务器 campusportals.in 存在目录遍历漏洞。直接在浏览器中就能看到攻击者存放的恶意 HTA 脚本、诱饵文件等后端资源。

跳转微信打开

Virus Bulletin 也是老牌会议，2025 年大家聚在一起聊了什么？

Virus Bulletin 也是老牌会议，从 1991 年就开始举办，历经三十余载。2025 年的 VB 是在德国柏林举办的，为期三天。各国各公司的安全专家齐聚一堂，分享对全球威胁的理解与发现。

若是通过本文的介绍，或者是查看官网议程安排后，对其中某些议题感兴趣的话，就可以在官网下载议题对应的材料进行扩展阅读。（PS：笔者根据自身的认知局限与好恶为部分议题打了推荐查看的星级，不代表对议题实际内容高下的评判，只是为部分时间宝贵的读者再节约些时间，这部分议题相对来说可能更加值得一看。）

基于LLM和函数级Embedding跟踪IoT僵尸网络血缘 ⭐⭐⭐

源自朝鲜的 IoT 攻击呈稳步上升趋势，国家级APT组织越来越喜欢劫持民用 IoT 设备（路由器、摄像头）作为攻击跳板来掩盖真实来源。

构建了基于 LLM 的深度二进制分析工具DBP-L，它能过滤噪声函数、测量 C 代码相似度、追踪函数历史、分配标签、测量复用率，并提取证据来区分全新威胁还是变种。

反编译为C代码后，进行预处理和分词，再利用LLM进行语义分类，提取Embedding并生成特征向量。

目标文件经 Ghidra 反编译 -> LLM 筛选恶意函数 -> 生成向量 -> 生成函数哈希 -> 在数据库中查找相同的函数哈希获取家族标签。

为了缩小搜索空间，利用嵌入向量并应用向量量化（Vector Quantization）技术，将相似向量映射为相同的短哈希（如7ABBB9）。通过LSH等量化技术，把浮点运算降维成哈希比对，兼顾了模糊匹配能力和极速检索。

C&C消息的演进过程：

完整家族血缘图谱：

Rebirth Reborn 不是一个独立的家族，而是 Demon 家族的直接变异后代。

从编译的 macOS 恶意软件中提取嵌入式脚本 ⭐⭐⭐

原本是脚本（如 bash 或 Python），但被打包成了 macOS 的应用程序包（.app）或可执行文件。

常见的四种将脚本打包为原生应用的主流工具：

Platypus完全不混淆，只单纯套壳，比较简单。

PyInstaller也是相对好识别的：

Electron的应用体积通常会很庞大。

Tauri默认使用 Brotli 算法对 JS/HTML 资源进行压缩并硬编码到 Mach-O 数据段中。

苹果原生的 osacompile 工具可以将 AppleScript 编译成“仅运行”的 macOS 应用程序。

利用Smali字节码的结构特征和控制流狩猎安卓恶意软件C&C指令 ⭐⭐

识别的核心在于检测C&C指令的处理模式，主要有四类处理结构：（1）密集的 if-else 链或 switch-case 块（如 TgToxic, AhRat, Octo）；（2）利用 HashMap 将指令映射到函数（如 XLoader）；（3）将指令存储在大型数组中（如 Copybara）；（4）在单个类中嵌入多个常量字符串（如 Nexus, Cerberus）。

第一类

第二类

第三类

第四类

核心方法论：解析 APK/DEX 的 Smali 操作码-> 统计特定操作码和 API 调用的数量 -> 根据阈值标记可能包含 C&C 指令的函数。工具必然存在误报，例如某个提取出的函数包含了rotationX, translationY, alpha 等字符串。这其实是 Android 原生 UI 动画库处理属性切换的合法代码。但这在可接受范围内，因为初衷是为了大幅缩小分析师的检索范围。

Hook伪随机数生成器恢复加密密钥 ⭐⭐

列举了36年来勒索软件的演进，从 1989 年的 AIDS Trojan，到 WannaCry、Conti、Babuk，再到 2025 年结合 AI 的最新变种。

伪随机数生成器生成密钥后，一旦对称密钥在内存中被加密并丢弃，如果没有黑客的私钥，数据实际上是不可恢复的。

两种加密机制：

这两种方式都各有拥趸：

使用开源的minhook库在用户态拦截了 SystemFunction036 的调用。一旦有程序调用它生成随机数，Hook 程序就会静默地将生成的随机字节记录到一个指定的日志文件中。

POC确实可以实现解密：

揭秘印度背景的APT组织蔓灵花 ⭐⭐

蔓灵花的核心画像：具有印度背景；目标为政府、国防和能源部门；常利用被入侵的政府账号或免费邮箱发信；滥用 Let's Encrypt 证书；利用计划任务建立持久化；武器库包含 C++ 和 .NET 的远控木马（RAT）以及CHM 帮助文件。

