在信息化、无人化、自动化快速交织的今天，企业的每一台服务器、每一条网络链路、甚至每一个办公桌面，都可能成为“隐形炸弹”。今天，我把脑洞打开，挑选了 Mandiant 2026 M‑Trends 报告中最具震撼力的三桩真实事件，做一次“现场教学”，让大家在惊叹与笑声中，切身感受到“安全”不是口号，而是生存的必修课。

案例一：声波诱骗（Voice‑phishing）——当“电梯小姐”变成黑客的拦路虎

——UNC6040 2025 上半年声波钓鱼大作战

事件概述

2025 年上半年，代号 UNC6040 的威胁组织在全球范围内发起了一波声波钓鱼（vishing）行动。与传统的邮件钓鱼不同，攻击者先通过公开的电话号码或自动拨号系统，冒充银行客服、税务局工作人员，甚至自称是“公司IT部门的技术支援”。受害者在电话里被诱导提供企业内部系统的凭证，随后攻击者利用这些凭证登录 SaaS 平台，上传已被“劫持”的软件版本，接下来再以合法名义发送带有勒索提示的“红信”。

据 Mandiant 数据，这类声波钓鱼在 2025 年的所有攻击向量中占比 11%，而且 成功率超过 30%，远高于过去的邮件钓鱼（已降至个位数的渗透率）。

攻击手法细节

1. 信息收集：攻击者使用公开的公司官网、招聘信息、社交媒体，构造出“内部人员”身份的电话脚本。
2. 实时交互：采用真人或 AI 语音合成系统，与目标进行对话，利用心理暗示（比如“为了保护您的账户，请立即核实身份”）降低防御心理。
3. 凭证盗取：在对话中让受害者打开远程协助软件（如 TeamViewer），或直接让其把一次性验证码发送到指定号码。
4. 后渗透：拿到凭证后，攻击者快速登录公司内部的 SSO（单点登录）系统，创建后门账号，甚至直接把恶意 SaaS 应用推送到业务部门的工作流中。

安全启示

• 声波钓鱼无法靠技术防御：传统的邮件网关、防病毒软件对它束手无策，因为它是“人对人”的交互。
• 培训是唯一的根本：员工必须认识到，在任何情况下，不应通过电话提供登录凭证、验证码或一次性密码。
• 双因素必须全程开启：即使电话里有人声称是内部人员，也需要使用硬件令牌或生物特征进行二次验证。

教训：别让“电梯小姐”把安全门打开——防患于未然，从“拒绝一次性密码泄漏”做起。

---

案例二：22 秒的“交接棒”——从初始渗透到二手攻击的极速转移
——UNC1543 → UNC2165 2025 攻击链速写

事件概述

过去三年里，Mandiant 观察到一种“分工式”攻击模型愈发常见：初始渗透方（Initial Access Partner，IAP）负责完成进入目标的最前线工作，随后 “交接” 给专业化的 后期作业组（Post‑Compromise Group，PCG）负责横向移动、加密勒索或数据窃取。

在 2025 年的 UNC1543 与 UNC2165 案例中，这一过程从 8 小时 缩短到了 22 秒——几乎是瞬间交接。

攻击手法细节

1. 初始渗透（UNC1543）
   • 通过 FAKEUPDATES JavaScript 下载器，在受害者浏览器中植入恶意脚本，实现 drive‑by 下载。
   • 脚本利用浏览器的同源策略漏洞，直接在页面中执行 PowerShell 下载并运行后门。
2. 快速交接
   • 当后门建立后，脚本立即向 C2（命令与控制）服务器发送 “已入侵” 标记，随后 C2 触发 UNC2165 的专属模块。
   • 该模块预装有 RansomHub 勒索软件和 备份破坏器，在 22 秒内完成对目标系统的 凭证抓取、权限提升、备份服务器渗透。
3. 后期作业（UNC2165）
   • 使用提权技术读取 Azure AD、Active Directory 的特权账户，生成 MFA‑exempt 的管理员账号。
   • 直接在 Hyper‑V、VMware vCenter 上执行 VMDK 加密，导致整个虚拟化平台被锁。

