Gen Threat Labs研究表明，朝鲜黑客组织Kimsuky和Lazarus正在使用新工具进行网络攻击。Kimsuky通过HttpTroy后门进行数据窃取，而Lazarus则升级了BLINDINGCAN RAT，增强了隐蔽性和功能。这些攻击针对全球目标，显示出朝鲜网络间谍能力的持续发展。

朝鲜黑客组织Lazarus近期发起代号为“DreamJob”的网络间谍行动，针对欧洲无人机技术公司。攻击者通过伪造招聘文件传播恶意软件，成功入侵三家国防机构，窃取无人机技术。该行动使用了高级恶意软件ScoringMathTea，展现出高超的技术能力和隐蔽性。

Seqrite实验室发现代号为"丝绸诱饵行动"的网络间谍活动，攻击者通过恶意简历渗透中国金融科技和加密货币企业，利用复杂的鱼叉式钓鱼技术和多阶段载荷，最终植入ValleyRAT木马进行数据窃取和系统监控。

法国HarfangLab报告指出，自2025年4月起，网络威胁组织UAC-0057通过恶意压缩包对乌克兰和波兰进行网络间谍活动，利用VBA宏和混淆DLL植入程序收集情报，并伪装成合法文件，显示出其长期驻留能力的演进。

思科Talos团队报告称，俄罗斯黑客组织"Static Tundra"利用未修补的思科设备进行网络间谍活动，主要针对电信和制造业。该组织与FSB有关，自2015年起频繁攻击全球战略目标，尤其在俄乌战争后对乌克兰的攻击显著增加。攻击者通过漏洞获取敏感信息，并在网络中长期潜伏。

BI.ZONE报告指出黑客组织'纸狼'利用WinRAR漏洞进行网络间谍活动，攻击者通过钓鱼邮件传播恶意RAR文件，利用已知和零日漏洞实现远程访问。报告强调及时打补丁和监控的重要性。

卡巴斯基实验室揭露了一起针对俄罗斯IT企业的网络间谍活动，攻击者通过社交媒体和DLL劫持技术发送伪装钓鱼邮件，最终部署Cobalt Strike Beacon，主要针对俄罗斯及其他国家的大中型企业。

Sygnia团队发现代号为'火蚁'的网络间谍活动，自2025年起针对VMware ESXi和vCenter进行攻击，展现出精准打击能力。攻击者利用多个漏洞实施持久化和隐蔽操作，窃取凭证并规避检测，显示出高度适应性和灵活性。

ASEC发现针对韩国Windows IIS和Linux系统的复杂攻击，攻击者利用多种恶意软件进行网络间谍和横向渗透。通过文件上传漏洞植入后门，进行系统侦察和权限提升，可能窃取敏感信息或部署勒索软件。建议加强网页服务安全监控。

朝鲜黑客组织Kimsuky通过伪装合法文件的钓鱼邮件，利用GitHub和Dropbox进行网络间谍活动，嵌入PowerShell脚本以下载恶意文件并收集受害者数据，显示出与朝鲜的紧密联系。

XDSpy黑客组织自2011年潜伏，2020年被发现，主要针对东欧和俄罗斯政府，利用Windows快捷方式文件中的零日漏洞进行网络间谍活动。该组织采用复杂攻击手法，通过恶意LNK文件和混淆技术窃取敏感信息。

卡巴斯基报告指出，'图书管理员食尸鬼'APT组织近期在俄罗斯及独联体国家活跃，进行网络间谍活动和加密货币劫持。该组织通过合法软件和钓鱼邮件攻击，收集敏感数据并使用隐蔽挖矿程序，影响数百名受害者，建议加强防御措施。

研究人员发现一种新型恶意软件，利用Microsoft Graph API通过Outlook进行通信，主要用于网络间谍活动。该恶意软件包括PATHLOADER和FINALDRAFT，其中PATHLOADER负责下载和执行加密代码，FINALDRAFT则专注于数据窃取和进程注入。为防御此类威胁，组织应监控API使用、实施访问控制并部署高级安全解决方案。

美国网络安全机构发布了Ivanti云服务设备的漏洞利用链技术细节，警告四个漏洞可能被网络间谍利用。攻击者可通过这些漏洞入侵系统、窃取凭证并植入Webshell。受影响的设备版本已停止接收补丁，CISA呼吁网络防御者加强监控。