蔓灵花的鱼叉邮件紧跟地缘政治热点，如伪装成中国国防部/外交部发给驻华武官的涉外规定信件、伪装韩国外交部发送韩国戒严令局势说明等。

将主机名和用户名明文或简单拼接放在 URL 参数中，是此类南亚 APT 的典型特征。

通过“键盘级操作”活跃时间、DNS请求活跃时间、证书签发时间、域名注册时间分析，可以发现攻击活动高度集中在印度标准时间周一至周五的上午9点至下午6点左右。

其武器库中有较多恶意软件，说明他们有专职的研发团队在持续开发所需的各种类型恶意软件。

对比了不同时期的恶意软件的C/C++代码，都调用了 GetComputerName、GetUserName，并通过查询注册表SOFTWARE\Microsoft\Windows NT\CurrentVersion 来获取ProductName。

各种恶意软件间共用了字符加减混淆、字符异或混淆、AES加密等方式：

在多版本的MuuyDownloader间，攻击者只是微调了代码，例如只是修改了受害者系统信息的拼接分隔符。

深入分析发现其使用的BDarkRAT实际上是抄袭自黑客论坛上有着十几年历史的开源C#远控木马DarkAgent RAT，这样可以在攻击时混淆溯源视线。

为了隐藏意图，攻击者将原本明文的C&C 控制指令（如 "Delete File"）替换成了数字代号。

Muuy从C&C服务器下载的Payload，是PE文件头破损的文件。下载时故意缺失了 PE 文件头部的第一个字节 M（0x4D），而在写入受害者磁盘时Muuy 会手动将这个 M 补全。

分析报告发布后，APT 组织往往会立刻切断暴露的攻击基础设施并进入静默期，随后进行武器库的“升级改造”。

WhisperGate的归因故事 ⭐⭐

在物理军事冲突爆发前夕及初期，伴随着高频、高烈度的关键基础设施破坏。WiperGate 的目的不是为了勒索经济利益，而是纯粹的系统瘫痪和制造社会恐慌。各大安全厂商各自为战的命名体系导致同一个组织出现十几个别名。随着时间推移、证据链完善（结合司法监听），真正的操作者才逐渐浮出水面。

列举了归因攻击的多个维度：1失陷指标 (IoC，如哈希/IP)；2战术技术与程序 (TTPs)；3代码复用与演进；4变量名/语言特征；5攻击者的操作失误；6开源情报追踪；7攻击目标与动机；8地缘政治背景；9文化和时区指标。

使用传统机器学习进行归因，除了GaussianNB归因都是错误的。Ember Bear 是个新成立的组织，历史样本极少，传统机器学习容易过拟合。

使用ChatGPT进行零样本归因也是错误的，提供了单个提示后默认归因变成正确了。

XE Group 长期利用0day漏洞但被低估⭐⭐

2020年7月，MalwareBytes 首次发布报告。指出该组织针对运行 ASP.NET 的 Microsoft IIS 服务器。利用 Progress Telerik UI 中的已知漏洞 (CVE-2017-9248) 上传 Webshell，进行远程代码执行。此时的 XE Group，只是一个利用陈旧 N-day 漏洞“广撒网”捞钱的中低端黑产团伙。2021年12月，Volexity 发布报告。指出该组织通过已知漏洞攻陷外网服务并建立反向 Shell 。被攻陷的服务器被用于窃取密码或信用卡数据。

分析报告认为该组织具有越南背景，在域名、脚本中大量使用“XE”标识。2023年3月，美国网络安全与基础设施安全局 (CISA) 披露，APT 组织和XE Group 利用 Telerik UI (CVE-2019-18935) 漏洞，攻陷美国政府的 IIS 服务器以收集信息和执行代码。

2023年5月，Menlo Security 报告了其利用 Magento 和 Adobe ColdFusion 进行供应链注入。最关键的是，安全人员在Instagram 上找到了疑似幕后黑手“xethanh”的社交账号。

循着线索可以找到更多信息，包括邮箱、用户名与IP地址等：

截至到这，该团伙的技术内核依然停留在典型的黑产流水线作业水平。可在2024年11月6日，一次安全告警引起了分析人员的注意。IIS的进程竟然派生出了cmd.exe与powershell.exe。

定制的WebShell校验UserAgent中是否包含 Base64 编码的“TMToday”或“XeThanh | XeGroups”。

回溯日志时发现，早在五年前攻击者就利用了当时未知的 SQL 注入漏洞 (CVE-2025-25181) 和文件上传漏洞 (CVE-2024-57968)。

WebShell流量中，攻击者在 User-Agent 中肆无忌惮地拼接了 XeThanh、XeGroups、TMToday 等专属标签。这很令人费解，一个有着0day漏洞的攻击组织在网络层如此张扬地留下痕迹。

攻击者从信用卡盗刷转为了针对性的机密信息窃取；放弃了 N-day，转而使用隐秘的 0-day 漏洞并在网络中潜伏数年。永远不要低估对手，你看到的可能仅仅是敌人想让你看到的冰山一角。

