惡意程式
」 駭客 資安 用戶 詐騙 惡意程式
偽冒LINE軟體攻擊! 誤載電腦恐遭「植入惡意程式」
根據國家資通安全研究院的最新資安週報,部分機關透過搜尋引擎查詢通訊軟體LINE的安裝檔時,誤點與官方網站相近的網址,導致變成安裝「偽冒軟體」,電腦因此遭植入惡意程式。資安院示警,機關可集中派送常用軟體,統一控管下載來源與安裝流程,並透過DNS/Proxy阻擋偽冒網站與惡意下載行為,避免誤載風險。資安院最新發布的第24期資安週報顯示,本週總計接獲33件公務機關與特定⾮公務機關事件通報,公務機關⾮法⼊侵事件中以異常連線占多數,偽冒LINE軟體攻擊情境再度出現。資安院指出,部分機關透過搜尋引擎查找LINE安裝檔時,誤點與官方網站名稱相近網址,以致下載並安裝偽冒軟體,導致電腦遭植入惡意程式。過去已知網址雖已透過停止解析機制(DNS RPZ)進行處理,但相似網址仍持續遭駭客註冊利用,提醒使用者務須提高警覺。資安院表示,這類情境在2025年第2至第3季已多次發生,顯示即便是高度熟悉的常用軟體,只要下載來源未受控,仍容易成為社交工程與惡意程式散布的切入點;又或是人員過度信任熟悉品牌,社交工程攻擊辨識不足。若宣導未結合技術與制度配套,防護成效有限。資安院建議,機關可集中派送常用軟體,並統一控管下載來源,搭配阻擋偽冒網站、限制未授權程式執行及強化異常連線偵測,同時以實例宣導提升人員辨識能力。資安院提到,本週一家民間電子通路業「至上電子股份有限公司」發布重大訊息,指公司資訊系統遭受駭客網路攻擊,已立即啟動相關防禦機制,避免影響資安安全。不過同時強調,此事件目前沒有個資、機密或重要文件資料外洩等情事發生,對公司營運無重大影響,後續將持續密集監控,並強化網路與資訊基礎架構之管控。LINE電腦版出現假冒網站(下),不少民眾下載惡意程式遭駭個資。(圖/翻攝自Google)
收到「台電退費」簡訊別點! 刑事局:連結恐藏詐騙陷阱
警方近期發現,許多民眾又收到自稱台灣電力公司寄發的「電費計算錯誤、可申請退款」訊息,其實是詐騙集團仿冒台電名義與格式,製作假網頁誘騙民眾點擊連結,以蒐集民眾的信用卡、金融卡資訊,甚至可能進一步植入惡意程式。北市一名廖姓男子,近日收到一則自稱「台電」的簡訊,內容為「您上期電費計算錯誤,可點擊下方連結申請退款。」並附上一串看似與台電相關的網址,廖男起初以為帳單真的出錯,便點擊了簡訊中的連結。網頁畫面同樣仿造台電官方風格,標示「退款申請」與「用戶資料驗證」,並要求輸入姓名、身分證統一編號、聯絡電話,接著更要求填寫「銀行卡號」與「信用卡資訊」。廖男在輸入部分資料後,發現頁面上方的網址雖有「taipower」字樣,但後半段卻出現奇怪的英文字串,看起來並非官方網站。他越看越覺得不對勁,便立即停止操作並退出該頁面,撥打台電服務專線後,才確認遇到詐騙。刑事局提醒,詐騙訊息通常以「電費計算有誤」作為誘因,宣稱民眾可領取退款,內容附上圖片或按鈕,誘導前往「退款申請」頁面。由於詐騙集團刻意使用外觀與台電十分相似的網頁畫面,甚至在文字中夾帶「taipower」字樣,使受害人誤以為是官方寄送,一旦民眾誤點連結,畫面會跳轉至偽裝的退款頁面,並要求輸入身分證統一編號、電話、銀行卡號甚至信用卡序號等敏感資訊。不法分子藉此可能進行盜刷、申請貸款或利用被害人身分進行其他詐騙。台電已正式澄清,從未以電子郵件方式要求民眾提供金融資料,也不會以「退款」為由要求點擊外部連結;真正的退款僅會在次期帳單抵扣,或依規定由民眾主動向台電申請。刑事局提醒,民眾若收到類似訊息,務必冷靜查證,只要內容涉及要求提供金融卡號、身分證統一編號、一次性驗證碼等資訊,都必須立刻提高警覺,確認寄件者是否真為台電官方,並切記勿點擊任何附件或圖片形式的連結。若對電費內容或是否有退款疑問,可直接撥打台電 1911 客服專線,或登入台電官網查詢,如懷疑遭到詐騙,可撥打165反詐專線諮詢。如需了解更多防詐騙資訊,民眾可瀏覽刑事警察局「165打詐儀錶板」專網,隨時獲取最新詐騙手法提醒及防詐技巧。
微軟Windows 11推「代理式AI功能」恐釀資安漏洞 官方向用戶發警告
微軟近日向Windows 11用戶推出全新的「自主代理式 AI(agentic AI)」功能,提供用戶能透過人工智慧協助處理檔案整理、寄送電子郵件等任務。然而,微軟也在最新支援文件中坦言,這類AI需要更深層的系統存取權限,同時可能變成惡意軟體入侵的新途徑,恐釀全新的資安風險;不過官方強調該功能將預設關閉,建議熟悉安全風險的用戶再啟用。綜合外媒報導,微軟Windows 11用戶推出全新的「自主代理式 AI(agentic AI)」功能,但為降低風險,微軟同步推出名為「代理工作區(agent workspace)」的實驗功能,為AI建立一個受限的獨立使用者環境。這個環境類似Windows 11的有限權限帳號,允許 AI 使用部分系統常用的檔案與應用程式,但無法操作特定使用者安裝的軟體,也不能任意存取使用者資料夾(C:\Users\)內的內容,除非獲得明確授權。微軟指出,這種設計比完整虛擬機(例如 Windows Sandbox)更有效率,同時保留必要的安全隔離,且相關操作都會被完整記錄。儘管如此,微軟仍示警,這類AI本質上具備潛在風險。另外微軟也提到,AI代理可能遭遇跨提示詞注入攻擊(XPIA),「惡意內容可能藏在介面元件或文件中,導致AI被迫執行非預期指令,例如竊取資料或安裝惡意程式。」微軟強調,這項功能目前並未強制啟用,而是在系統中預設關閉。使用者若想啟用,需自行前往「設定>AI Components>Experimental agentic features」開啟。此外,官方也提醒,啟用後將影響系統內所有使用者,因此需要充分了解其安全風險。隨著Copilot+ PC推出,微軟全力推動AI技術,卻遭外界多次批評實用性與安全性不足,包括先前因隱私疑慮而遭質疑的Microsoft Recall。這次的自主代理式AI表面上能提升效率,但在高度系統權限與操作不可預期的前提下,仍讓不少使用者憂心其安全性。
