黑鸟

随着年龄的增长，黑鸟爱上了阅读之前无人详细研究的各类杂七杂八的情报数据，甚至开始看古早互联网时期的八卦类开源情报调查报告。 从近期的几篇文章可以看出一丝的不对劲。 RuBee：隐匿于军工与核设施的小众无线协议 美国紧急通信系统：保障国家紧急状态下通信畅通 在阅读过程中，黑鸟认为人类对于古早互联网情报挖掘不足百分之一，比如各类国外解禁文档（上个时代的东西），而大模型的出现让这一切成为了可能，举个简单例子，分析图1来自斯诺登泄露文件：XKEYSCORE 中的 CNE 分析。（09年的ppt），并参考其系统思路。 XKEYSCORE是美国国家安全局NSA的一个高度机密的计算机系统，主要用于搜索和分析全球互联网数据。 该系统不是直接进行数据收集的工具，而是处理 NSA 通过其他渠道（如光纤电缆拦截）已获取的全量数据（full-take data），包括电子邮件、浏览历史、聊天记录、IP 地址、用户名、密码以及其他元数据和内容，并提供用户友好的界面，让分析师像使用搜索引擎一样查询信息。 自 2010 年起，XKEYSCORE整合机器学习，以应对PB级增长的数据爆炸。 模仿上述处理流程，即通过黑鸟Ai情报处理系统对文档进行清洗，对模糊图片清晰化图3（中文清晰的效果还是不够，但是图片文字提取却还行），然后再自动解读后的成果图4图5。 未来（拖更预警）会自动分析处理类似的古早情报，再自动化发知识星球做一下测试，如果有比较好的素材会发公众号。总之开个新坑，也欢迎投稿比较好的古早情报数据或文章，目前需要有价值的互联网情报语料进行训练。 #古早互联网情报挖掘计划

2024年9月，黎巴嫩发生了一起震惊世界的寻呼机爆炸事件。当时，真主党成员使用的数千台寻呼机几乎同时引爆。

近期出现多起利用 ChatGPT 共享链接聊天记录实施的网络钓鱼攻击，其攻击套路大致如下： 攻击者首先在谷歌平

Discord情报金矿。

本文从基础开始，逐步过渡到更非常规的屏蔽线上广告的方法。前几种方法简单直接且应用广泛，后面的则需要更多配置和维护，但能在传统方法失效的地方拦截广告。

朝鲜智能手机基于安卓深度定制，仅接入本土内网与受限 4G，无国际互联网权限。支持指纹 / 人脸识别、高像素拍照，预装本土工具与内置游戏。系统设安全签名、使用留痕机制，限制外部文件传输与软件安装，还含本土语言纠错功能，管控与实用功能兼具，详细型号如下： ARIRANG（阿里郎）系列图二 CHONGSONG（青松）系列 图三 HWAWON（花源）系列 图四 JINDALLAE（金达莱）系列 图五 图六 KILTONGMU（길동무）系列 图七 PHURUNHANAL（蓝天）系列 图八 PYONGYANG（平壤）系列 图九 SAMTHAESONG（三态星）系列 图十 图十一 这些手机（如Han 701和Sam Taesung 8）有下列机制，例如： 输入与韩国相关的词汇（如“Namhan”）会被自动替换为暗示“傀儡国家”的短语，“大韩民国”则被星号屏蔽。输入太阳姓名会自动加粗，脏话如“oppa”会被纠正为“同志”并发出警告。 手机完全阻断国际互联网连接，Han 701的Wi-Fi图标无效，Sam Taesung 8甚至无切换选项。仅限于“Mirae”国家内网连接 图十三，需要政府ID和认证SIM卡，提供速度缓慢的过滤内容。 预装应用主导一切，新应用安装需实体店授权 图十二，许多应用数月后过期需付费续订。图标模仿微软和谷歌等品牌，有些为盗版。 “Red Flag”功能会检查并删除非政府批准的外国文件或应用。手机会全天拍摄和截图，用户无法访问、删除或管理这些截图和照片，手动检查截图还会实时捕获新截图。

早期美国军用电话网络曾采用呼叫优先级机制，通过专用按钮实现五级通信优先级划分。

在当今数字化时代，个人隐私面临着前所未有的挑战。

Intellexa Consortium（简称 Intellexa 间谍软件联盟）是一个高度分散的国际公司网络

互联网瞬息万变，网页不断创建、更新，有时甚至完全消失。

谷歌突然证实安卓系统正遭受攻击，并紧急发布修复程序，以修复两个“无需额外执行权限即可导致远程拒绝服务攻击”的漏洞。有迹象表明 CVE-2025-48633 和 CVE-2025-48572 可能正被有针对性地进行有限的利用。