深入探讨Linux Rootkit与检测策略 ⭐⭐

Linux Rootkit一直在进化，从最初的用户态升级到内核态，近些年也在利用eBPF和io_uring兴风作浪。

Ftrace和Kprobes已经成为了Linux Rootkit的标配，利用内核自带的、合法的调试功能，隐蔽性相当强。

内核态高频系统调用：

内核态高频函数调用：

用户态高频函数调用：

常见Rootkit看起来检出率很高，但经过简单的符号剥离以及空字节填充后，检出率通常断崖式下跌。

Linux在6.9版本升级时修改了sys_call_table，无意间摧毁了Rootkit最经典的攻击面。研究人员设计了FlipSwitch，仍然可以维持syscall表Hooking。

后面Elastic的研究员介绍了基于行为检测与持久化检测的一些细节，此处不赘述，感兴趣的请看原文。只将缩小攻击面的建议放下：

用户态检测引擎规避技术的猫鼠游戏 ⭐⭐

当前的端点安全检测技术过度依赖用户态Hook，在ring3这一层恶意软件与安全软件拥有相同的权限，这仍然是阿喀琉斯之踵。通常来说，EDR通过注入DLL到目标进程实现监控，利用内联Hook拦截API调用，也依赖ETW/AMSI。这也是用户态规避的基础，攻击者可以读写注入DLL的内存区，也就可以对寄宿在进程中的“寄生虫”摘除。

Hook规避可以分为四类：（1）二级DLL映射/Secondary DLL mapping（2）二进制重载/Binary restoration（3）直接系统调用/Direct system call invocation（4）代码拼接/Code splicing。（这里不赘述细节，感兴趣的读者可以看原文）

二级DLL映射的检测特征：

二进制重载的检测特征：

直接系统调用的检测特征：

代码拼接的检测特征：

“参数伪造”的核心在于（Time-Of-Check to Time-Of-Use/TOCTOU），即让 EDR 检查参数时看到的是“良性”的，但实际执行时变成“恶性”的。通常利用硬件断点或异常处理进行实现。

“引擎对抗”的方式有（1）利用FreeLibrary或者触发引擎的unload函数（2）unmap所有DLL（3）利用进程缓解策略仅允许微软签名的文件load（4）在新的子进程中预加载。

韩国应急响应中心威胁分析 ⭐

KISA（韩国互联网振兴院）在国家网络安全架构中出于核心枢纽地位，向上对接总统府（国家安全办公室）、国家情报院（NCSC）、检察院和警察厅等公权力机构；向下联动私营部门，包括三大 ISP（KT, SKB, LGU+）、安全厂商（AhnLab等）和全球科技巨头（Google, MS, 趋势科技等）；同时开展国际合作（FIRST, APCERT等）。

数据源来自蜜网、恶意网站/DNS检测等，汇入“数据湖”后，结合外部情报（Shodan, Criminal IP 等）进行关系分析。

2024年 Cyber-Spider收集了超 1035 万条短信，去重后分析了 2,136 条恶意短信。

形成网络关系图谱，包括政府机构、快递、讣告与金融等。

韩国本地特征十足，讣告占比达到一半。

没有用什么正经顶级域名：

伪造政府域名的URL存在固定模式。

将规律固化到系统中，自动阻断恶意域名。

如何顺藤摸瓜找到黑客？ ⭐

在受害者与勒索软件谈判时，一台名为 DESKTOP-J8AOTJS 的机器意外连入了受害者的网络监控系统。目录显示，这台机器的 Z:\distr\ 文件夹下塞满了黑客工具：KMSAuto、AnyDesk、ProcessHacker、mimik.zip 以及代码相关的压缩包。

这些文件夹的名称可能就是用户名：

在俄语恶意软件论坛上，研究员成功找到了名为 Marti71 的用户，该用户在 2023 年 12 月发帖求购AV Killer。

论坛帖子显示，一个名为 KernelMode 的用户推销了自己的工具。

自称其工具的最大优势是：“杀毒软件进程不会被结束，表面上保护还在运行，但实际上对文件和内存的扫描已经停止”。该工具号称通杀 Windows 7 到 Win 11，支持绕过 CrowdStrike, Palo Alto, Kaspersky, Defender 等十几家顶级 EDR。收费标准：每个 AV/EDR 绕过包月 1500 美元，起步价 7500 美元。

在这台电脑里，研究员发现了大量极具价值的资料：Conti 勒索软件的实战培训手册（Playbook）、工具套件、一段漏洞演示视频和一张 P-1 费用报销单。在这份报销单上，清晰地印着一家位于哈萨克斯坦的有限责任公司的真实名称。报销的内容居然是“租赁了 30 辆奔驰汽车”的费用明细。

演示视频中录制到了测试系统的机器名，并且录下了操作者正在绕过认证并试图安装 EDR 代理的整个过程。在操作者电脑底部的 Windows 任务栏上，除了正在运行的 WinBox 和 OBS Studio 录屏软件外，有一个窗口的标题栏暴露了该疑似威胁行为者的加长版用户名。