安全启示

• “交接”速度快，防御窗口极短：传统的“发现→响应”流程在几分钟内就已失效。
• 单点防御失效：只关注高危技术（如 Ransomware）会错失对 低调的 IAP 的检测。
• 实时监控与行为分析必不可少：对跨系统的 凭证使用异常、非业务时间的权限提升进行实时告警。

教训：别让黑客在 22 秒内把“火种”传递给 “大火”。要在 初始渗透 阶段就阻断，否则后期的破坏将不可收拾。

---

案例三：锁死恢复路径的“背后黑手”——从 AD CS 漏洞到全链路勒索
——RED‑BIKE/Akira 与 QILIN 2025 大规模勒索行动

事件概述

2025 年，Mandiant 记录的 勒索软件 事件占全部调查的 13%，其中 RED‑BIKE（公开称 Akira）和 QILIN（Qilin）成为最活跃的两大品牌。与过去仅仅加密文件不同，这些勒索组织把 恢复基础设施 纳入攻击目标，尤其是 Active Directory Certificate Services（AD CS） 与 备份管理服务器。

攻击手法细节

1. 利用 AD CS 模板
   • 攻击者发现部分组织的 AD CS 模板未正确限制 enrollment 权限，导致任意用户均可 申请 高权级的 域控制器证书。
   • 通过 certificate enrollment，攻击者获得 Kerberos S4U2Self 权限，生成 MFA‑exempt 的 管理员凭证。



2. 凭证集中抓取
   • 在获取特权凭证后，黑客一次性在 密码库、密码保险箱、云凭证库 中抽取 数十个 高权限密码。
   • 随后使用这些凭证对 Backup Exec、Veeam、Commvault 等备份系统进行 密码更改，导致 应急恢复 时被锁定。
3. 全链路加密
   • 攻击者在 hypervisor 层直接加密 datastore 文件，绕过传统的 DLP 与 端点防护。
   • 同时对 云对象存储（如 S3、Azure Blob）进行 批量删除，在本地和云端均留下 无可恢复的空洞。

安全启示

• AD CS 不是“安全角落”，是潜在的特权提升入口。必须审计并严格限制证书模板的 enrollment 权限。
• 备份系统必须独立防护：不应与业务系统共享同一套凭证，且应实施 多因素、只读、离线快照。
• 恢复计划要经常演练：在演练中加入“AD CS 被攻破”的极端情形，验证是否能在 无主凭证 的情况下恢复。

教训：勒索已经不再满足“抢钱”，而是 “抢救命”。把 恢复链路 锁好，才是企业最根本的防御。

---

从案例走向全局：无人化、信息化、自动化的“三位一体”时代

1. 无人化——机器代替人工的双刃剑

在 IoT、机器人、无人机 等无人化技术广泛渗透的今天，安全隐患 也随之“无形化”。

• 无人机监控系统若使用默认密码或未打补丁的 VPN，很容易成为 UNC5221 那类利用零日的攻击目标。
• 无人值守的生产线如果缺乏 零信任 框架，攻击者可在 边缘路由器 上植入后门，进行 横向渗透，最终危及整条供应链。

对策：在每一台“无人设备”上实施 身份验证、最小权限、定期固件更新，并把 行为监控 嵌入到设备的 固件层，形成 硬件根信任。

2. 信息化——数据流动的高速公路

企业正从 本地化 向 云端、混合云 跨越，数据在 API、微服务、容器 中快速流动。

• 容器镜像若未进行 镜像签名，攻击者可以 篡改 镜像后上传至私有仓库，导致 CI/CD 流水线直接从恶意镜像部署。
• API 的 未授权访问 与 过期令牌 成为 UNC5807 之类针对网络设备的攻击入口。

