Akamai Hunt团队发现一种新型恶意软件，利用伪装的LLM API请求来隐藏命令与控制流量，增加检测难度。该恶意软件通过腾讯云的伪API进行远程控制，显示了攻击手法的演变，强调企业需加强网络安全防护。

2025年11月18日，Jamf Threat Labs 发现了一种名为DigitStealer的新型macOS窃密软件，具备复杂的隐蔽性和硬件感知能力。该恶意软件通过多阶段攻击专门针对M2及更新机型，窃取敏感数据并篡改加密货币钱包，使用合法托管平台，标志着macOS威胁的升级。

一种名为SesameOp的新型后门程序被发现，利用OpenAI Assistants API进行隐蔽的命令与控制通信，挑战传统安全假设。该恶意软件通过合法服务流量发送指令，隐藏在合法进程中，难以被检测。微软与OpenAI已联合调查并禁用相关API密钥。

全球网络安全事件包括：黑客利用三星Galaxy S25漏洞远程控制摄像头；SharkStealer木马通过区块链进行隐蔽通信；F1赛事遭黑客攻击；微软修复Windows Server漏洞；德克萨斯理工大学研发音频伪造防护技术；SquareX揭露AI侧边栏欺骗攻击；朝鲜黑客针对欧洲防务企业进行钓鱼攻击；YouTube传播恶意软件；AI助手引发数据泄露风险；SpaceX禁用缅甸诈骗中心的Starlink终端。

研究人员发现了一种名为SharkStealer的新型信息窃取木马，它利用区块链技术建立隐蔽的命令与控制通信。该恶意软件通过BNB智能链测试网，采用EtherHiding技术存储关键组件，规避传统检测，保持持久通信，展示了恶意软件的新演进。

全球网络安全事件包括GlassWorm恶意软件利用Unicode和区块链进行隐蔽攻击，Linux-PAM和WSUS漏洞导致本地提权和远程代码执行，境外黑客入侵美国核武器工厂，朝鲜黑客利用区块链传播恶意软件。微软修复多个高危漏洞，AI驱动的攻击威胁传统防御。

网络安全公司Koi Security发现了首个针对OpenVSX市场的自传播恶意软件GlassWorm，该恶意软件利用隐形Unicode注入和区块链C2基础设施，已导致至少35,800次感染。它能够窃取凭证、清空加密钱包，并通过Google日历作为备份命令服务器增强隐蔽性和抗审查能力。

网络安全研究人员发现，网络犯罪分子利用Discord webhook作为隐蔽的命令与控制通道，渗透npm、PyPI和RubyGems等平台，窃取开发者敏感文件。恶意软件包通过重写安装命令，悄然将数据发送至攻击者控制的webhook，从而规避检测，导致数据泄露。

攻击者利用AWS X-Ray构建隐蔽的双向C2通道，通过合法的云追踪服务进行命令控制，避免传统C2架构的检测。该技术通过存储和读取注释数据实现信标植入、命令投递和结果回传，形成隐蔽通信。

本文介绍了基于Cobalt Strike 4.7搭建C2环境的步骤，包括环境准备、Java配置、C2服务端设置、Nginx反向代理和证书申请，旨在提升隐蔽性和降低被检测风险。

Zloader恶意软件在沉寂两年后重新出现，已转变为模块化的勒索软件平台，增强了反分析和命令控制能力，采用自定义DNS隧道和WebSocket，提升了隐蔽性和攻击灵活性，成为勒索团伙的重要工具，专门针对高价值目标。

网络安全公司Kroll发现俄罗斯APT28组织利用名为GONEPOSTAL的恶意Outlook宏后门进行间谍活动。该恶意软件通过DLL侧加载和VBA宏引擎建立隐蔽的命令控制通道。APT28与俄罗斯军方情报机构有关，曾参与多起重大网络攻击。此攻击手法利用合法电子邮件流量，企业需关注异常的Outlook宏活动和注册表修改。

网络攻击者利用Electron框架，通过寄生合法应用和无服务器通信技术隐藏恶意代码，规避传统防御，形成隐蔽性强的新型C2架构，给安全防护带来挑战。

一种名为“幽灵通话”的新型攻击技术利用网络会议平台建立隐蔽的命令与控制通道。攻击者通过TURN协议绕过网络安全防护，使用合法会议端口进行加密流量传输，难以被检测。该攻击主要针对Zoom、Teams和Google Meet，安全专家警告传统监控方法无效，建议部署蜜标以识别早期探测活动。

本文探讨了如何利用HTTP请求中的CL.0漏洞建立不可检测的C2通道。通过识别服务器解析差异，结合简单的请求头和有效的payload，可以实现全局缓存中毒。研究强调了理解相关技术和测试步骤的重要性，以确保成功利用该漏洞。

卡巴斯基实验室揭露了一起针对俄罗斯IT企业的网络间谍活动，攻击者通过社交媒体和DLL劫持技术发送伪装钓鱼邮件，最终部署Cobalt Strike Beacon，主要针对俄罗斯及其他国家的大中型企业。

多家企业如NVIDIA、Oracle和微软发现高危漏洞，攻击者可利用这些漏洞进行权限提升、恶意代码执行和数据窃取。专家建议及时更新系统并部署专业检测机制以增强安全防护。

Loki C2框架通过“脚本劫持”攻击Electron应用，利用Node.js权限绕过安全措施。攻击者修改启动脚本植入后门，确保用户界面正常的同时在后台执行恶意代码。此外，Loki C2利用Azure Blob Storage作为隐蔽的命令与控制通道，具备强大的后期利用能力。开发者和安全团队需加强监控与防护。

网络犯罪分子利用DNS隧道技术进行隐蔽通信，绕过传统安全防护。该技术通过合法的DNS查询隐藏恶意数据，攻击者控制域名服务器以窃取数据。尽管机器学习可以快速识别隧道模式，但区分合法流量与恶意通信仍然具有挑战性。

新型检测方法“抖动陷阱”能够有效识别网络犯罪分子的隐蔽信标通信，通过分析流量特征和时间间隔，增强对高级持续威胁的检测能力，提高网络安全防护水平。