北韓駭客出新招!遠端控制手機竊帳號、刪資料 資安專家示警:前所未見
南韓資安業者警告,朝鮮駭客的網路攻擊手法再度升級,首次出現能同時遠端操控安卓手機與個人電腦、散播惡意代碼並刪除資料的新型攻擊模式。專家指出,這類同時結合資料刪除、帳號竊取與遠端控制的攻擊模式前所未見,顯示朝鮮的駭客技術已從單純間諜行動,進化為能直接威脅民眾生活與社會秩序的階段。《韓聯社》報導,根據南韓資訊安全管理企業「Genians安全中心」10日發布的報告,今年9月5日,一名南韓心理諮詢師的手機遭駭客遠端初始化,個資被竊取,其通訊軟體KakaoTalk帳號更被用來冒名傳送惡意程式,導致多名聯絡人中招。報告指出,駭客偽裝成「減壓程式」誘騙受害者點擊下載,進而入侵手機或電腦,長期潛伏蒐集受害者的Google與主要IT服務帳號資訊。駭客甚至利用Google定位功能,確認受害者離開住家或辦公室後,透過「Find Hub」物品搜尋服務強制將手機恢復原廠設定,再藉此傳播惡意代碼。受害者因手機推播與簡訊功能遭關閉、通話被拒接,導致裝置陷入「當機」狀態,無法及時察覺或應變。更令人憂心的是,駭客還會在操作過程中刪除手機或電腦內的圖片、文件及通訊錄,造成無法復原的資料損失。Genians安全中心指出,這類同時結合資料刪除、帳號竊取與遠端控制的攻擊模式前所未見,顯示朝鮮的駭客技術已從單純間諜行動進化為能直接威脅民眾生活與社會秩序的階段。專家呼籲用戶提高警覺,避免點擊不明連結或安裝來歷不明的應用程式,並加強資安防護措施。
20億電子郵件、13億密碼外洩!資安專家警告:舊資料仍可致命
全球資安社群傳出重磅消息!知名外洩檢測網站「Have I Been Pwned?」(HIBP,即「我被駭了嗎?」)創辦人資安專家杭特(Troy Hunt),近日收到1份規模龐大的外洩資料庫,內含超過20億筆獨立電子郵件地址與13億個獨立密碼。據《PC World》報導,這批資料並非來自單一駭客事件,而是由資安公司「Synthient」長期從各種外洩來源匯總而成的整合資料集。過去,Synthient也曾提供過1.83億筆外洩郵件地址資料給HIBP進行安全分析。此次更新的資料量更為驚人,顯示資訊竊取活動的規模與深度仍在不斷擴大。杭特在他的部落格中解釋,這批資料主要來自「網銀大盜」(Infostealer)類型的惡意軟體。這類惡意程式會在中毒電腦上自動竊取使用者的帳密,再被駭客散布於網路暗處或透過Telegram群組交換流通。Synthient收集這些外洩紀錄後,去除重複項目,留下唯一的帳號密碼組合,以利進行比對與研究。杭特指出,這些資料有部分可在網路上自由取得,也有部分透過駭客社群流通。任何人都可以透過HIBP網站輸入自己的電子郵件地址,以檢查帳號是否遭到洩漏。為確保資料真實性,杭特親自驗證多筆資料。他首先搜尋自己的名字,結果發現1個來自1990年代、早已棄用的電子郵件地址。更令人驚訝的是,他還找到數個與該信箱相關的密碼,其中有1組的確曾屬於他本人。之後,他邀請多位訂閱他郵件清單的讀者進行測試。結果顯示,有人找到多年前已失效的密碼,也有人發現仍在使用的登入憑證。換言之,這批外洩資料橫跨數十年,既包含舊資料,也有近期的新紀錄。杭特強調,即便資料年代久遠,也不代表已無風險。駭客經常使用1種名為「撞庫」(Credential Stuffing,又稱「憑據填充」)的攻擊手法,利用過去外洩的帳號密碼組合嘗試登入其他網站。由於許多使用者多年不改密碼,舊資料往往仍能奏效。此外,簡單或可預測的密碼(例如「12345」、生日或寵物名字)更容易被快速破解,「只要使用者懶得更換密碼,駭客就永遠有機可乘。」杭特已將這13億筆密碼匯入他的「被駭密碼」(Pwned Passwords)資料庫,供大眾檢查特定密碼是否曾被破解。這個資料庫並不包含電子郵件地址,只專注於密碼本身的安全性。他舉例說:「假設你曾使用密碼『Fido123!』,若它已被揭露,不論是與你的信箱相關,還是他人的帳號被外洩,這個密碼都已不安全。因為這類密碼遵循可預測的規則,例如寵物名加上數字或符號,駭客能輕易破解。」杭特補充,即使發現某個強密碼出現在資料庫中,也可視為它確實被外洩過的證據,因此應立即停用並更換,「無論是哪種情況,這個密碼都不該再出現在任何帳號上。」杭特最後也提醒,用戶應定期檢查自己的電子郵件與密碼,無論是主要帳號還是1次性信箱,「你永遠不知道誰可能握有你的資料」,而資訊安全的防線往往取決於個人有無警覺。
外傳有1.83億信箱名單外洩 Google滅火:沒「新一波Gmail攻擊」
澳洲資安研究員杭特(Troy Hunt)近期表示,一個由惡意程式彙整而成的「竊取記錄檔」(stealer logs)資料集在黑市流通,規模約3.5太位元組(terabytes),當中涵蓋約1.83億組獨特電子郵件地址與對應曾輸入過的網站及密碼。杭特提醒,所有主流電郵服務供應商的地址都在名單裡,過往此類外洩案裡Gmail往往占有相當比例,呼籲使用者主動檢查帳號是否遭殃。根據《unilad》報導,杭特受訪時表示,這並非單一網站被攻破的集中外洩,而是長期感染使用者電腦的惡意程式,在背景中攫取瀏覽器儲存的憑證、表單輸入與自動填入資料,持續生成多份記錄檔並在不同論壇與私密通道反覆流傳。他在部落格形容,這類資料來源更像一條「不斷噴出個資的水龍頭」,一旦資料外流,往往會透過無數管道再散播。杭特提到,受影響族群可能涵蓋使用Outlook、Yahoo等服務者,但他特別提及Gmail用量龐大,風險不容小覷。就已知資訊而論,這批資料集的特徵在於「廣且久」。從數量上看,約1.83億個獨立電郵地址本身已具規模;從型態上看,除帳號欄位外,同步出現的「曾填寫過的網站」與「對應密碼」更讓撞庫攻擊的成功率大幅提升。資安社群關注的焦點,落在這些記錄並非一次性洩漏,而是多年累積、跨平台彙整的結果。當攻擊者取得新的竊取記錄檔,便能與舊資料交叉比對,快速拼湊出更完整的身分圖譜。