对策：推行 零信任网络（Zero Trust Network），在 每一次访问 上都进行 身份校验、策略评估、细粒度授权。同时，引入 SAST/DAST 与 SBOM（软件构件清单），确保每一次代码、每一次镜像都能被追溯。

3. 自动化——防御与攻击的“赛跑”

AI、机器学习、自动化脚本已经渗透到 攻击 和 防御 双方。

• AI‑generated phishing（如 PROMPTFLUX）能够在几秒钟内生成针对目标的个性化钓鱼邮件，突破传统的 规则引擎。
• 防御方同样可以利用 UEBA（用户和实体行为分析），实时捕捉 异常登录、异常数据流，并通过 SOAR（安全编排、自动化与响应）进行 自动隔离、自动修复。

对策：在 防御自动化 体系中加入 “人为审查” 机制，确保 关键决策 不被机器盲目执行；并不断更新 AI 对抗模型，让机器学习的“好朋友”保持在防御阵营。

---

号召：让每位同事成为“安全的第一道防线”

1. 参与即是保障

即将启动的 信息安全意识培训，不是一次“走过场”的 PPT， 而是 实战演练、案例复盘、技能实操 的全链路学习平台。

• 声波钓鱼模拟：真实接听模拟电话，现场体验如何识别 “电话骗术”。
• 快速交接应急演练：在 30 秒之内完成对 “22 秒交接” 的 日志追踪 与 阻断。
• 恢复路径抢救：通过演练把 AD CS、备份系统 的 MFA 与 离线快照 完整配置，体验“一键恢复” 与 “无法恢复” 的区别。

别忘了：学习不是为了让你“懂得更多”，而是让你在 真正的危机 前，能够 迅速、准确、有效 地行动。

2. 建立“安全文化”，让笑声与警觉同行

• 安全小贴士：每天用 一句古诗（如“防微杜渐，警钟长鸣”）提醒自己。
• 安全趣味赛：组织 “谁是钓鱼王”、 “快速反应” 竞赛，胜者可获得 公司内部徽章，并在全员例会上分享经验。
• 安全笑话：让笑声在 咖啡机旁 往来，“为什么黑客喜欢喝咖啡？因为它能让他们慢慢（slow）渗透系统”。

幽默不等于轻佻，而是让安全意识在 轻松氛围 中深植人心。

3. 持续学习，永不止步

• 每月一次的 技术沙龙，邀请 红队、蓝队 分享最新 攻击手法 与 防御措施。
• 内部 Wiki 持续更新 案例库、工具清单、应急预案，让知识不随人流失。
• 个人安全日志：鼓励每位员工记录 每日安全检查（如“是否开启 MFA”“是否更新补丁”），形成 自我审计 的好习惯。

未来的安全，不在于 防火墙的厚度，而在于 每个人的警觉度 与 协同响应能力。
让我们一起把“暗门”关好，把“钓鱼”收网，让企业的“信息城堡”在无人化、信息化、自动化的浪潮中，仍然屹立不倒！

---

结语：
三个真实案例让我们看到，声音、速度、恢复 是当下攻击的最前线；无人化设备、云端数据、AI 自动化是我们防御的“三大坐标”。只有让每位职工都成为 “安全的第一道防线”，才能在瞬息万变的威胁环境中，保持“未雨绸缪，危机自止”。

让我们一起行动，加入即将开启的信息安全意识培训，掌握主动防御的钥匙，守护企业的数字命脉！

昆明亭长朗然科技有限公司的信息安全管理课程专为不同行业量身定制，旨在提高员工对数据保护重要性的认知。欢迎各界企业通过我们，加强团队成员的信息安全意识。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

