黑鸟

继续介绍几种数据投毒的方式以及对抗方法

2026 年 4 月 ，一位专注于隐私和网络安全的研究者 Alexander Hanff 发布了一篇重磅文章，

展示了攻击者已经具备了针对工业控制系统进行精准攻击的能力。

开源软件供应链安全再次拉响警报。近日，安全研究人员发现了一种新型攻击方式。

互联网协议第 8 版（IPv8）是一套可管理的网络协议套件，彻底改变了从家庭网络到全球互联网的所有规模网络的运

随着大语言模型和智能体 AI 技术的快速发展，低代码 AI 工作流自动化平台已经成为企业提升效率的核心工具。

英国《泰晤士报》报道，上周末美方在营救两名被击落美军飞行员中的第二名时，美国中央情报局（CIA）使用了以色列制造的 "飞马"（Pegasus）间谍软件在伊朗境内开展大规模欺骗行动。 这款被中情局广泛部署的间谍软件，最广为人知的用途是入侵智能手机等电子设备（安卓系统和IOS系统都有），窃听通话与即时通信内容，并秘密窃取设备内的所有数据。 但它还具备一项特殊功能： 操作人员可以冒用被入侵手机机主的身份，发送伪造的 WhatsApp 或 Signal 加密消息。 根据《泰晤士报》周五发布的独家报道，美国情报机构正是利用飞马软件的这一功能，向伊朗高层领导人及伊斯兰革命卫队（IRGC）作战人员批量发送虚假消息，谎称那名失踪的美军飞行员已经被找到，以此误导伊朗方面的搜捕方向，为营救行动争取时间。 美国官员此前已公开承认在此次行动中使用了情报欺骗手段，黑鸟查了一下，截至目前，没有任何官方人士明确提及使用了飞马软件，除了泰晤士报的独家报道，剩下的基本都是引用其来源。 由以色列创立的 NSO 集团开发的飞马软件，长期以来饱受国际社会争议。此前有大量报道证实，沙特阿拉伯、印度等多个国家和地区，曾利用这款软件针对特定目标进行监控。 截图来自 https://www.thetimes.com/world/middle-east/israel-iran/article/iran-war-how-cia-used-ghost-murmur-tool-detect-airman-heartbeat-jcbvk02ts

最近互联网安全领域出现了一个极具警示意义的异常

这种基于广告数据的监控技术被称为广告情报（ADINT）

Adobe 已为 Windows 和 macOS 平台的 Adobe Acrobat 和 Reader 发布安

Masjesu 僵尸网络是一种自 2023 年初开始运作并持续演进至 2026 年的复杂商业化物联网威胁。 该僵尸网络以隐秘性为核心，以DDoS 攻击租赁服务的形式，主要通过 Telegram 进行推广。 它针对路由器、网关等多种物联网设备，支持 i386、MIPS、ARM、AMD64 等多种架构。为实现持久化与低可见性，Masjesu 采用谨慎低调的传播策略，而非大规模感染，刻意避开美国国防部等列入黑名单的 IP 段，保障长期存活。 该僵尸网络使用基于异或（XOR）的加密混淆字符串、配置与载荷数据，大幅降低静态检测的有效性。传播时，恶意软件会随机扫描 IP，利用 D-Link、GPON、Netgear 等厂商设备的多个漏洞入侵。其命令与控制（C2）基础设施采用多域名 + 备用 IP 架构，支持 TCP、UDP、HTTP 洪水等多种 DDoS 攻击方式。 Masjesu 背后的攻击者仍以 Telegram 作为核心推广与获客平台。 有趣的是黑名单 IP 过滤机制 刻意避开以下网段，规避执法打击： 私有地址：0.0.0.0/8、10.0.0.0/8、127.0.0.0/8、172.16.0.0/12、192.168.0.0/16 美国国防部（DoD）：26.0.0.0/8、132.1.0.0/16、150.1.0.0/16 等 美国联邦机构、军方承包商、政府骨干网相关网段 原文链接： https://www.trellix.com/blogs/research/masjesu-rising-stealth-iot-botnet-ddos-evasion/

近期，国际数字权利组织 Access Now 与西亚北非地区数字安全机构 SMEX 联合和移动安全公司 Loo

钓鱼即服务（Phishing-as-a-Service，简称 PhaaS），是网络犯罪领域成熟的商业化模式，攻击者无需掌握复杂的技术开发能力，只需付费购买平台服务，即可快速发起大规模钓鱼攻击。