消息曝光後,Google在受訪時回應,表示並不存在「新的、特定於Gmail的攻擊」。指稱近日媒體所談的是早已被業界掌握的資訊竊取活動,目標分散於多種網路行為範疇,Google以多層防護偵測到憑證異常時,會主動觸發密碼重設;同時鼓勵用戶開啟兩步驟驗證(2-step verification),並採用通行金鑰(passkeys)作為更安全的身份驗證方式。LADbible集團已向Google要求進一步說明。在面對這波資料外洩時,杭特給出具體作法:前往他經營的查核平台Have I Been Pwned,於搜尋欄鍵入自己的電子郵件地址,系統會比對近十年公開可查的外洩名冊,回報該地址是否曾出現在已知事件中。若檢索結果顯示「命中」,建議立刻更換對應電郵的密碼,並逐一檢視以該郵件地址註冊的其他服務,只要與舊密碼相同或相近,就一併更換;其次,啟用雙重或多重驗證,將簡訊OTP或驗證器App乃至通行金鑰納入登入流程,降低單一密碼失守的風險。需要留意的是,這批資料並非全都「最新鮮」。資料集裡往往混雜舊年外洩樣本與近期竊取記錄,造成使用者誤以為「剛剛被駭」。正因來源時間軸拉得很長,檢查結果即便來自多年前事件,依然值得現在就更改密碼,避免被攻擊者以舊資料嘗試登入現行帳號。對企業與高風險族群來說,導入密碼管理器、強制長度與複雜度、全站啟用MFA,以及監看異常登入行為,都是當下能立即落地的緩解手段。
外匯最大來源!北韓駭客再破紀錄 2年竊取加密貨幣逾28億美元
由11國組成的多邊制裁監控小組(Multilateral Sanctions Monitoring Team,MSMT)最新評估,2024年1月至2025年9月間,北韓駭客透過一連串網攻與洗錢流程,搬走價值28.3億美元的加密資產,約占該國2024年外匯總收入的三分之一。2025年前9個月失竊金額達16.4億美元,較2024年全年的11.9億美元增幅50%,顯示攻擊規模持續擴大。根據《CryptoPotato》報導,MSMT將今年2月針對Bybit的入侵列為關鍵事件。行動與TraderTraitor組織相關,該團體亦被稱為翡翠雪(Jade Sleet)或UNC4899。這些駭客不是直搗交易所核心,而是從多重簽名錢包供應商SafeWallet下手,先以釣魚信與惡意程式滲透內部系統,再把外部轉帳偽裝成內部操作,進一步操控冷錢包智慧合約,資金得以悄然轉移。MSMT統計,駭客近年常避開正面攻破交易所,轉而針對第三方服務供應商下手;CryptoCore、Citrine Sleet等團隊以假開發者身分、被盜身份資訊與供應鏈知識反覆施作。Web3專案Munchables曾在單次攻擊中損失6,300萬美元,後因洗錢環節受阻,資金才據報被歸還。被竊代幣出場後,隨即進入多層清洗。MSMT描述的典型路徑,先把資產在去中心化交易所兌換為以太坊(Ethereum,ETH),再透過Tornado Cash或Wasabi Wallet攪混足跡;其後跨鏈轉為比特幣(Bitcoin,BTC),再次混幣、移入冷錢包保存,接著換成波場幣(Tron,TRX),最後轉入穩定幣USDT。尾聲由場外經紀人兌換現金,斷開鏈上脈絡。個案串流顯示,中國、俄羅斯與柬埔寨成為關鍵節點。在中國,深圳鏈元網絡科技公司(Shenzhen Chain Element Network Technology)的葉定榮(Ye Dinrong)、譚永志(Tan Yongzhi)與交易員王義聰(Wang Yicong)被指協助資金搬運與偽造證件;俄羅斯的中介據稱將Bybit案約6,000萬美元經場外通道轉換;柬埔寨的Huione Pay(Huione Pay)被用作資金流轉平台,但其牌照未獲央行續期。MSMT追溯合作網絡還延伸至講俄語的網犯圈。自2010年代起北韓駭客頻繁與其互通,2025年更出現與月石雪(Moonstone Sleet)關聯的行動者向俄羅斯Qilin租用勒索軟體工具的跡象,攻防樣態從竊盜、釣魚、供應鏈滲透,一路擴張到即服務化的犯罪租賃。在追責面向上,MSMT點名TraderTraitor、CryptoCore、Citrine Sleet等多個團隊慣用的「第三方突破」戰術,提醒業界除加固交易所本身控管,對多簽、託管、基礎建設供應商的社工風險與權限管理不可鬆懈。報告也還原洗錢的九步驟鏈路,凸顯跨鏈橋、混幣器、場外經紀與離岸法域的緊密協作,任何一環的合規鬆動都可能被用來擴大洗白效能。面對資安與制裁的雙重挑戰,參與MSMT的11個司法轄區發表聯合聲明,呼籲聯合國(UN)會員國提高對上述網路行動的警覺,並要求聯合國安全理事會(UN Security Council)恢復其專家小組(Panel of Experts),且維持解散前相同的權限與架構,以補上跨國協調與證據共享的缺口。
不會教但會講!美國研究團隊示警 Snapchat聊天機器人防護形同虛設
根據一項實驗顯示,Snapchat的人工智慧聊天機器人「My AI」存在可被操控的安全漏洞,能在特定情境下分享原本受限制、甚至具危險性的內容。這項發現引發對AI防護機制與未成年使用者安全的關注,揭示社群平台在AI倫理設計上的重大隱憂。根據《Cybernews》報導,這項研究由《Cybernews》研究團隊執行,測試對象是Snapchat於2023年推出、目前全球逾9億人使用的「My AI」。該功能原設計為互動式對話助理,可回答事實問題、生成創作內容,並在群組聊天中參與對話。Snapchat Plus訂閱者還能與此AI交換照片,或請它依食材圖片生成食譜。依Snapchat官方說明,My AI經過額外的安全強化與內容審查訓練,目標是避免放大錯誤或有害資訊。但《Cybernews》的測試發現,這些防護並不如宣稱穩固。研究人員利用「越獄」(jailbreaking)技巧,以精心設計的提示語讓機器人繞過安全規範。當直接詢問如何製作汽油彈(Molotov cocktail)時,AI會拒答;但若將問題包裝成歷史敘事,要求描述芬蘭與蘇聯冬季戰爭(Winter War)中燃燒裝置的運用細節,My AI便生成了包含材料與步驟的內容。