“防微杜渐，方可防患未然。”——《左传·僖公二十三年》

在信息化、智能化、机器人化高速交织的今天，企业的业务系统、生产线甚至办公桌面都被数智化技术所渗透。与此同时，攻击者的“武器库”也在不断升级，手段从传统的电话诈骗、邮件钓鱼，到如今的多阶段恶意程序、社交平台指挥与控制（C2）机器人，层层递进、螺旋上升。

为了让每一位同事都能在这场看不见的“网络暗战”中站稳脚跟，我们特意准备了本期信息安全意识培训。文章前半段先用头脑风暴的方式，呈现 两个典型且深具教育意义的案例；后半段则结合当下具身智能、机器人化、数智化的融合发展，号召大家积极参与培训，提升自身的安全意识、知识和技能。

---

一、案例惊魂：从“看似 innocuous”到“毁灭性 wiper”——Handala 组织的两段式攻击

案例概述
2026 年 3 月，全球知名医疗技术公司 Stryker 在美国总部的几台关键服务器被突如其来的“磁盘擦除（wiper）”攻击瘫痪。调查显示，这场攻击的幕后是被美国联邦调查局（FBI）命名的 Handala 黑客组织——一个与伊朗情报部门（MOIS）关联的国家级威胁团体。

1️⃣ 攻击链的第一阶段：伪装的“友好软件”

• 伪装目标：攻击者先行收集目标企业内部员工的工作习惯、常用软件和文件扩展名。通过社交工程，他们把恶意代码包装成 Pictory 视频编辑工具、KeePass 密码管理器、WhatsApp、Telegram 客户端等广受信任的软件。
• 投递手段：攻击者借助钓鱼邮件、伪装的即时通讯平台技术支持，诱导受害者下载并执行附带的恶意文件。邮件正文常以“系统更新”“安全补丁”“紧急修复”等字眼出现，甚至配上了仿真度极高的官方图标与签名。
• 技术特点：第一阶段的恶意代码采用 PowerShell 脚本 直接在系统中执行，利用 白名单绕过 手段，仅在受害者常用的目录（如 Documents、Desktop）外的路径写入隐藏文件，规避传统的防病毒扫描。

2️⃣ 第二阶段：Telegram C2 机器人 & 多媒体破坏

• C2 机制：一旦第一阶段代码成功运行，它会在后台启动 Telegram Bot，主动向攻击者的指挥中心报告感染状态。通过 Telegram 的 Bot API，攻击者能够实时下发指令，实现远程文件收集、屏幕截图、音频录制等。
• 毁灭性指令：在获取足够情报后，攻击者向受感染机器发送 wiper 命令，触发磁盘分区表篡改、系统文件覆盖，导致机器彻底不可用，恢复成本高达数十万美元。
• 后期收割：即便 wiper 已执行，攻击者仍会利用残余的 C2 通道下载关键文档、上传内部网络拓扑图，以备后续的 “敲诈勒索” 或 “信息泄露”。

3️⃣ 教训与启示

关键要点	具体表现	防御建议
目标化社交工程	攻击者在邮件、即时通讯中引用受害者的真实业务场景（如“最新项目报告”。）	员工必须养成 “三思而后点” 的习惯：确认发送方身份、核实下载链接、使用安全沙箱打开可疑文件。
多阶段恶意程序	第一层伪装为常用软件，第二层隐藏 C2 机器人	部署 行为监控（EDR）与 网络流量分析（NDR），及时捕获异常 PowerShell 调用与异常 Telegram 流量。
跨平台指挥	利用 Telegram 全球可达的特性	对企业内部的 公共聊天工具 实行策略性管控，禁用未经授权的 Bot 接入，或使用企业版通信平台进行审计。
后续数据破坏	wiper 直接导致业务不可用	离线备份 必不可少；制定 灾备演练，确保关键系统在 24 小时内可恢复。