在 LinkedIn 上成功找到了一个名为 Andry 的人，其履历显示他正就职于那家 P-1 报销单上的公司。

APT 37开始使用Rust编写后门⭐

研究机构在持续跟踪ScarCruft，APT37 是朝鲜最活跃、最具技术侵略性的国家级黑客组织之一。

研究人员将其进一步细分成三个子组：

2025年密集出现的新武器，预示着该组织经历了一次重大的技术栈重构。

从高级隐蔽边缘设备攻击到缓解 ⭐

动态Port Knocking，要求数据包的前16字节和后16字节进行异或运算后，等于一个预设的常量。

敲门包不仅用于唤醒，其包含的 MAGIC_PATTERN 实际上也是用于解密后续 C2 配置的 RC4 密钥。

原版 TSH 设计方案可以通过数据包嗅探器拦截种子，并结合从样本中提取的密码，直接派生出AES 密钥来解密所有的后门流量。

黑客实现了“完全前向保密（PFS）”，在代码中硬编码了服务器的 secp521r1（椭圆曲线）公钥。即使拿到了木马样本（含有服务器公钥），只要没有服务器端的私钥，就无法解密截获的网络流量。

AI时代的恶意Chrome插件⭐

扩展核心组件架构：

收到VP发送的即将收购某公司的邮件，并且强调要绝对保密。利用浏览器插件生成回复，就已经将信息泄露出去了。

Frank在 Gmail 中点开了一封包含 LinkedIn 账户重置验证码的邮件。但Frank 完全没有点击任何按钮，也会被入侵。恶意的 Content Script 是基于页面加载事件触发的，攻击者已经控制了 Frank 的 LinkedIn 账户。

攻击者仿冒大火的DeepSeek，甚至还真实提供回复。

刚开始使用无害代码，积累了用户后通过版本更新写入恶意代码。

伪装成 Perplexity 的假扩展，拦截并收集用户绝密提示词数据。

无声渗透：东亚企业数据暴露的暗网分析 ⭐

如今有个趋势是：攻击者不是黑进来的，而是直接登录进来的。一份真实的 IAB 泄露日志示例（源自 Redline Stealer）。包含高价值目标如 VPN 入口、RDP 远程桌面网关，以及 Outlook Web Access (OWA) 的登录 URL、账号和明文密码。

根据中国台湾、日本、韩国、新加坡和中国香港的政府与市值较高的企业（共849个域名），过去三个月内超过 7000 份初始访问经纪人（IAB）的泄露日志。中国香港和新加坡是做的比较好的，而只看政府相关的网站则是日本和新加坡做的比较好。

企业数据泄露情况对比如下所示：

华尔街盗窃加密货币之狼 ⭐

Crypto traffers 主要是以俄语为母语的网络犯罪集团，专门对目标进行社会工程学攻击，目的是窃取加密货币和数据。黑产中的典型术语，如工人、导师、猛犸象、鲸鱼等。

招聘广告中指出这是“网络诈骗领域的最佳解决方案”、“Win/Mac 双端窃密马”、“24/7 日志检查与免杀支持”。

在 2022-2025 年间从 2.4 万名受害者手中窃取了超 500 万美元：

边缘设备暴露RCE漏洞的协作响应 ⭐

Shadowserver核心工作是水坑、扫描（37亿IPv4与32亿IPv6）、蜜罐感知与恶意软件沙盒（每天百万级，历史累计20亿个）。

Shadowserver (2020+) 数据中心规格：位于加州，68 个机柜，1078 台物理服务器，14.2 PB 存储，3 万多核 CPU，设施总值 3-4 千万美元。

在全球部署了数千个蜜罐：

对漏洞利用的持续跟踪：

领先他人发现在野漏洞利用：

最后举了Microsoft SharePoint CVE-2025-49706、Palo Alto PAN-OS CVE-2024-0012与Citrix NetScaler CVE-2023-3519的例子，此处不再赘述。

如何利用DNS4EU从请求中捞出威胁 ⭐

其数据处理架构如下所示：采用了“集成学习”的思路，结合基于结构（隔离森林）、基于密度（DBSCAN）和基于概率（GMM）的三种不同算法。

每秒最低处理约 15,000 次查询。每小时 5400 万次查询，每天最低 12.96 亿次查询。每周估算存储约 1TB。

特征工程：

两步走：1、通过聚类找出异常点（隔离森林、GMM、DBSCAN 模型）。2、利用贝叶斯推断（Bayesian Inference）来降低误报率。

模型引入了“先验信念（Prior belief）”。比如预设“只有约 5% 的域名是恶意的”，或者“某个情报源通常很准”。并为每个信念赋予置信度权重。当一个新域名带着各种证据（如异常模型告警）到来时，模型会评估这些证据是更符合“恶意”的特征，还是更符合“良性”的特征。每一项证据都会动态向上或向下调整信任度，结合先验概率，计算出最终的“后验概率（该域名是恶意的实际概率）”。

采取了“次日回溯验证法”。对于今天提议拦截的域名，在第二天查询其在 Tranco 白名单排名、15 种商业威胁情报源、以及 VirusTotal / Urlscan 等 API 中的状态 。根据命中情况进行 0-5 分的打分（例如：如果在 Tranco 前列得 0 分即良性；如果在 VT 中被多家检出则得 5 分即确认为恶意）。

案例一：位列 Tranco 全球白名单前 10 万名以内的域名，被俄罗斯情报总局（GRU）下属的 APT 组织BlueDelta 用于针对欧洲关键网络的多阶段间谍活动。