研究報告寫道「這個聊天機器人雖不會直教製作武器,卻會透過真實戰爭故事間接提供相關資訊。」團隊警告,這代表青少年或缺乏判斷力的使用者,可能僅憑簡單語言操控便能取得危險知識。此次實驗使Snapchat的安全承諾受質疑。《Cybernews》指出,Snapchat尚未修補該漏洞,也未將其列為重大風險事件。研究團隊已聯繫該公司請其回應,但截至報導發布仍未收到具體答覆。報導中提到,My AI的安全問題並非首次被討論。過去曾有使用者回報,該聊天機器人忽然傳送一段僅1秒的影片,畫面類似天花板一角,隨即完全停止回覆。此事一度引發社群恐慌,外界懷疑AI行為是否遭未授權操控。目前「越獄」已成AI領域的普遍挑戰,許多模型都曾遭類似攻擊。先前,《Cybernews》團隊成功誘導Meta整合於Messenger、WhatsApp與Instagram的個人助理,生成汽油彈製作指南。另有調查揭露,聯想(Lenovo)AI聊天機器人Lena(基於OpenAI的GPT-4模型)存在可在企業電腦上執行未授權腳本的漏洞,攻擊者可藉此竊取cookies並滲透客服系統。除歐美公司外,中國開發的聊天機器人DeepSeek也曾被安全研究員欺騙,生成可竊取Chrome瀏覽器資料的惡意程式。甚至有欠缺資安背景的研究者,只憑提示語就能讓模型產出具刪除敏感資訊功能的惡意軟體。在OpenAI發布GPT-5後,《Cybernews》指出,全球多支安全團隊於模型推出不到24小時內便成功實施「越獄」。這些事件凸顯AI平台普遍缺乏對抗操縱攻擊的穩定防線,也讓Snapchat等大型社群應用的使用安全問題更加突顯。
AI正改寫資安戰局 駭客用提示詞就能發動攻擊
人工智慧正快速重塑網路安全版圖。Wiz首席技術專家勒特瓦克(Ami Luttwak)近日接受《TechCrunch》專訪時直言,AI帶來的挑戰是一場「心理戰」,因為每當技術浪潮興起,攻擊者總能找到全新切入點。勒特瓦克指出,企業急於將AI整合進工作流程,從vibe coding、AI代理到各類新工具,雖然大幅提升開發效率,但也同步放大攻擊面。他強調,這些加速交付程式碼的方法往往伴隨漏洞與捷徑,讓攻擊者有更多可乘之機。他舉例,Wiz測試發現vibe coding應用常見的問題就是認證設計不安全,因為AI代理若未被特別要求,就不會採取安全方式建構。結果,企業陷入「效率與安全」的持續拉扯。攻擊者同樣懂得運用提示詞技術與AI代理,甚至能要求系統洩漏秘密、刪除檔案。勒特瓦克提到,近期已出現多起重大案例:Drift事件:上月新創公司Drift遭駭,數百家企業的Salesforce資料被竊,受害者包括Cloudflare、Palo Alto Networks與Google。駭客利用竊得金鑰冒充聊天機器人,在客戶環境中橫向移動,惡意程式碼本身就是透過vibe coding生成。「s1ingularity」攻擊:今年8月,駭客鎖定JavaScript開發常用的建構系統Nx,植入惡意軟體,專門偵測Claude與Gemini等AI工具,進而攔截私人GitHub儲存庫。他說,雖然目前全面採用AI的企業僅約1%,但Wiz幾乎每週都能觀測到影響數千家客戶的攻擊事件。成立於2020年的Wiz,最初專注於協助企業辨識雲端漏洞與錯誤配置,近年則擴展至AI安全領域。去年9月推出 Wiz Code,將安全設計提前至軟體開發初期;今年4月再推 Wiz Defend,提供雲端即時威脅偵測與回應。勒特瓦克解釋,要達成「水平安全」(horizontal security),必須徹底理解客戶的應用程式與需求。他提醒新創公司,開發AI產品時不能忽視安全責任。他以自身經驗指出,Wiz在還沒寫下第一行程式碼之前,就完成了SOC2合規,並直言「五個員工的時候要做到,比等到500人時容易得多。」他呼籲新創從第一天就設立CISO,建立嚴謹安全架構,確保客戶資料留存在客戶環境,而不是交給外部小型服務。勒特瓦克強調,AI驅動的攻防對抗才剛開始,從釣魚郵件、電子郵件防護到惡意軟體偵測,每個領域都在被重新定義。對能結合工作流程與自動化的「vibe security」新創而言,這是關鍵時刻。他最後表示:「比賽已經開始,現在我們必須徹底重塑安全的每個部分。」
iOS、WhatsApp遭遇串連攻擊「用戶資料遭竊」 Apple、Meta急修漏洞
蘋果日前為iOS與macOS釋出安全更新,修補一個被形容為「極度複雜、專門針對特定目標」的高階攻擊漏洞。隨著技術細節陸續曝光,資安社群發現,這次行動並非單一弱點遭入侵,而是透過WhatsApp與Apple作業系統的兩個漏洞串聯,讓惡意訊息得以無需互動便滲入受害裝置,進一步竊取訊息與資料。專家警告,隨著漏洞編號已公開,尚未更新的系統將成為下一波攻擊焦點。根據《9to5Mac》、《TechCrunch》報導,WhatsApp的CVE-2025-55177與蘋果修補的CVE-2025-43300共同構成了這場攻擊鏈。Meta在安全公告中承認,惡意訊息能直接抵達用戶終端,再由系統層面的缺陷接手,完成入侵與資料外洩。蘋果則在公告裡形容這是鎖定特定個體的「高階滲透手法」,並呼籲所有使用者立刻安裝更新。國際特赦組織安全實驗室主管凱爾巴爾(Donncha Ó Cearbhaill)解釋,這波行動自5月底展開,持續約90天,波及的WhatsApp用戶達數十人。他將此定義為典型的「零點擊」攻擊,也就是受害者「不需點擊或互動」,惡意程式就能被植入。Meta目前已向少於200名疑似受影響的使用者發出通知,警示內容直言,他們可能收到透過WhatsApp傳遞的惡意訊息,並同時遭系統漏洞利用。公司建議受害者最穩妥的做法是進行完整出廠重設,並強調保持WhatsApp與作業系統版本最新才能降低風險。Meta發言人富蘭克林(Margarita Franklin)表示,CVE-2025-55177已於「幾週前」完成修補,但至今尚無法確認背後操作者的身分與完整受害規模。報導中也提到,這並非WhatsApp首次被利用為政府級間諜軟體的載具。美國法院5月時判決NSO集團(NSO Group)因2019年大規模入侵事件須向WhatsApp賠償1.67億美元;當時逾1400人遭植入Pegasus間諜程式。更早之前,WhatsApp也曾攔截一場涉及義大利社會人士的監控行動,外界質疑與Paragon工具有關。目前蘋果與Meta均已完成修補,但資安專家提醒,一旦漏洞技術細節公開,未更新的裝置將迅速成為掃蕩式攻擊目標。就算不是知名人物,用戶仍應及時安裝最新更新,必要時評估是否進行出廠重設,才能在這場跨平台的資安危機中降低風險。