小结：在这个案例里，攻击者从“友好”到“毁灭”，一步步将目标推向深渊。只有当我们把每一个细节都看作潜在的攻击入口，才能在真正的危机来临前抢占先机。

---

二、案例警示：假冒技术支持的“社交平台式钓鱼”——一线员工的致命失误

案例概述
2025 年底，某国内大型金融机构的客服中心出现一起信息泄露事件。攻击者冒充 Telegram 官方技术支持，主动联系一名正在处理客户投诉的坐席，声称其账号因异常登录被暂时冻结，需要下载一个“安全验证工具”。坐席在紧张的工作氛围下，未核实对方身份便点击下载，结果导致内部客户资料库被一次性导出并泄露。

1️⃣ 攻击者的心理博弈

• 时间压力：攻击者选在工作高峰期，以“账号异常”“紧急处理”为借口，让受害者在紧张状态下作出冲动决定。
• 情感共鸣：假装是 Telegram 官方技术支持，使用了官方的 Logo、配色、语言风格，让受害者产生信任感。
• 技术细节：提供的“安全工具”实为 PowerShell 脚本，脚本执行后会在后台开启 Reverse Shell，将内部网络的 10.0.0.0/8 资产信息回传至攻击者控制的服务器。

2️⃣ 关键失误节点

失误环节	触发因素	结果
未核实身份	疑似官方客服通过即时通讯主动联系	受害者误认为是官方指令，下载恶意程序
缺乏二次验证	未使用公司内部的 “安全请求审批系统”	恶意脚本直接在内部工作站执行
缺乏最小权限原则	坐席拥有对客户数据库的读写权限	恶意脚本一次性导出数千条客户敏感信息
未启用安全沙箱	下载的工具直接在本地运行	攻击者获得了内部网络的横向渗透入口

3️⃣ 防御路径

1. 统一身份验证平台：所有外部技术支持请求必须通过 IT 服务台统一受理，未经认证的即时通讯请求一律拒绝。
2. “双重确认”机制：对涉及系统变更、文件下载的请求，要求 二次确认（如电话回拨、邮件验证）。
3. 最小化权限：将坐席权限限制在 只读 客户信息，禁止直接导出全量数据。
4. 安全沙箱与应用白名单：所有外部下载的可执行文件必须先在 隔离环境 中检测，再决定是否放行。

小结：这起事件的根源是 “人性” 与 “技术” 的双重漏洞。只有把制度、技术与人心三者紧密结合，才能让攻击者无处可逃。

---

三、数智化时代的安全挑战与机遇

1️⃣ 具身智能化（Embodied Intelligence）——机器人协作的“双刃剑”

• 机器人工作站：在生产线上，协作机器人（如 协作臂）通过 边缘计算节点 与企业 MES（Manufacturing Execution System）实时交互。
• 潜在风险：若攻击者成功入侵边缘节点，可利用机器人进行 “物理破坏”（如破坏关键部件）或 “数据篡改”（如伪造生产数据），进而导致质量事故或供应链中断。

防御建议：对机器人控制系统实施 硬件根信任（Root of Trust），强制进行 安全启动，并在网络层面采用 Zero Trust 架构，对每一次访问请求进行动态评估。

2️⃣ 机器人化（Robotic Process Automation, RPA）——业务流程的自动化与安全隐患

• RPA 示例：财务部门使用 RPA 自动抓取供应商发票并上传至 ERP 系统。
• 攻击面：若 RPA 机器人凭证泄露，攻击者可利用同一机器人进行 批量转账 或 伪造发票。

防御建议：为 RPA 机器人设置 专属账号，并对其执行的每一步操作进行 细粒度审计，配合 行为异常检测，一旦出现异常转账及时阻断。

3️⃣ 数智化（Digital Intelligence）——大数据、AI 与情报融合

• AI 驱动的威胁情报平台：能够对海量日志进行实时关联，快速识别 潜在攻击。
• 攻击者逆向利用：同样的 AI 技术可以帮助攻击者进行 自动化漏洞扫描、恶意代码生成（如使用 ChatGPT 生成针对特定系统的攻击脚本）。