我们家家户户都在使用的电信光纤，能被改造成隐蔽的窃听装置，不仅能识别室内的人类活动、定位声源位置，甚至能还原出 2 米范围内超过 80% 的对话内容。

近几年新入行的同学们大概率已经没听过GandCrab和REvil勒索软件了，但是在过去那些年（2019-2021），这玩意响彻各大公司的安全运营的办公区，不少代付老哥都赚了不少。 如今在当年火的一塌糊涂，疯狂攻击国内的GandCrab/REvil领头人，终于在近日被锁定。//7年了，小鸟变老鸟了已经，而且当年这几个头目都是宣称赚够钱退休了的。 这么多年过去了，当年还在应急的兄弟姐妹们还有在做网络安全的吗。 不过说实话，黑鸟也没想到德国警方这么多年了，会一直坚持调查到现在才公布。 图中关于头目的相关分析文章来源： https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/ 通缉信息来源： https://www.bka.de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/CC_BW/DMS/Sachverhalt.html https://www.bka.de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/CC_BW/ASK/Sachverhalt.html

Keitaro 是一款自托管的广告流量分发与效果跟踪系统，原生具备的精细化流量路由、受众定向、内容伪装能力，被

Podroid 是一个开源的 Android 应用项目 地址：https://github.com/ExTV/Podroid 全称：Rootless Podman for Android） 允许你在无需 root 的 Android 手机上运行 Linux 容器。 它通过 QEMU 虚拟化一个轻量级的 Alpine Linux 虚拟机，然后在里面提供完整的 Podman 容器运行时，并内置一个串口终端。 简单来说，它让你在手机上像在 Linux 服务器上一样拉取和运行任意 OCI 容器镜像（例如 Alpine、Nginx、Ubuntu 等），而且一切都打包在一个独立的 APK 里，无需安装 Termux 或其他额外工具。 主要特性： 容器支持：直接运行 podman run --rm -it alpine sh 等命令，支持任意 OCI 镜像。 内置终端：基于 Termux 的 TerminalView，提供完整的 xterm 仿真，支持 Ctrl、Alt、F1-F12、方向键等高级按键，还有粘性 Ctrl/Alt 切换、铃声震动反馈等优化。 持久化存储：使用 overlayfs + ext4 磁盘，重启手机后已安装的软件包、配置和拉取的容器镜像都不会丢失。 网络与端口转发：VM 通过 QEMU SLIRP（用户模式网络）上网，支持从虚拟机端口转发到 Android 本地（如把 VM 的 80 端口映射到手机的 8080），可在设置中添加持久转发规则。 完全自包含：只需安装一个 APK，无需 root、无需 Termux、无需额外 host 二进制文件。 前台服务：VM 以通知形式显示启动进度，即使后台也能保持运行。 其他：支持手动同步终端尺寸、键盘开关自动适配等移动端优化。 技术实现： 前端：Kotlin + Jetpack Compose UI。 虚拟化：嵌入式 QEMU（TCG 模式，无 KVM，仅 arm64），运行 aarch64 的 Alpine Linux。 容器引擎：Podman + crun + netavark + slirp4netns。 持久化：自定义 initramfs（init-podroid） + overlayfs。 终端桥接：通过 QEMU 串口（ttyAMA0）与 Android 的 TerminalView 通信。 网络：QEMU user-mode networking + QMP 动态控制端口转发。 与类似项目的区别相比需要 root、依赖 Termux 或其他复杂设置的方案，Podroid 的亮点在于完全自包含 + 良好持久化 + 移动端友好的终端和端口转发。 它不是简单的 Docker 兼容层，而是直接给你一个可用的 Podman 环境，适合想在手机上跑轻量 Linux 服务、开发测试或玩容器的人。 总体来说，这是一个很有趣且实用的项目，把 Linux 容器能力带到了普通 Android 手机上，适合对容器、虚拟化或 Linux on Android 感兴趣的用户。 致谢的项目也非常有参考价值。图8

