安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则133条，本期升级改进检测规则53条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

2. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2026010807，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

3. 网络流量威胁趋势

近日，研究人员发现一起恶意软件活动，该活动采用ClickFix攻击，利用蓝屏死机动画诱导用户执行恶意代码，利用可信工具MSBuild.exe规避防御，部署DCRat远控木马，实现完全远程控制及二次payload投放，专门瞄准假日旺季的酒店行业。活动初始通过仿冒Booking.com预订取消邮件诱导用户点击链接，跳转至仿冒页面，以虚假验证码错误触发仿冒蓝屏动画，催促用户在Windows运行对话框执行恶意脚本。脚本执行PowerShell命令下载MSBuild项目文件v.proj，由MSBuild.exe编译执行内嵌payload，最终释放高度混淆的DCRat远控木马，具备进程注入、键盘记录、持久化远程控制等功能。

此外，研究人员发现Cursor、Windsurf等多款基于VSCode衍生的AI驱动IDE存在安全隐患，其推荐的部分扩展在OpenVSX注册表中不存在，可能被攻击者抢占命名空间并上传恶意扩展。这些衍生IDE因授权限制无法使用VSCode官方扩展商店，转而依赖开源的OpenVSX市场，但继承了配置文件中硬编码的官方推荐扩展列表（指向微软应用商店）。推荐扩展分文件触发式和软件检测式两类，部分扩展在OpenVSX无对应版本，相关发布者命名空间处于未被认领状态。为防范攻击，研究员已抢占6个扩展的命名空间并上传占位扩展，还与OpenVSX运营方协调强化安全措施。目前无证据显示该漏洞已被恶意利用，研究员建议衍生IDE用户手动验证扩展及发布者可信度。

本期活跃的安全漏洞信息

1OpenBlocks身份验证绕过漏洞（CVE-2026-21411）

2iccDEV 无限循环漏洞（CVE-2026-21507）

3Adobe Experience Manager跨站脚本漏洞（CVE-2025-64799）

4Microsoft Azure Cosmos DB欺骗漏洞（CVE-2025-64675）

5MongoDB zlib 压缩内存泄露漏洞（CVE-2025-14847）

值得关注的安全事件

1安天发布《美军入侵委内瑞拉背后的网络作业能力频谱猜测与关联分析》报告

近日，美国对委内瑞拉实施军事打击并强抓委内瑞拉总统马杜罗夫妇。根据美国媒体的报道，当天的行动使用了网络战手段。安天基于对相关行为体的历史研究，从对应行为体的行为范式出发，基于能力体系评估和推断进行分析。安天技术专家李柏松接受《环球时报》记者采访时表示，美国强大的网络攻击能力，平时以对他国信息系统深度掌控、持续隐蔽获取信息为目标，在战时可以转化为战场情报优势，并随时可以打击对手的金融、军事等关键基础设施，进一步导致社会运行崩溃解体。建议提升以体系对抗体系的能力。

2APT36发起针对印度政府及学术界的新一轮攻击

透明部落（APT36）发起针对印度政府、学术及战略实体的新一轮攻击。该组织至少自2013年起活跃，惯于开展网络间谍活动，拥有CapraRAT等多款RAT木马武器库。此次攻击以鱼叉式钓鱼邮件为入口，附件含伪装成PDF的恶意LNK文件，打开后通过HTA脚本加载RAT负载，同时显示诱饵PDF规避怀疑。其恶意软件可根据目标系统杀毒软件类型调整持久化策略，相关DLL文件具备远程控制、数据窃取等完整功能。近几周，该组织还利用伪装政府咨询PDF的快捷方式发起攻击，虽关联C2服务器暂未激活，但注册表持久化使其具备复活的可能。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。