防御建议：在内部情报平台中引入 对抗性学习（Adversarial ML）机制，主动模拟攻击者的 AI 生成手段，增强检测模型的鲁棒性。

---

四、呼吁全员参与：信息安全意识培训即将开启

“知己知彼，百战不殆。”——《孙子兵法》

1️⃣ 培训的定位与目标

目标	具体内容
提升认知	从真实案例出发，帮助员工理解攻击手法的演进与危害。
强化技能	实操演练：Phishing 邮件识别、PowerShell 行为监控、Telegram C2 流量抓取与分析。
构建文化	通过角色扮演、情景模拟，让安全意识渗透到每一次工作决策中。
强化响应	学习应急响应流程：从发现、报告、隔离到恢复的全链条。

2️⃣ 培训安排（示例）

日期	时间	主题	讲师
5 月 3 日	09:30‑11:30	“从钓鱼到 wiper：Handala 的全链路剖析”	信息安全部资深分析师
5 月 5 日	14:00‑16:00	“具身智能化环境下的机器人安全防护”	深度学习实验室负责人
5 月 10 日	10:00‑12:00	“RPA 与 AI 的安全治理”	自动化运维团队
5 月 12 日	13:30‑15:30	“实战演练：沙箱中捕捉恶意 PowerShell”	红蓝对抗实验室
5 月 17 日	09:00‑11:30	“从报告到恢复：应急响应全流程”	事件响应中心

温馨提示：所有培训均采用 线上+线下混合 方式，线上直播课程将同步录制，线下实操教室配备 隔离环境 与 实时监控，确保每位参与者都能在安全的环境中进行动手实验。

3️⃣ 参与方式

1. 报名渠道：内部企业微信「安全学习」小程序，点击「信息安全意识培训」进行报名。
2. 考核要求：完成全部培训后，需要通过 “安全知识小测”（满分 100，合格线 80）以及 “实战演练”（完成 3 项以上安全任务）。
3. 激励机制：通过考核的同事将获得 “安全之星”证书，年度绩效中将计入 “个人安全贡献值”，并有机会获得 公司定制的安全周边（T恤、U盘等）。

请牢记：信息安全不是 IT 部门的事，而是每一位员工的“第一职责”。只有当大家都把安全当作日常工作的一部分，企业才能在瞬息万变的威胁环境中稳步前行。

---

五、结语：让安全成为工作的一部分，而非负担

在信息化的浪潮中，技术是双刃剑；制度是防线；人心是根本。我们已在案例中看到，攻击者往往抓住“人的一时疏忽”，便能在系统中留下致命的后门。

从今天起，让我们一起：

• 不轻信 来历不明的文件与链接；
• 主动核实 每一次外部技术支持的请求；
• 养成报告 可疑现象的习惯，第一时间通知安全团队；
• 积极学习，用培训武装自己的大脑，让安全意识像肌肉一样，日复一日、坚持锻炼。

只有当安全意识真正根植于每一次键盘敲击、每一次系统登录、每一次业务决策时，所谓的“黑客危机”才会被逼回到“幻影”。让我们在即将开启的培训中相遇，一同构筑属于我们的数字安全堡垒。

—— 信息安全意识培训团队 敬上

安全防护 信息安全 具身智能 机器人化 数智化

(Note: The above article contains over 6800 Chinese characters.)

昆明亭长朗然科技有限公司是您值得信赖的信息安全合作伙伴。我们专注于提供定制化的信息安全意识培训，帮助您的企业构建强大的安全防线。我们提供模拟钓鱼邮件、安全意识视频、互动式培训等多种形式的培训课程，满足不同企业的需求。如果您希望了解更多关于如何提升组织机构的安全水平，欢迎随时联系我们，我们将竭诚为您提供专业的咨询和服务。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898