LockBit 5.0于2025年9月发布，作为勒索软件服务的重大升级。其模块化架构和两阶段执行模型提高了隐蔽性和攻击效果，有效规避检测，持续威胁各类组织。

本文介绍了基于Cobalt Strike 4.7搭建C2环境的步骤，包括环境准备、Java配置、C2服务端设置、Nginx反向代理和证书申请，旨在提升隐蔽性和降低被检测风险。

2025年6月，TinkyWinkey键盘记录器在地下论坛出现，利用Windows服务和DLL注入技术，隐蔽地攻击企业和个人终端。该恶意软件通过低级钩子拦截击键，记录多语言输入，具备高度隐蔽性和持久性，传统检测手段难以应对。

网络安全研究人员发现一种新型供应链攻击，攻击者利用恶意Go模块伪装成SSH暴力破解工具，窃取凭证。该软件扫描随机IPv4地址的SSH服务，使用内置字典进行认证，并将成功凭证发送至攻击者控制的Telegram机器人，隐蔽性强，受害者误以为在进行合法测试。

等待线程劫持是一种隐蔽的进程注入技术，通过劫持等待状态的线程并修改其栈顶返回地址来执行payload。这种方法不创建新线程，避免监控，适用于对线程行为敏感的环境。其核心在于利用Windows线程调度机制，具有高隐蔽性和抗追踪性。

Sliver是一个开源的C2框架，支持Windows、Linux和macOS平台，适合红队操作。它具有模块化、异步通信和实时会话等特点，支持多种协议和自定义流量编码，增强隐蔽性，但免杀能力需优化。

网络安全研究人员发现Matanbuchus恶意软件的新变种3.0，具备隐蔽性和规避检测的能力。该恶意软件通过社会工程学手段诱骗用户，支持勒索软件团伙的攻击。新版本增强了通信协议、内存操作和反向shell功能，成为复杂的安全威胁。

Cybereason的调查显示，BlackSuit勒索软件组织实施了高度协同的三阶段攻击：入侵、数据窃取和加密。攻击者利用Cobalt Strike等技术进行横向移动，窃取敏感数据并删除恢复点，以增加赎金压力。同时，其加密逻辑经过优化，避免加密关键文件。

攻击组织“黄金旋律”利用泄露的ASP.NET机器密钥进行未授权访问，并将权限转售给其他威胁者。该组织针对欧美多个行业，采用内存驻留技术，增加了攻击的隐蔽性。企业需加强机器密钥的保护以防此类攻击。

进程镂空是一种高级进程注入技术，攻击者通过创建并挂起合法进程，清空其内存并注入恶意代码，以实现隐蔽执行。该技术常用于渗透测试和恶意软件开发，流程包括创建挂起进程、卸载原映像和写入恶意映像等。尽管有效，但容易被检测，需要采取绕过措施。

本文介绍了通过导入表注入技术实现DLL注入的方法，强调其隐蔽性和免杀能力。该技术能够在不修改原始入口点的情况下，将自定义DLL静默植入PE文件，适合高级安全研究。实现过程中需解决空间管理、结构复杂性、地址转换和对齐要求等技术难题。

本研究提出了一种新的空间基础全目标隐形后门攻击方法（SFIBA），有效解决了现有多目标后门攻击在黑箱环境中的触发器特异性和隐蔽性问题。SFIBA通过限制触发器的局部区域和形态，并采用频域注入方法，确保攻击的隐蔽性和有效性。实验结果表明，该方法在保持模型性能的同时，显著提升了攻击效果和隐蔽性。

本文介绍了网络安全学习中的反弹SHELL技术，包括文件上传、正反向连接和防火墙设置。强调了无图形化上传的实用性和反弹SHELL的隐蔽性，使用命令行工具进行渗透测试。

DLL注入技术通过操作进程内存强制加载外部DLL，分为普通DLL注入和反射DLL注入。普通注入依赖敏感API，易被检测；反射注入在内存中加载DLL，隐蔽性强。两者各有优缺点，反射注入复杂且需处理PE格式。应用时需遵循法律与伦理。

本研究提出了一种创新的超图攻击方法（IE-Attack），通过向精英超边注入同质节点，提升了超图神经网络的攻击性能和隐蔽性，实验结果验证了其优越性。

C2系统在红队演习中至关重要，需根据任务定制开发。文章探讨基于在线平台的C2架构，强调隐蔽性和持久性。植入体通过标准协议与控制节点通信，收集目标信息并执行命令。平台型C2利用在线服务提升隐蔽性，确保长期控制。

本研究提出了一种自适应框架，通过生成注意力掩模，提高对抗攻击的隐蔽性、效率和可解释性，优于现有方法。