僅高職畢業!男自學程式逮電子票券公司bug 狂盜570張票券賺百萬
北市一間跨國電子票券自去年2月起發現遭不明人士以惡意程式攻擊,對方以外掛程式到處尋找已完成付款但尚未使用的電子票券,從而取得大量超商商品券。刑事局獲報後循線追查,掌握犯嫌取得商品券,將商品券兌換後直接拿給親友使用,或是換取高單價酒類,以低於市售價格向酒商兜售,或是賣給不知情的第三人,至少盜領570張票券,不法獲利粗估至少100萬元,今年8月中旬陸續發動搜索,逮獲23歲的林姓工程師等37人。刑事局獲報有電子票券公司遭惡意程式攻擊,逮獲23歲林姓工程師盜取電子超商商品券。(圖/翻攝畫面)據了解,23歲的林姓工程師有資訊背景,學歷僅有高職,卻因對程式編碼相當有興趣,自學程式編碼,找來10名好友一起撰寫外掛程式,幾人一起腦力激盪,找到電子票券公司的漏洞,利用民眾購買電子票券通常不會立即兌換的時間差,以惡意程式攻擊電子票券公司,從而取得已完成購買的電子金鑰,鎖定超商商品券下手,再拿著金鑰前往超商兌換。而林男旗下的其中一名工程師,年僅19歲,其學歷更僅只有高中肄業。林男得手後,除將商品券送給周邊親朋好友外,也會將超商商品兌換店內高單價酒類,再以低於市售價格賣給酒商,或透過網路平台將票券賣給其他不知情之第三者。警方循線追查後,分三波搜索,先是逮獲林姓男子等12人,並在一名李姓工程師家中發現SIM卡變換器(俗稱貓池,可用一支手機操控數個門號),林男等人透過創設多個會員帳號後,再以為電商平台量身打造惡意程式,從看直播方式領取點數,自用折抵。警方也發現,林男等人還破解一款手遊,該手遊只要會員完成指定闖關遊戲,每天就可獲得價值30元的獎勵,林男等人直接略過過程,透過機器人獲得獎勵。警方自去年8月至今年7月間,在台北地檢署指揮下,與北市信義分局、中正一分局、刑事警察大隊及高雄市警局刑事警察大隊等單位展開連續3波查緝行動,逮捕嫌犯37人,並查扣貓池、惡意程式軟體、電腦、行動電話、USDT虛擬貨幣3000顆(市價台幣10萬元)等贓證物;清查本案犯罪集團共計詐領虛擬商品票券逾570張。全案後續也依照詐欺、妨害電腦使用與組織犯罪條例移送偵辦,其中主嫌林男與賴姓工程師均以3萬元交保。刑事局呼籲,駭客會利用惡意程式暴力破解網站系統,或透過「貓池」大量創設帳號,非法詐領虛擬商品票劵及電商優惠點數,藉以進行販售或個人消費牟利。民眾勿輕信購買來路不明之折扣票劵與點數,避免淪為詐騙集團的洗錢共犯。如發現異常或詐騙訊息,請立即通報警方或撥打110、165反詐騙專線,以共同維護社會治安。
駭客入侵Google!25億Gmail用戶個資恐外洩 專家教5招自保
國際駭客組織ShinyHunters於今年6月成功入侵Google一個透過Salesforce雲端平台管理的重要資料庫,竊取大量企業與客戶聯絡資料。由於此次資安漏洞可能影響高達25億名Gmail用戶,引發全球關注。目前,Google尚未對外公布確切受害人數,也未透露是否曾收到駭客勒索要求。根據《每日郵報》報導,駭客疑似透過社交工程手法,誘騙一名Google員工提供登入憑證,從而取得該資料庫的存取權限。雖然Google聲稱目前無證據顯示有用戶密碼外洩,但被竊取的聯絡資訊已被用於電話詐騙與釣魚攻擊,受害者可能因此帳戶遭盜用,甚至個資外洩。資安專家奈特(James Knight)指出,駭客已開始透過冒充Google員工的方式進行詐騙,使用650區碼撥打假電話,甚至傳送簡訊引導用戶重設密碼、提供驗證碼。他強調,「如果收到來自 Google 的語音或文字訊息,十之八九是假的,千萬不要輕信。」奈特也指出,駭客還利用盜得的Gmail名單進行暴力破解攻擊,嘗試輸入常見密碼如「password」登入帳戶。專家呼籲Gmail用戶立即採取以下資安措施:1、啟用雙重驗證(MFA):提升登入安全性。2、更換強密碼:避免使用簡單、重複或被外洩過的密碼。3、使用密碼金鑰(Passkey):提升身份驗證層級。4、進行 Google 帳戶安全檢查:檢視潛在風險與異常登入紀錄。5、保持警覺:勿隨意提供驗證碼,不要輕信任何「來自Google」的來電或訊息。此外,駭客此次還利用「懸空桶(Dangling Bucket)」攻擊法,從過時或未封鎖的Google Cloud存取點切入,植入惡意程式或竊取更多資料。目前Google尚未對外公布確切受害人數,也未透露是否曾收到駭客勒索要求。發言人Mark Karayan拒絕進一步回應。奈特提到,雖然Google長年投資資安系統,並曾收購資安公司,但此次 Salesforce資料庫的漏洞仍令人震驚,「這些 email 資料對駭客而言如同金礦,他們可能已藉此獲得龐大利益。」他提醒所有網路用戶,「駭客會不斷透過大量測試與釣魚手段,試圖入侵帳戶。保持高度警覺,是防範詐騙的第一步。」
以惡制惡!打擊加密貨幣盜竊與網路詐騙 美議員提案復刻「18世紀私掠令」反擊