案例二：伪造Adobe软件更新域名，该攻击基础设施与LockBit勒索软件有关。

案例三：伪装成Zoom软件更新域名，其TTL值为1。

案例四：DNS隧道或者DGA域名。

案例五：商业间谍软件 Predator Spyware的恶意域名。

案例六：窃密木马Lumma Stealer。

DNS4GOV：欧洲PDNS 准备情况 ⭐

DNS4EU旨在通过独立的DNS 保护来增强欧洲的数字安全。欧盟委员会的目标是为公民、机构和企业提供安全、符合隐私规范且强大的递归DNS。创建基于欧盟的独立 DNS，并对威胁做出实时反应。此举措凸显欧洲在面临地缘政治风险时，追求“数字主权”和摆脱对美国科技巨头（如Google 8.8.8.8 或 Cloudflare 1.1.1.1）依赖的急迫性。

欧盟约有 20 亿台联网设备，4.48 亿独立用户。并且，超过 90% 的网络攻击依赖于 DNS。项目由 Whalebone 牵头，其他成员包括 CZ.NIC、布拉格捷克理工大学、Time.lex、deSEC、HUN-REN等。还有多个国家的网络安全中心（如罗马尼亚 DNSC、波兰NASK）作为合作伙伴。

DNS4GOV针对政府，支持多租户架构的分层部署模式。

2025年已有 20 多个国家级网安中心（NCSC）处于后期引入阶段，18 个处于概念验证阶段，且已有 14 个 CERT接入 MISP 威胁情报交换平台。

其后端数据处理流水线如下所示。过去一个月屏蔽了超过 38 亿次恶意域名访问，数据库中拥有 2650 万个独立恶意域名，每天新增 35 万个。其中 56% 为恶意软件，18.28%为 C&C 节点，12.2% 为钓鱼网站。

杀伤链中的EDR Killer江湖 ⭐

EDR Killer已经演变成独立的服务，勒索软件的“附属分支”（Affiliate）会向 RansomHub 控制的服务器请求生成专属的 EDRKillShifter 载荷。Medusa、RansomHub、BianLian和 Play 等多个互为竞争对手的勒索团伙，竟然共享了相同的工具。

通过恶意软件读取的卷序列号，可以发现相同攻击者为多个勒索软件团伙提供工具。

从攻击者购买的免杀加壳服务HeartCrypt来看，两千多个文件中EDR Killer仅占到2%。

一款名为 ScorchedHeart 的恶意驱动程序会主动寻找5个随机字母名字的驱动，并直接删除各大杀软安装目录下的 .EXE 文件，同时杀死相关进程。其硬编码的目标列表中包含了 Eset、Symantec、Sophos、HitmanPro、Kaspersky、SentinelOne 等几乎所有主流厂商。

攻击者滥用已经过期或被吊销的代码签名证书，并操纵系统时间，让 Windows 误以为驱动是合法的。

研究人员展示了一个极具创意的逃逸手段：攻击者没有选择杀掉进程，而是部署了合法磁盘管理软件 Acronis Disk Director。通过命令行调用该工具，直接将系统盘强行分割，并将安全软件的目录移动到新分区，导致 EDR 软件的各种快捷方式和依赖环境瞬间断裂，使其无法运行。

现代勒索软件黑产的复杂程度已经远远超出了传统的“单一组织结构”模型。核心开发者、附属分支机构、初始访问经纪人和免杀工具提供商之间的界限越来越模糊，形成了一个高度液态化的地下黑市。

揭秘TAG-124流量分发系统（TDS） ⭐

TDS存在已久，用于根据特定因素（如地理位置、浏览器、设备）将受害者的网络流量重定向到恶意内容。其优势在于：目标精准、可扩展性强、灵活性高、规避检测能力极强。TAG-124 是一个操纵 TDS 的威胁组织，也被其他安全厂商称为 LandUpdate808、KongTuke 或 Chaya_002。该组织于 2024 年初首次被发现，此后用户群稳步扩大。他们运营着数千个被攻陷的 WordPress 站点以及自行控制的基础设施。其第一阶段分发服务器的数量变化不明显，可能是由于被检测后主动缩小规模进行技术迭代或者转移到更隐蔽的节点，是攻防对抗中的战术性撤退。

虽然 1% 的顶级网站占据了 90% 的流量且非常安全，但中小网站占据了 10% 的长尾流量，其中约 44% 使用 WP。在这些 WP 网站中，20-30%存在漏洞。结论：任何一次页面浏览，都有 ~0.9%-1.3% 的概率命中一个有漏洞的 WP 站点。TAG-124的基础设施架构如下所示，通过层层隔离来保持基础设施的稳健。

TAG-124是暗网上最顶级的流量批发商之一，其客户很多包括勒索软件团伙、顶级黑客组织团伙等。证明其过滤后的流量“纯度”极高，全是具备高价值内网渗透潜力的高质量主机。

ECHidna利用ECH彻底隐藏C&C流量 ⭐

2024年攻击日本研究机构，将C&C流量伪装成正常的Cloudflare流量。其RAT在内存中解压并反射加载Payload。并且静态链接BoringSSL实现自定义TLS连接。

