黑鸟

声明:下面内容均未得到独立第三方的验证，且消息来源为伊朗媒体。 近日，伊朗多家媒体发布消息称，在美军与以色列针对伊朗的军事行动期间，多家国际知名厂商的网络设备出现大规模异常故障。 伊朗方面表示，这些设备在伊朗已切断全球互联网连接的情况下依然集体失灵，这一现象指向了有预谋的深度网络破坏行为。 本次被点名的设备厂商包括Cisco、Juniper Networks）、Fortinet和 MikroTik，其表示美国制造的这些设备在伊斯法罕遭袭的关键时刻集体失效，大量设备出现自动重启或网络断开的情况。 由于事发时伊朗已经主动切断了与全球互联网的物理连接，伊朗方面据此推断，攻击者利用了设备中预先植入的隐藏固件或后门程序实施远程破坏，触发方式可能是卫星信号传输，也可能是预先设定的定时指令。 截至目前，美国官方尚未对伊朗提出的 “利用设备后门实施破坏” 这一具体指控作出直接回应，但已公开承认对伊朗的通信基础设施发动了网络攻击。 尽管伊朗的指控仍待核实，但本次被点名的四家网络设备厂商，均曾被曝光存在严重的安全漏洞或后门相关问题。 思科（Cisco） 2014 年，爱德华・斯诺登泄露的美国国家安全局（NSA）文件显示，NSA 下属的定制接入行动（Tailored Access Operations）部门长期执行一项秘密计划。该部门会在思科路由器的运输途中进行拦截，在设备中安装监控植入程序后再重新包装交付给客户。思科公司事后明确表示从未配合过该计划，并随后采取了将设备运往诱饵地址等措施，以干扰 NSA 的运输拦截行为。 瞻博网络（Juniper Networks） 2015 年，瞻博网络公开披露，其 NetScreen 系列防火墙所运行的 ScreenOS 固件中被发现存在未授权代码。该恶意代码可让攻击者绕过设备的身份验证机制，同时能够解密通过该防火墙传输的虚拟专用网络（VPN）流量。这一事件影响了全球大量政府和企业用户的网络安全。 飞塔（Fortinet） 2016 年，飞塔公司承认，其 FortiOS 操作系统的旧版本中存在硬编码的安全外壳协议（SSH）密码。攻击者可利用该密码获得设备的远程访问权限。飞塔公司当时将这一问题定性为 “管理身份验证漏洞”，并迅速发布了安全补丁。 MikroTik 来自拉脱维亚的 MikroTik 路由器长期以来都是全球僵尸网络（Botnet）运营商的主要攻击目标。2019 年，网络安全公司 Tenable 披露了一个针对 MikroTik 设备的完整漏洞链。攻击者可利用该漏洞链降级设备固件版本，并在设备中创建持久后门，实现对设备的长期控制。

继续介绍几种数据投毒的方式以及对抗方法

2026 年 4 月 ，一位专注于隐私和网络安全的研究者 Alexander Hanff 发布了一篇重磅文章，

展示了攻击者已经具备了针对工业控制系统进行精准攻击的能力。

开源软件供应链安全再次拉响警报。近日，安全研究人员发现了一种新型攻击方式。

互联网协议第 8 版（IPv8）是一套可管理的网络协议套件，彻底改变了从家庭网络到全球互联网的所有规模网络的运

随着大语言模型和智能体 AI 技术的快速发展，低代码 AI 工作流自动化平台已经成为企业提升效率的核心工具。

英国《泰晤士报》报道，上周末美方在营救两名被击落美军飞行员中的第二名时，美国中央情报局（CIA）使用了以色列制造的 "飞马"（Pegasus）间谍软件在伊朗境内开展大规模欺骗行动。 这款被中情局广泛部署的间谍软件，最广为人知的用途是入侵智能手机等电子设备（安卓系统和IOS系统都有），窃听通话与即时通信内容，并秘密窃取设备内的所有数据。 但它还具备一项特殊功能： 操作人员可以冒用被入侵手机机主的身份，发送伪造的 WhatsApp 或 Signal 加密消息。 根据《泰晤士报》周五发布的独家报道，美国情报机构正是利用飞马软件的这一功能，向伊朗高层领导人及伊斯兰革命卫队（IRGC）作战人员批量发送虚假消息，谎称那名失踪的美军飞行员已经被找到，以此误导伊朗方面的搜捕方向，为营救行动争取时间。 美国官员此前已公开承认在此次行动中使用了情报欺骗手段，黑鸟查了一下，截至目前，没有任何官方人士明确提及使用了飞马软件，除了泰晤士报的独家报道，剩下的基本都是引用其来源。 由以色列创立的 NSO 集团开发的飞马软件，长期以来饱受国际社会争议。此前有大量报道证实，沙特阿拉伯、印度等多个国家和地区，曾利用这款软件针对特定目标进行监控。 截图来自 https://www.thetimes.com/world/middle-east/israel-iran/article/iran-war-how-cia-used-ghost-murmur-tool-detect-airman-heartbeat-jcbvk02ts