美國國會近日提出一項極具爭議性的法案,準備授權國家認可的「海盜」對網路犯罪分子展開打擊。根據《Cointelegraph》報導,亞利桑那州(Arizona)聯邦眾議員施韋克特(David Schweikert)於8月提出《2025年詐騙農場私掠許可授權法案》(The Scam Farms Marque and Reprisal Authorization Act of 2025),主張總統可發出私掠狀,讓經政府認證的私人個人或團體,行使類似海盜的執法權力,針對被認定為國安威脅的網路犯罪分子進行財產扣押與處罰。法案特別列明,加密貨幣竊盜、「殺豬盤」詐騙、勒索軟體攻擊、身份竊盜、未經授權存取電腦、惡意程式攻擊等行為,都是重點打擊對象。文件將這些犯罪行為描述為現代「戰爭行為」,不僅針對個人,還涉及有組織犯罪及外國政府對美國利益的侵害。施韋克特表示,這套制度仿效18世紀「私掠狀」模式,未來將對資安威脅與非法資產扣押帶來深遠影響。在美國國內,相關執法案例屢見不鮮。例如今年7月,加密貨幣資產被盜總額超過1.42億美元,截至2025年已突破30億美元。美國聯邦調查局(FBI)達拉斯分部曾行動沒收Chaos勒索軟體組織的20顆比特幣,價值超過230萬美元。美國司法部(DOJ)也自BlackSuit勒索軟體組織中沒收價值100萬美元的加密資產。8月時,司法部還從伊亞尼斯.阿列克桑德羅維奇.安特羅潘科(Ianis Aleksandrovich Antropenko)手中,扣押了價值280萬美元的加密貨幣,這些資產多半來自對企業與個人的勒索攻擊。事實上,美國總統川普(Donald Trump)已於1月已簽署行政命令,設立比特幣及加密貨幣儲備。此一儲備僅能透過預算中立機制或資產沒收方式取得新資產。根據現行運作,執法單位沒收的加密貨幣經法院程序後,通常歸為政府資產。施韋克特認為,透過賦予總統更大彈性,可直接授權私人團體協助追查與沒收網路犯罪資產,以因應日益嚴峻且快速演變的資安威脅,對抗各類勒索與詐騙行為。倘若法案通過,未來美國執法機關將結合民間資安力量,共同打造網路治理的新局面。
北韓駭客假扮面試官「滲透雲端系統狂竊加密幣」 一年吸金近500億
根據資訊安全情報公司Cisco Talos最新報告指出,北韓駭客持續對區塊鏈產業加強滲透,近期更假扮成面試官,透過虛構的線上求職機會,針對加密貨幣從業者下手。報告揭露,一種名為「PylangGhost」的全新Python遠端存取木馬被用於此次攻擊行動,並與北韓駭客組織「Famous Chollima(페이머스철리마)」,又名「Wagemole(웨이지몰)」,有高度關聯。根據《Decrypt》報導指出,這波攻擊行動首波目標即為區塊鏈專才,特別是智慧合約開發者、資安稽核人員與DeFi(去中心化金融)領域專家,顯示駭客不僅熟悉區塊鏈生態,更具高度針對性。根據Cisco Talos調查,駭客透過假面試誘騙目標下載帶有惡意程式的文件,不僅竊取敏感資訊,還能進一步掌控受害者電腦設備,為後續滲透、挾持或資金竊取鋪路。根據TRM Labs在今年2月公布的統計資料,2024年全球遭竊的加密資產中,有高達35%可追溯至北韓駭客行動,損失金額高達16億美元(折合新台幣約478.5億元),且整體攻擊規模持續擴大,未見減緩跡象。Google資安專家柯里爾(Collier)警告,北韓駭客展現出極高的靈活性與策略彈性,能迅速依照政權的資金需求調整攻擊目標。他指出,這些駭客已開始導入人工智慧技術,在資訊竊取與滲透操作上展現倍增效能,大幅提升成功率與滲透速度。柯里爾表示「我們目前尚未看到任何收斂跡象,未來恐將更加擴張。」
以色列砲轟「駭客團體重出江湖」 Pay2Key對美以發動網攻「獲利1.17億」
與伊朗有關的勒索軟體(RaaS)Pay2Key,近期重新現身,並開始針對以色列與美國發動網路攻擊,背後提供的獲利誘因比過往更高,成為近期資安界關注焦點。該行動以Pay2Key.I2P之名重新啟動,與知名駭客組織Fox Kitten(又稱Lemon Sandstorm)有密切聯繫,並被認為與Mimic勒索軟體存在合作關係。根據《Cybernews》報導,Morphisec資安研究員庫爾明(Ilia Kulmin)表示,Pay2Key.I2P結合了Mimic的勒索技術,且公開向支持伊朗或參與針對伊朗敵對國家攻擊的犯罪者提供80%的利潤分成,比先前的70%更為優渥,這反映出背後組織在意識形態上的鮮明立場。事實上,美國政府早前就曾揭露,該類與伊朗有關的進階持續性威脅(APT)組織,曾與NoEscape、RansomHouse及BlackCat(又稱ALPHV)等團體合作,透過各種方式發動勒索攻擊。伊朗駭客利用Pay2Key的記錄可追溯至2020年10月,當時曾鎖定以色列企業,手法多為利用既有資安漏洞。目前Pay2Key.I2P再次現身,並宣稱在短短四個月內已成功勒索51筆贖金,獲利超過400萬美元(折合新台幣約1.17億元),個別參與者平均可分得10萬美元以上。儘管表面上以財務利益為目標,該行動實際隱含濃厚的意識形態色彩,其攻擊對象鎖定以色列與美國,顯然不僅為了金錢而來。此次重新登場的Pay2Key.I2P,更被認為是首個已知直接架設於Invisible Internet Project(I2P)之上的RaaS平台,與過去僅將I2P作為指揮與控制(C2)通訊管道不同。瑞士資安公司PRODAFT曾於3月發文示警該平台異常行為,該內容隨後也被Pay2Key.I2P官方帳號轉發確認。更引人注意的是,該組織於俄羅斯暗網論壇以名為「Isreactive」的帳號發文,公開宣稱任何人只要支付20,000美元即可部署此勒索軟體,並承諾每筆成功攻擊將給予報酬,徹底改變傳統RaaS的運作模式。庫爾明認為,這套新模式讓開發者從單純販售軟體轉向直接分潤勒索所得,建立更為去中心化的犯罪生態系統。截至今年6月,Pay2Key已擴充功能至支援Linux系統,Windows版本則透過自解壓(SFX)封裝檔傳遞。為規避偵測,其新版本內建多種技術,可於攻擊時關閉Microsoft Defender防毒,並自動清除惡意程式殘留物,降低遭取證機會。根據SonicWall Capture Labs觀察,該勒索軟體還利用偽裝成Microsoft Word文件的可攜式執行檔進行初步感染,進一步透過cmd檔啟動加密程序與投放勒索信。Morphisec指出,這場行動展示了伊朗國家級網路戰與全球網路犯罪的融合風險,累積贖金已逾400萬美元,並對西方組織構成實質威脅。