Chromium 117版本以及Firefox119版本已经默认支持ECH，Cloudflare与Fastly也正在计划支持ECH。

该恶意软件的DNS查询都是走的DoH，在多个公共DoH服务器进行轮询。

可以从三个方面进行检测：

（1）返回带有ech=的HTTPS响应记录（2）SNI为cloudflare-ech.com且带有EncryptedClientHello扩展（3）特定进程树explorer.exe → powershell.exe → rundll32.exe

跳转微信打开

Botconf 2025 虽迟但到！

2025 年的第十二届 Botconf 来到了法国的昂热（不是卡塞尔学院那个老不正经）。全世界数百位安全研究人员再一次齐聚一堂，热热闹闹地讨论相关议题。

下面只挑选部分议题进行介绍，感兴趣的同学可以去官网查看全部议题进一步了解。一如既往要强调的是，会议要求参会人一定要遵守 TLP 要求，本文只简要介绍了部分议题，完整、详细的内容请查看官网或者联系作者。

跨架构的 Mirai 配置提取工具 ⭐⭐⭐

Mirai也是老熟人了，不过多介绍。

现在已经有了一些提取Mirai配置的工具：

可以看到各有缺陷，所以研究人员要构建一个大一统的工具。基于NSA 开源的逆向工具Ghidra，把不同 CPU 的机器码翻译成一种统一的中间语言 P-Code。

提取的配置信息如下所示：

提取的效果很好：

各个架构都能很好地处理：

https://github.com/iij/mirai-toushi

跨越十年的大规模恶意软件比对⭐⭐⭐

此前在法国国家网络安全局（ANSSI）开发了Machoc哈希，几秒钟内可以对比数百个恶意软件。对每个函数提取CFG、内部调用，将这些信息转换成文本表示再计算哈希。缺点是连接公共库会造成大量相似，且短小函数无法处理。最关键的是，在百万级样本下无法计算。

https://github.com/ANSSI-FR/polichombr/blob/dev/docs/MACHOC_HASH.md

算法升级成Machoke把一个样本里所有函数的哈希值，映射到一个bitmap上。这样就可以将样本间的比对，转换成位运算变得极快。前面也要增加预过滤逻辑，如函数数量要大致相同、大bitmap降维成小bitmap后先确认大概相似再比对大bitmap、静态链接库的bimap算好后从样本的bitmap减去。

不仅有看整体的Machoke，还有函数级的Zubat。整体的过程是反汇编 -> CFG -> 提取核心逻辑 -> 中间表示 -> 模糊哈希字符串。

例如ZxShell Rootkit的x86版与x64版的同一函数，相似度为74%。Zubat提取的是语义逻辑，所以可以跨架构进行匹配。

- MCRIT (https://github.com/danielplohmann/mcrit )
- Ghidra Bsim (https://github.com/NationalSecurityAgency/ghidra/blob/master/GhidraDocs/GhidraClass/BSim/README.md )
- https://github.com/googleprojectzero/functionsimsearch
- TLSH (https://documents.trendmicro.com/assets/wp/wplocality-sensitive-hash.pdf )
- Kesakode (https://doc.malcat.fr/analysis/kesakode.html)

越南网瘾少年就不能进行网络攻击吗？⭐⭐⭐

分析人员监控了作为C&C信道的Telegram，其受害者位于中国台湾、中国香港、西班牙、斯洛文尼亚等地。

全世界有近三千个受害者，中国台湾地区是受害者最多的地区，其次是韩国和印度。

通过其Telegram信息可以找到其GitHub账户，声称自己来自越南且正在学C#：

在VT上可以找到一系列使用Python编写的恶意软件：

攻击者在测试的时候，用自己的机器和越南的VPS测试了上线。

他自己的各种账号密码也都上传了上来，tien是越南很常见的名字，如果2001代表出生年份的话，该黑客年仅24岁。

攻击者的主机配置并不高：

黑客的桌面显示黑客在玩英雄联盟：

黑客不仅把自己的账号密码回传了，还把恶意软件的源代码一并回传了。

剪贴板中新开发的恶意软件也一勺烩了：

百万级僵尸网络Bigpanzi背后的犯罪集团 ⭐⭐⭐

该团伙最早可追溯到2016年，隐蔽性相当高所以到2023年才被发现。目标设备涵盖 Android 机顶盒和 eCos 卫星接收器（嵌入式实时操作系统），显示其跨平台开发能力。

Pandoraspear和 Pcdn 僵尸网络的日活 IP 超过80 万，且 86% 的受害者位于巴西。

Vold僵尸网络峰值达到 169 万，日活 90 万。分布更全球化，巴西、印度、印尼是重灾区。

最初的分析是从一个魔改版 UPX 加壳样本开始的，该样本也是基于Mirai的源代码改的。发现是一个在巴西拥有5w+肉鸡的僵尸网络后，研究人员接管了C2服务器，攻击者开始疯狂报复XLAB的Sinkhole服务器。