谷歌Chrome浏览器发现了多个漏洞，其中最严重的漏洞可能允许执行任意代码。成功利用这些漏洞，攻击者可以在已登录用户的上下文中执行任意代码。根据用户的权限，攻击者可以安装程序；查看、更改或删除数据；或者创建具有完整用户权限的新帐户。 Google 已知晓 CVE-2026-5281 漏洞已被利用 该漏洞为UAF内存破坏漏洞，存在于 Chrome 浏览器的 Dawn 组件中， Dawn 是 WebGPU 标准的开源跨平台实现。更准确地说，它实现了与 WebGPU IDL（接口定义语言）映射的 webgpu.h 规范。Dawn 被设计为可集成至大型系统中，同时也是 Chromium 浏览器内核里 WebGPU 能力的底层实现方案。 漏洞成因是 Dawn 组件在设备注销、资源析构时，未正确清理待处理的回调与内存指针，导致内存释放后仍可被非法引用，触发内存访问异常。 危害等级：CVSS 3.1 评分 8.8，综合评级为高危。 成功利用该漏洞的攻击者，可在诱导用户访问恶意构造的 HTML 页面、执行特制 JavaScript 代码后，突破 Chrome 浏览器的沙箱安全边界，在 GPU 进程中执行任意代码，最终实现终端完全控制、用户敏感数据窃取、后续渗透攻击等恶意行为。 受影响的系统： Windows 和 Mac 版 Chrome 浏览器 146.0.7680.177/178 之前的版本 Linux 版 Chrome 146.0.7680.177 之前的版本 这次提交漏洞的都是c6eed09fc8b174b0f3eebedcceb1e792，一口气提交了好几个Chrome的漏洞，也包括本次的在野漏洞，引得海外社区猜测此人身份。

WireTapper 是一款无线开源情报（Wireless OSINT）工具，基于被动信号情报技术，实现对射频设备的发现、测绘与分析。它为调查人员、研究人员与安全分析师，提供了对周边不可见无线环境的实时可视化能力。 WireTapper 可对各类通用无线技术的信号进行检测与关联分析，无需主动入侵，即可帮助用户掌握设备的存在情况、大致位置，以及设备间的交互行为。 WireTapper 可基于具备隐私保护能力的 k - 匿名化查询机制，识别泄露的 Wi-Fi 网络凭据。 项目：https://github.com/h9zdev/WireTapper WireTapper 可识别并分析以下来源的信号： Wi-Fi 接入点与客户端、Wi-Fi 凭据泄露检测 蓝牙与低功耗蓝牙（BLE）设备 无线闭路电视（CCTV）/ 网络摄像机（IP Camera） 对外发射射频信号的车载设备（车载信息娱乐系统、遥测系统、无钥匙进入系统） 耳机、可穿戴设备及各类智能终端 智能电视与物联网家电 蜂窝基站与移动网络信标 WireTapper 可集成多款外部服务以拓展情报能力，用户需自行从以下平台获取 API 密钥： Wigle.net全球无线网络位置数据库(Wi-Fi/蜂窝/蓝牙) wpa-sec—分布式 WPA-PSK 审计数据库 OpenCellID—开源蜂窝基站数据库 Shodan—联网设备搜索引擎 科普： k - 匿名化查询方案（k-Anonymity query scheme） 是基于经典 k - 匿名隐私保护模型，专为客户端 - 服务端的敏感数据查询场景设计的隐私增强查询机制。它的核心价值是：在不向服务端暴露客户端完整查询意图、原始敏感数据的前提下，完成数据匹配与结果校验，从根源上避免查询过程中的隐私泄露。 常规的敏感数据查询，是客户端把完整的敏感特征（比如 Wi-Fi 密码哈希、密码明文哈希）直接发给服务端，服务端匹配后返回结果， 这会直接导致服务端获取用户的完整查询目标，造成隐私泄露（比如 WireTapper 场景中，第三方 API 就能知道用户正在调查哪个 Wi-Fi 网络）。 而 k - 匿名化查询方案彻底重构了交互流程，全程不泄露用户的真实查询目标，核心分为 3 步： 客户端不对服务端暴露完整的敏感标识符，仅发送标识符的短前缀片段（比如 SHA-1 哈希的前 5~8 位）作为准标识符； 服务端收到前缀后，不做精准匹配，直接返回数据库中所有匹配该前缀的完整记录集（至少 k 条数据），全程不感知客户端的真实查询目标。 客户端在本地设备中，将自己的完整敏感标识符，与服务端返回的批量记录做精准比对，自行判断是否存在匹配、拿到最终结果。