中國駭客涉「竊取美國新冠病毒研究」被逮 美司法部:受北京指使
美國當局於週二宣布,33歲中國公民徐澤偉(Xu Zewei)因涉嫌入侵多所美國大學電腦系統、竊取與COVID-19相關的研究資料,已於7月3日在義大利米蘭被捕,目前正等待引渡至美國受審。另一名共犯、44歲的中國籍男子張宇(Zhang Yu)仍在逃。根據德州南區聯邦法院公布的起訴書,徐澤偉與張宇被控在2020年2月至2021年6月間,針對從事新冠疫苗、治療與檢測研究的美國免疫學家與病毒學家發動網路攻擊。檢方指控,這起行動由中國國家安全部上海市國安局(SSSB)主導,並透過中國企業「上海派洛克網絡公司」(Powerock)執行。美國司法部表示,徐等人是「HAFNIUM」駭客組織成員,該組織透過入侵微軟Exchange伺服器等方式,成功對超過1萬2700家美國實體竊取敏感資料。受害機構包括兩所位於德州南區的大學及一家跨國律師事務所。起訴書中指出,駭客在侵入系統後植入「網頁殼」程式以便遠端控制,並搜尋包含「中方來源」、「MSS」、「香港」等敏感關鍵字。美國司法部國安助理檢察官艾森伯格(John A. Eisenberg)表示:「本案凸顯美國打擊國家資助網攻行為的決心與耐心。司法部會找到你們,並追究你們對威脅我們網路安全、損害我們人民和機構的責任。」德州南區檢察官甘傑(Nicholas Ganjei)則強調,這類駭客行為不僅竊取智慧財產,更是對美國科學與創新的直接威脅。聯邦調查局(FBI)指出,「HAFNIUM」駭客組織曾利用Microsoft Exchange的零時差漏洞,在全球發動大規模入侵。雖然微軟於2021年3月發出修補程式,但至同年4月仍有數百台美國電腦遭植入惡意程式。美國司法部指出,中國政府長期透過與之合作的企業與承包商,在全球範圍內進行間諜與資訊竊取行動,並利用商業化外包操作手法掩蓋官方參與痕跡。徐澤偉被控九項罪名,包括共謀電信詐欺、未經授權存取受保護電腦、意圖破壞電腦系統及嚴重身分盜竊。其中電信詐欺最高可判處20年徒刑,身分盜竊則可處2年徒刑。
160億筆帳密外洩「蘋果、META、Google全中招」 有兩階段驗證也沒用「Cookies也外流」
近期爆發一起有史以來規模最大的帳密外洩事件,總計高達160億組帳號密碼在網路上曝光,牽涉範圍涵蓋Apple、Google、Facebook、Telegram、GitHub與多項政府與企業服務。根據《Cybernews》研究,這些資料並非舊資料回鍋,而是來自近期的資訊竊取行動,且絕大多數是被惡意軟體所擷取。根據《Cybernews》報導指出,這些紀錄分散在30個不同的資料庫,單一資料庫內最多包含35億筆資料,平均每筆資料集則約有5.5億筆。即使部分資訊重複,整體數量仍具驚人規模。研究團隊發現,這些資料庫結構清晰,常以網址搭配帳號密碼呈現,許多還附加Cookies、Session權杖與自動填入的瀏覽器中繼資料,能讓攻擊者直接繞過兩階段驗證(2FA)系統,入侵用戶帳號。《Cybernews》資安研究員迪亞琴科(Bob Diachenko)強調,這不僅是一場單純的資料外洩,而是一份「攻擊指南」,足以為釣魚詐騙、勒索軟體與企業郵件詐騙(BEC)行動提供「彈藥」。迪亞琴科表示,目前尚未出現證據顯示Apple、Facebook或Google本身發生過集中式資料外洩,但用戶憑證中已明確出現指向這些平台的登入網址,這意味著,帳號資訊可能是在用戶端被盜取。研究也發現部分資料庫的命名可能顯示潛在來源,例如一筆含4.55億筆紀錄的資料庫,其顯示來自俄羅斯聯邦(Russian Federation),另有一筆6000萬筆資料的集合則命名為Telegram。規模最大的資料庫紀錄超過35億筆,似乎與葡萄牙語族群有關。資安研究人員強調,這些包含Cookies與Session資料的憑證外洩事件,對未啟用雙重驗證或未定期清理登入資訊的用戶與組織構成極大風險。因為Cookies與Session資料可讓攻擊者無需輸入密碼和一次性驗證碼,即可模擬合法用戶登入,尤其對許多未自動清除登入狀態的系統來說,幾乎毫無防禦能力。回顧過去幾起重大資料外洩事件,這次160億筆資料的洩漏與2024年被稱為「所有外洩之母(Mother of All Breaches,MOAB)」的260億筆紀錄相互呼應。當年還曾出現名為「RockYou2024」的外洩包,內容包含近百億筆獨立密碼。此外,日前也發生中國用戶資料大量外洩的事件,影響涵蓋微信(WeChat)、支付寶(Alipay)與個資金融紀錄。面對龐大資料外洩風險,研究人員建議使用者務必啟用多重驗證(MFA)、定期更換密碼、避免重複使用舊密碼,並善用密碼管理工具建立獨特密碼組合。若有系統支援登入紀錄與安全警示,也應啟用監控功能,第一時間辨識異常行為。報導中指出,許多駭客是藉由使用資訊竊取工具來完成資料蒐集。這些惡意程式常藉由盜版軟體、受感染的PDF、遊戲模組等形式植入用戶裝置,一旦入侵成功,便能持續擷取憑證、Cookies、瀏覽紀錄、文件與內部工具資訊,最終在暗網販售或彙整為資料集用於後續攻擊。研究團隊警告,駭客甚至無須百分之一的成功率,只要憑藉這類大規模資料集中微小的命中率,便足以開啟數百萬筆帳號的大門。
資安研究團隊曝自年初已有160億筆帳密外洩 蘋果、Google、臉書都遭殃