另一个核心僵尸网络Pandoraspear在2016年到2024年间演化了15个版本，持续八年维护的恶意软件，其运营方一定有着稳定的盈利支撑。其作为Loader，具备三大核心功能：劫持 Hosts；启动 Pcdn；执行 C2命令。

从远程服务器下载加密的 hosts 文件并替换本地 /etc/hosts，在底层进行 DNS 劫持。其加密算法“借用”了开源后门 Lyceum 的代码。

解密敏感字符串，生成 shell 脚本来下载并运行 pcdn.tar.gz。其中包含大量工具，evils支持RTMP将设备转换为非法流媒体服务器、kcp与ss将设备转换为住宅代理节点。Pcdn不仅卖带宽，还兼职 DDoS，这是典型的“一鸡多吃”。

启动后可以执行C2命令，收集设备的MAC和序列号。

攻击者非常注重痕迹清理，下发了许多命令。

该团伙在 YouTube 上有“客户支持团队”频道，教用户如何升级系统。攻击者把传播恶意固件伪装成“售后服务”，利用用户的信任完成感染。

当住宅代理变成DDoS僵尸网络 ⭐⭐

过去的DDoS时代是以IoT设备为主，百万级Bot对外发起超大规模流量的攻击。

目前新兴的是大量住宅代理（RESIP，如deepnode, rapidproxy, dataimpulse, ipcola, rayobyte, honeygain, packetstream），不仅是爬虫公司在用住宅代理，恶意软件/僵尸网络也在使用。

IoT设备可以通过主动扫描发现，但代理节点很难。AI公司为了抓取网页数据，大量投入资金购买代理服务。IoT设备可能只在百万级，但住宅代理可以上升到千万级甚至是亿级。AI 训练对数据的渴求，间接养肥了卖住宅代理的灰产，而攻击者顺便搭了便车，用这些基建来搞DDoS。

深入剖析SideCopy与APT 36(Transparent Tribe)间的关系 ⭐⭐

SideCopy最初模仿SideWinder，后来已经成功“出师”。

二者代码高度相似：

通过 Bindiff 对比，发现核心功能模块（如 thumb 截屏, file 文件管理）的相似度极高（89% - 100%）。

由于其操作失误，对外暴露了开放目录泄露了全部攻击工具：

有些与巴基斯坦关联的证据，例如HTA Stager 在巴基斯坦 IP 上进行了测试，泄露的信息中是巴基斯坦常用语言而且包含了一句乌尔都语/旁遮普语的调试信息。

关联关系的总结：

为远控木马打造一个可长期观测的执行环境 ⭐⭐

传统的沙盒通常只运行几分钟，根本抓不到黑客在“后渗透阶段”的人工操作行为。所以设计了名为STARDUST的平台，这其实就是高交互蜜罐的终极版，虚拟出一个完整的公司的网络（DMZ区、内网区、客户端区、AD域控等）。

其基本架构如下所示：

选取了7个家族的41个RAT样本，其中由9个AsyncRAT、2个DCRat、4个Gh0stRAT、1个njRAT、4个QuasarRAT、19个RemcosRAT、2个StrRat。最终发现只有14个样本成功连接了C&C服务器，这其中10个存在后渗透行为。连接C&C服务器的时间最短3小时，最长35天。潜伏时间最短1分钟，最长25小时。

曾经的王者GorillaBot ⭐

GorillaBot在Mirai的基础上增加了一层应用层的握手认证，有内置密钥K的样本才能通过认证。

搞清楚C&C的原理后，编写了一个脚本来与C&C服务器持续保持通信。从而跟踪僵尸网络的演变：

几个月内下发了150万条攻击指令，攻击了12.1万个目标。使用最多的是UDP洪水：

攻击者将DDoS能力对外售卖，价格又很低廉：

其实该僵尸网络的规模并不大，只有几千个肉鸡。

DVR生态系统与IoT僵尸网络RapperBot ⭐

其构造的扫描包存在特定特征：

2024年开始RapperBot开始转向DVR设备：

回扫发现70%都是DVR设备，其中63%都是HITRON DVR。弱口令是常见的攻击向量：

与Mirai原版的比较：

整体感染架构如下所示：

多个变种演化情况：

该僵尸网络集中火力攻击中国：

也是它造成了Twitter的宕机：

钓鱼套件Yara规则库 ⭐

PhishingKit-Yara-Rules从2019年开始收集专门检测钓鱼套件压缩包的Yara规则，目前已经有834条Yara规则。配置文件中包含Telgram的Token或者邮箱等攻击者相关信息：

即便是很明显的钓鱼套件，杀软检出率也并不高：

这些Yara规则不与混淆后的代码纠缠，而是着眼于目录结构，这使得可以检出那些杀软无法检出的恶意样本。

MintsLoader 的混淆措施⭐

MintsLoader是一个投递AsyncRAT、Vidar、SocGholish、StealC的Loader，使用JavaScript与PowerShell编写。其域名解析从 BL Networks 转移到了 Stark Industry（BPH），攻击链如下所示：