最近互联网安全领域出现了一个极具警示意义的异常

这种基于广告数据的监控技术被称为广告情报（ADINT）

Adobe 已为 Windows 和 macOS 平台的 Adobe Acrobat 和 Reader 发布安

Masjesu 僵尸网络是一种自 2023 年初开始运作并持续演进至 2026 年的复杂商业化物联网威胁。 该僵尸网络以隐秘性为核心，以DDoS 攻击租赁服务的形式，主要通过 Telegram 进行推广。 它针对路由器、网关等多种物联网设备，支持 i386、MIPS、ARM、AMD64 等多种架构。为实现持久化与低可见性，Masjesu 采用谨慎低调的传播策略，而非大规模感染，刻意避开美国国防部等列入黑名单的 IP 段，保障长期存活。 该僵尸网络使用基于异或（XOR）的加密混淆字符串、配置与载荷数据，大幅降低静态检测的有效性。传播时，恶意软件会随机扫描 IP，利用 D-Link、GPON、Netgear 等厂商设备的多个漏洞入侵。其命令与控制（C2）基础设施采用多域名 + 备用 IP 架构，支持 TCP、UDP、HTTP 洪水等多种 DDoS 攻击方式。 Masjesu 背后的攻击者仍以 Telegram 作为核心推广与获客平台。 有趣的是黑名单 IP 过滤机制 刻意避开以下网段，规避执法打击： 私有地址：0.0.0.0/8、10.0.0.0/8、127.0.0.0/8、172.16.0.0/12、192.168.0.0/16 美国国防部（DoD）：26.0.0.0/8、132.1.0.0/16、150.1.0.0/16 等 美国联邦机构、军方承包商、政府骨干网相关网段 原文链接： https://www.trellix.com/blogs/research/masjesu-rising-stealth-iot-botnet-ddos-evasion/

近期，国际数字权利组织 Access Now 与西亚北非地区数字安全机构 SMEX 联合和移动安全公司 Loo

钓鱼即服务（Phishing-as-a-Service，简称 PhaaS），是网络犯罪领域成熟的商业化模式，攻击者无需掌握复杂的技术开发能力，只需付费购买平台服务，即可快速发起大规模钓鱼攻击。

我们家家户户都在使用的电信光纤，能被改造成隐蔽的窃听装置，不仅能识别室内的人类活动、定位声源位置，甚至能还原出 2 米范围内超过 80% 的对话内容。

近几年新入行的同学们大概率已经没听过GandCrab和REvil勒索软件了，但是在过去那些年（2019-2021），这玩意响彻各大公司的安全运营的办公区，不少代付老哥都赚了不少。 如今在当年火的一塌糊涂，疯狂攻击国内的GandCrab/REvil领头人，终于在近日被锁定。//7年了，小鸟变老鸟了已经，而且当年这几个头目都是宣称赚够钱退休了的。 这么多年过去了，当年还在应急的兄弟姐妹们还有在做网络安全的吗。 不过说实话，黑鸟也没想到德国警方这么多年了，会一直坚持调查到现在才公布。 图中关于头目的相关分析文章来源： https://krebsonsecurity.com/2026/04/germany-doxes-unkn-head-of-ru-ransomware-gangs-revil-gandcrab/ 通缉信息来源： https://www.bka.de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/CC_BW/DMS/Sachverhalt.html https://www.bka.de/DE/IhreSicherheit/Fahndungen/Personen/BekanntePersonen/CC_BW/ASK/Sachverhalt.html

Keitaro 是一款自托管的广告流量分发与效果跟踪系统，原生具备的精细化流量路由、受众定向、内容伪装能力，被

Podroid 是一个开源的 Android 应用项目 地址：https://github.com/ExTV/Podroid 全称：Rootless Podman for Android） 允许你在无需 root 的 Android 手机上运行 Linux 容器。 它通过 QEMU 虚拟化一个轻量级的 Alpine Linux 虚拟机，然后在里面提供完整的 Podman 容器运行时，并内置一个串口终端。 简单来说，它让你在手机上像在 Linux 服务器上一样拉取和运行任意 OCI 容器镜像（例如 Alpine、Nginx、Ubuntu 等），而且一切都打包在一个独立的 APK 里，无需安装 Termux 或其他额外工具。 主要特性： 容器支持：直接运行 podman run --rm -it alpine sh 等命令，支持任意 OCI 镜像。 内置终端：基于 Termux 的 TerminalView，提供完整的 xterm 仿真，支持 Ctrl、Alt、F1-F12、方向键等高级按键，还有粘性 Ctrl/Alt 切换、铃声震动反馈等优化。 持久化存储：使用 overlayfs + ext4 磁盘，重启手机后已安装的软件包、配置和拉取的容器镜像都不会丢失。 网络与端口转发：VM 通过 QEMU SLIRP（用户模式网络）上网，支持从虚拟机端口转发到 Android 本地（如把 VM 的 80 端口映射到手机的 8080），可在设置中添加持久转发规则。 完全自包含：只需安装一个 APK，无需 root、无需 Termux、无需额外 host 二进制文件。 前台服务：VM 以通知形式显示启动进度，即使后台也能保持运行。 其他：支持手动同步终端尺寸、键盘开关自动适配等移动端优化。 技术实现： 前端：Kotlin + Jetpack Compose UI。 虚拟化：嵌入式 QEMU（TCG 模式，无 KVM，仅 arm64），运行 aarch64 的 Alpine Linux。 容器引擎：Podman + crun + netavark + slirp4netns。 持久化：自定义 initramfs（init-podroid） + overlayfs。 终端桥接：通过 QEMU 串口（ttyAMA0）与 Android 的 TerminalView 通信。 网络：QEMU user-mode networking + QMP 动态控制端口转发。 与类似项目的区别相比需要 root、依赖 Termux 或其他复杂设置的方案，Podroid 的亮点在于完全自包含 + 良好持久化 + 移动端友好的终端和端口转发。 它不是简单的 Docker 兼容层，而是直接给你一个可用的 Podman 环境，适合想在手机上跑轻量 Linux 服务、开发测试或玩容器的人。 总体来说，这是一个很有趣且实用的项目，把 Linux 容器能力带到了普通 Android 手机上，适合对容器、虚拟化或 Linux on Android 感兴趣的用户。 致谢的项目也非常有参考价值。图8