資安研究團隊Cybernews近日透露1則令人擔憂的消息,自2025年初以來,全球共有高達160億筆帳號密碼外洩,其中包括蘋果、Google、臉書等,甚至連政府入口網站都無法倖免。對此專家也建議,民眾除了立即更換帳號密碼外,也要避免在不同平台使用重複的密碼,來路不明的訊息與信件連結,也勿隨意點擊,以免造成重要資料外洩。根據外媒報導,資安研究團隊Cybernews從2025年初開始監控網路環境,至今發現30組外洩資料集,每組包含數千萬到35億筆帳號密碼,總計高達160億筆資料外洩,與先前遭駭客攻擊後外洩的資料不同,資安研究團隊警告,這些外洩的帳號密碼「是全新的、可大規模武器化的情報。」Cybernews指出,這些外洩的帳密包含蘋果、臉書、Google,甚至是政府單位的入口網站,這些帳密多半來自資訊竊取型惡意程式,其中最大的1組資料,疑似來自葡語地區,用戶數量十分驚人。Desired Effect執行長、前美國國家安全局網路安全專家伊凡(Evan Dornbush)指出「無論你的密碼有多長多複雜,只要駭客攻破儲存密碼的資料庫,他們就能掌握密碼。」Approov副總裁喬治(George McGregor)也將這種大規模資料外洩形容成第1張多米諾骨牌「將引發一系列潛在的網路攻擊」。同時資安專家也建議一般民眾立即採取行動,更換重要帳號的密碼,除了設定為高強度密碼外,也應避免在不同平台使用重複的密碼;此外,資安專家也建議民眾使用密碼管理工具並開啟雙重驗證,切勿忽視網路釣魚的不明訊息與連結,並定期檢查電腦與手機是否感染惡意程式。
小心詐騙!FBI警告iPhone用戶 收到這類簡訊立刻刪除
美國聯邦調查局(FBI)近日向1.5億的iPhone用戶發出警告,直指數百萬名美國民眾可能會收到一則看似無害的詐騙簡訊,因此特別提醒民眾,近期有詐騙集團以不明號碼傳送簡訊,內容大多是通知某款項尚未繳納,民眾務必提高警覺,不要貿然點擊連結,以免個人資料或付款帳密被盜用。根據《紐約郵報》報導,《富比士》(Forbes)統計指出,近期詐騙集團針對iPhone和Android用戶發出的詐騙訊息,這個月已暴增超過700%以上。詐騙集團假冒各州車輛管理局(DMV)發出通知,誘騙民眾誤以為自己有未繳的罰款或通行費,並稱若不立即處理,將面臨吊銷駕照,甚至被判入獄。而該些假冒簡訊通常會附帶連結,並一步步教導收件者回覆訊息、打開連結。但事實上,這些連結會導向釣魚網站,試圖竊取個資,甚至可能遭植入惡意程式,讓惡意程式進入其設備獲取付款資料。FBI田納西州資深特別幹員帕爾默(David Palmer)提醒,一旦收到來自陌生號碼傳送的連結,切記不能輕易點擊,以免資料遭盜用。紐約州機動車管理局局則補充道,詐騙集團會向用戶發送大量簡訊,希望騙到毫無戒心的人交出個資,而機動車管理局絕不會發送簡訊索取敏感訊息。報導指出,目前已知接收到詐騙簡訊的地區包括:田納西州、紐約州、加利福尼亞州、佛羅里達州、喬治亞州、伊利諾伊州、德克薩斯州和及華盛頓特區等地。若民眾真的收到類似的可疑訊息,可至FBI網站的「網路犯罪投訴中心」提出檢舉報告。
卡巴斯基10年前就抓到 神秘駭客組織「Careto」竟直屬「西班牙政府」
多位前卡巴斯基(Kaspersky)研究人員表示,2014年就被發現的神祕駭客組織Careto,其背後操控者極可能正是西班牙政府。根據《TechCrunch》報導指出,Careto,又被稱為「The Mask」,是一個使用高度隱匿技術的駭客團隊,最初是卡巴斯基在調查一名古巴政府職員電腦遭駭時,發現Careto的蹤跡。Careto透過魚叉式網路釣魚攻擊、惡意連結與多平台感染手法,成功滲透了全球31個國家的政府機構、外交單位、能源企業與研究組織。Careto甚至能在不讓Windows顯示麥克風啟用圖示的情況下,偷偷竊聽、擷取用戶檔案,並蒐集加密憑證、瀏覽紀錄與Session Cookie等敏感資料。除此之外,Careto能入侵Windows、Mac、Linux系統,甚至有跡象顯示,Careto可能也能攻擊iOS與Android裝置,這已經與現今政府高階駭客間諜工具如出一轍。卡巴斯基研究人員起初認為這是某個既有政府支持的攻擊團體,直到深入分析後,研究人員才發現,Careto是前所未見、技術極為高超的新型駭客行動。由於惡意程式中藏有西班牙俚語字串「Caguen1aMar」,研究團隊便以「Careto」命名,該詞在西語中意指「醜臉」或「面具」。雖然Careto自2014年由防毒公司卡巴斯基首次揭露以來,其幕後主使一直都未被點名曝光。但多位當年參與調查的卡巴斯基前員工,近期向《TechCrunch》表示,該組織其實是由西班牙政府操控。這項說法顛覆長年來對Careto只是某個匿名西語駭客團體的印象。根據當年參與調查的卡巴斯基員工回憶,他們發現古巴是被攻擊最嚴重的國家之一,且所有攻擊來自同一組織。研究人員認為,Careto選擇鎖定古巴,可能與當時數名西班牙恐怖組織巴斯克祖國與自由(ETA)成員長期滯留該國有關。不僅古巴,後續包括摩洛哥、巴西、西班牙、直布羅陀、英國與阿爾及利亞等多國政府與企業皆為攻擊目標。卡巴斯基更在惡意碼中發現疑似來自西班牙的文化元素,如常見罵語與包含公牛、紅黃國旗色彩的插圖,種種線索指向西班牙官方的可能性極高。當時卡巴斯基內部私下已高度懷疑Careto由西班牙政府操控,但因公司採取「不歸因」政策,未對外點名。研究人員表示,他們雖未對媒體揭露,卻無人對此結論提出異議。西班牙國防部與卡巴斯基目前皆對此不予評論。報導中提到,Careto在2014年被曝光後便迅速潛伏,清除相關行蹤。但卡巴斯基在2024年表示再度發現Careto的活動蹤跡,入侵目標包括拉丁美洲與中非的組織。研究顯示,這些新攻擊與十年前Careto使用的技術與手法極為相似。在新一波攻擊中,Careto的惡意程式可悄悄啟動麥克風,竊取資料與Cookie紀錄,亦可在不驚動使用者的情況下持續監控裝置。儘管卡巴斯基研究員無法從技術層面確定幕後主使,但他們指出Careto的攻擊架構與手法精密程度超過許多知名APT組織。根據《TechCrunch》報導內容指出,目前卡巴斯基內部確認,Careto是由西班牙政府主導的行動。如情況屬實,Careto就會被認為是西方國家少數已知、曾公開曝光的駭客組織之一,與美國國安局的Equation Group、CIA支持的Lamberts,以及法國DGSE主導的Animal Farm齊名。