通常混淆代码都是混淆成随机字符，但MintsLoader混淆成了一堆莫名其妙的单词。

其实是攻击者将名为《Andrew Melville》的书当成了字典表，但这本书太冷门、特征太明显。

基于这个特征，可以很容易地在VT上把相关样本全都拉出来。

其所使用的IP归属于STARK-INDUSTRIES，这是一个经常被黑产利用的防弹主机服务商。

SandiFlux的FastFlux基础设施⭐

SandiFlux曾经是一个非常著名的FastFlux服务提供商，其Double Fast Flux架构中的域名有多个A记录且TTL很小，并且Nameserver也有多个A记录且TTL很小。

2024年作为基础设施运营 42 个NameServer与2900+个IP为193个域名提供服务。与多个窃密木马/僵尸网络有关，如SmokeLoader, Amadey, LummaC2。

此前其主要使用东欧的IP，现在则主要集中在美洲。

DBatLoader在沙盒中的逃逸技术分析 ⭐

通常我们认为恶意软件会小心翼翼地检查执行环境，如果可能有问题就退出不执行，但 DBatLoader 这个家族却反其道而行之。不仅不退出，还要把沙盒搞崩，或者通过制造大量的错误日志来淹没分析人员。

第一招是内存轰炸，一口气申请比大多数沙盒配置都要大的内存，触发内存不足错误。

第二招是内存保护，尝试修改随机地址的权限。有些沙盒会Hook内存保护函数，正常内核返回特定错误码但沙盒可能会返回不同的情况，从而暴露沙盒。即便不暴露，也可以触发大量的错误日志淹没行为数据。

第三招是进程注入，不管有没有权限直接写，写完还尝试释放根本没有权限的内存。

第四招是AMSI修补，恶意软件通常会通过修改内存来禁用 AMSI，但DBatLoader的Patch机制有缺陷写错了地址。

被强化的威胁情报 ⭐

Harbinger是一套自动化对大量文件进行归因与狩猎的框架，其核心为沙盒+规则引擎+特征库。

沙盒是基于CapeMon开发的通用脱壳工具与内存扫描工具，基于C语言开发了检测引擎。

用C写的CVE-2022-37969检测规则：

大规模运行的闭环工作流：

从 LukaLocker 到 Nitrogen ⭐

法国 IT 媒体 LeMagIT 的主编Valery Marchive 寻找四个勒索软件相关样本之间的关联关系：

可以看到Cactus, LukaLocker 和 Nitrogen 似乎共享了一些代码：

通过逆向分析可以在多处确认LukaLocker 和 Nitrogen 至少是变种关系，二者很可能由同一组织Volcano Demon在运营。

越南黑客的崛起 ⭐

前面一大堆讲具体攻击技术的不在此处复述了，思科的博客都披露的很详细了。只摘录最后一部分归因的。代码和PDB路径中有大量的越南语：

钓鱼网站使用的图片，是从越南图片素材网下载的图片：

攻击者把自己的信息也发到了Telegram中，其IP是越南的IP：

其电脑截屏上文件夹的名字为越南语，并且使用越南流行的Unikey输入法与Zalo聊天软件。

截图中还暴露了员工工资、购买流量的成本、购买PayPal账号的渠道等，这说明其是公司化运营的犯罪团伙。

阅读原文

跳转微信打开

对于研究人员来说，写论文时最头疼的环节可能往往不是推导公式或跑实验，而是画图。研究人员常常要在绘图软件中耗费数小时对齐文本框、调整箭头、修改配色，占据了研究人员大量的精力。

为了将研究人员从繁琐的“作图劳役”中解放出来，来自北京大学与Google Cloud AI Research 的研究团队设计了PaperBanana。该智能体框架能够将文章中的描述文本，在短短几分钟内自动转化为达到“顶会级别”的高质量学术插图。

PaperBanana是一个由视觉大语言模型和图像生成模型驱动的“虚拟学术插图设计智能体框架”。 它能自动理解你的算法逻辑，并输出一张排版精美、逻辑清晰、可直接用于发表的学术架构图。不仅如此，它还能处理数据统计图表，甚至可以用来优化人类手绘的草图。

多智能体协作

PaperBanana并不是一个端到端的黑盒，它在内部构建了一个分工明确的工作流，一共有五个角色：

（1）Retriever/资料员：在拿到文字描述后，资料员先去由真实顶会优秀插图组成的数据库中寻找灵感，检索那些视觉结构相似的参考图。

（2）Planner/架构师：架构师阅读文本描述，结合资料员找到的参考图，生成一份尽可能详实的视觉描述。把复杂的学术概念拆解为具体的视觉元素，比如哪里该放矩形框，哪里该用虚线连接，数据流向是怎样的。

（3）Stylist/美术指导：在不改变科学内容的前提下，优化配色方案、字体排版、图形形状等细节，确保生成的图片符合顶级学术会议的视觉规范。

（4）Visualizer/绘图员：负责调用强大的图像生成模型，将前述步骤中的设计渲染成高保真的图像。

（5）Critic/严苛的审稿人：像审稿人一样盯着图片找问题，如 “这里的箭头画反了”、“这两个框的文字重叠了”等。发现问题后，它会把修改意见打回给前面的环节。