希望不会有用到的一天

安卓和苹果手机谁更安全恐怕会成为世界第十一大未解之谜。

本研究通过分析一名网络工程师Oscar Molnar的实践案例，探讨了如何在家庭网络环境中构建一个透明的代理系

在美国能源部的各类设施中，有一种自动化提醒装置被广泛使用。

“Scattered Lapsus$ Hunters”（SLSH）是一个活跃的网络犯罪组织，今年通过从多家大型

黑鸟研读了一份关于聚焦暗网就业与招聘生态报告，大受启发，所以分享一二。

Gamaredon 是自 2013 年起活跃的俄高级持续性威胁（APT）组织图1，核心聚焦网络间谍活动，相关报告可见乌克兰披露俄罗斯APT组织人员信息与通话录音 Lazarus 是 2009 年起活跃的朝鲜全方面威胁行为体图2，初期以网络间谍活动和破坏性攻击为主，后转向经济利益导向攻击以筹措资金。 Gamaredon 以窃密为业，Lazarus 则专事窃取，二者最终均服务于各自政府的战略利益。 就在莫斯科与平壤宣布开通新直飞航线的次日，安全团队发现了 Gamaredon 与 Lazarus 两大 APT 组织可能存在协作的迹象。 2025 年 7 月 24 日，团队通过已知 Telegram（电报）和 Telegraph（电报文稿平台）渠道追踪 Gamaredon 命令与控制（C2）服务器的系统，成功拦截了一个 IP 地址： 144[.]172[.]112[.]106 四天后，在例行检查中，团队发现该服务器正托管着一个经过混淆处理的 “InvisibleFerret” 恶意软件样本（SHA256 哈希值：128da948f7c3a6c052e782acfee503383bf05d953f3db5c603e4d386e2cf4b4d）—— 这款恶意软件正是 Lazarus 组织的标志性工具。 该载荷与 Lazarus 的工具集完全匹配，且通过与 “ContagiousInterview” 行动相同的服务器结构（URL 地址：http[://]144[.]172[.]112[.]106/payload/99/81）进行分发。而 “ContagiousInterview” 正是 Lazarus 此前针对求职者发起的钓鱼攻击行动，通过伪造招聘信息实施入侵。 尽管该 IP 地址有可能是代理服务器或 VPN 节点，但两大组织活动的时间关联性，再加上服务器托管模式的高度重合，表明他们存在基础设施复用的极大可能，且有中等置信度显示二者存在运营层面的协作。 目前尚不清楚是 Lazarus 借用了 Gamaredon 控制的服务器，还是双方共用同一客户实例，但这一高度重合的数字足迹，显然绝非偶然。 图3为其他APT组织合作情况 报告链接： https://www.gendigital.com/blog/insights/research/apt-cyber-alliances-2025

该平台利用浏览器推送通知功能作为命令与控制通道，该功能原本用于合法消息提醒。 攻击者首先通过社会工程学诱导用户在恶意或被入侵的网站上授权推送通知。 一旦用户订阅，攻击者即可通过浏览器与受害者的桌面或移动设备建立直接连接。 随后，攻击者可随时发送伪造的错误消息或安全警报，这些消息外观类似于操作系统或合法软件的通知，包含逼真的标题和图标 黑鸟温馨提示，浏览网站时候，忽然出现弹窗，切勿点击，也许进去之后就是一连串的针对性钓鱼攻击了 图1 用户点击虚假通知后，将被重定向至攻击者指定的站点，通常为钓鱼页面或恶意下载源。 例如，警报可能显示“请立即更新Google Chrome，否则数据将丢失”，点击按钮后将从攻击者控制的服务器下载伪装成扫描器的恶意软件。 图2 由于整个过程依赖浏览器通知系统，无需传统恶意文件，因此属于无文件攻击。用户仅看到类似于系统弹窗的内容，并可能无意中执行操作，而未察觉风险。 攻击者的控制界面Matrix Push C2的网页仪表盘用于调度攻击活动。 从攻击者视角，该界面类似于营销自动化工具，但专为恶意操作设计。 图3 C2客户端面板会提供实时受害者信息反馈，一旦浏览器订阅推送，即向C2服务器回传数据。 攻击者并非依赖随机钓鱼，而是通过与受害者浏览器的活跃连接获取反馈，从而进行下一步活动。 图4 平台可收集客户端细节，无需植入持久性恶意负载。一旦用户授权通知，攻击者即可获取浏览器会话的遥测数据流。伪造通知的信任伪装攻击的核心依赖社会工程学，Matrix Push C2内置多种可自定义模板，用于提升虚假消息的可信度。 攻击者可将钓鱼通知和落地页面伪装成知名公司或服务。 图5 图6 这些通知出现在设备官方通知区域，用户可能误认为其源于系统或应用。这是利用浏览器通知系统将钓鱼负载直接推送到用户屏幕的有效方法。 图7 攻击者可生成简短、无害外观的链接，重定向至恶意站点。所有链接点击均被追踪，并反馈至仪表盘。图8

以下为第一人称叙事。