2026年第一季度,全球网络空间对抗烈度持续攀升,呈现出地缘政治冲突与网络攻击深度交织、AI武器化全面进入实战的鲜明特征。本季度,伊朗与以色列之间的数字战场攻防升级至前所未有的规模,俄罗斯对乌克兰及北约盟国的网络渗透进一步加剧,勒索软件生态持续碎片化并对医疗、关键基础设施造成严重破坏。与此同时,供应链攻击加速蔓延,零日漏洞的利用窗口期不断延长,传统防御模型面临根本性挑战。本次按照攻击类别盘点了第一季度的网络攻击重大事件,以期为网络安全从业者与决策者提供态势感知参考。
一勒索软件与勒索型攻击
1
Kazu勒索组织攻击新西兰ManageMyHealth患者门户,窃取超12万医疗记录
时间:2026年01月04日前后
手法:利用Web应用漏洞或窃取的管理员凭证
后果:超12万用户敏感医疗记录被窃取,勒索约6万美元赎金
2
勒索软件团伙攻击比利时AZ Monica医院,致多家医院运营中断
时间:2026年01月
手法:钓鱼邮件或暴露的远程桌面端口入侵
后果:安特卫普和德尔讷多家医院数日运营中断,拒绝救护车送诊,危重患者转至邻近医疗机构
3
某勒索团伙攻击Melwood后泄露数据
时间:2026年01月
手法:窃取未授权访问权限(未明确)
后果:超12万用户敏感医疗记录被窃取,勒索约6万美元赎金
4
TridentLocker组织攻击Sedgwick Government Solutions
时间:2026年01月
手法:鱼叉式钓鱼或凭证填充
后果:约3.4GB敏感数据被窃取
5
DeadLock勒索软件利用Polygon区块链技术绕过传统防御
时间:2026年01月
手法:利用Polygon智能合约进行代理服务器地址动态轮换;使用AnyDesk远程管理;PowerShell脚本停止非白名单服务并删除备份
后果:成功绕过传统防御,使用去中心化区块链基础设施使追踪极其困难
6
Interlock勒索团伙利用思科零日漏洞提前36天发动攻击
时间:2026年01月26日
手法:利用CVE-2026-20131(CVSS 10.0)远程执行任意Java代码获取root权限;混合使用ConnectWise ScreenConnect、Volatility、Certify等合法工具掩盖行踪
后果:攻击美国德州理工大学、明尼苏达州圣保罗市、透析服务公司DaVita、俄亥俄州大型医疗系统等,教育机构成主要目标。FBI评估其与Rhysida存在关联
7
Qilin组织发动405起勒索攻击,主要针对美国关键基础设施与工业部门
时间:2026年01月—03月
手法:勒索软件即服务模式,工具分发给附属机构
后果:大量系统加密与业务中断,部分敏感数据被泄露并遭双重勒索。攻击对象包括美国运输工人联盟第100分会、Rocky Mountain Care、Covenant医疗系统等
8
勒索软件组织攻击荷兰医疗软件供应商
时间:2026年01月—03月
手法:钓鱼邮件或暴露的RDP端口入侵
后果:服务被迫下线,影响范围广泛
二APT与地缘政治攻击
1
APT28持续攻击乌克兰军工供应链并波及北约盟国
时间:2025年09月—2026年01月
手法:部署PRISMEX模块化恶意软件;利用CVE-2026-21509、CVE-2026-21513等零日漏洞;鱼叉式钓鱼邮件;无文件CLR引导、内存中.NET程序集加载、滥用Filen.io等云服务C2通信
后果:乌克兰国防供应链和盟军后勤体系遭破坏
2
SloppyLemming组织长期攻击巴基斯坦和孟加拉国政府机构
时间:2025年01月—2026年01月
手法:两种攻击链部署BurrowShell恶意软件和基于Rust的键盘记录器
后果:政府机构网络遭入侵,敏感信息被窃取
3
黑客行动主义者劫持伊朗卫星信号中断国家电视台
时间:2026年01月18日
手法:成功突破并接管Badr卫星信号
后果:多个伊朗国家电视频道中断,播放抗议活动画面
4
以色列国防军对伊朗发动“史上最大规模”网络攻击
时间:2026年02月28日
手法:大规模协同攻击,DDoS与深度渗透结合,瘫痪核心路由器和DNS服务器;对能源系统实施数据篡改和破坏性指令注入
后果:伊朗全国互联网降至正常水平的4%,革命卫队通信瘫痪,能源与航空管理系统数据受损
5
伊朗国家支持黑客(含Handala)利用Word零日攻击七国,部署勒索与擦除
时间:2026年03月
手法:利用CVE-2026-21514零日漏洞发起钓鱼攻击,部署自定义后门、勒索软件及擦除恶意软件;Handala组织对Stryker发动擦除攻击,并通过社交工程入侵FBI局长个人Gmail
后果:总计1,550万个资产受影响(99.4%在美国),医疗部门175万资产、政府部门110万资产被波及;Stryker在79个国家的近8万台设备被清除数据;FBI局长个人账户泄露敏感照片和文件;该组织单月声称23起勒索受害者(三分之二在以色列)
6
伊朗关联黑客入侵美国石油天然气和水处理设施(非勒索)
时间:2026年03月—04月初
手法:针对暴露于互联网的可编程逻辑控制器(PLC)入侵
后果:多个工业现场遭破坏和运营中断;联邦咨询警告存在物理破坏风险
7
不明攻击者入侵荷兰财政部核心内部系统
时间:2026年03月23日
手法:针对核心内部系统的网络攻击(详情未披露)
后果:内部系统受影响,关键税务和海关服务保持运行
三供应链攻击
1
恶意更新劫持eScan防病毒软件
时间:2026年01月
手法:通过合法更新基础设施投放恶意更新;恶意软件使用被入侵的eScan证书签名;包含后门并阻止进一步安全更新
后果:用户系统无法接收安全更新,长期暴露于风险
2
不明攻击者发起大规模Magento网站篡改活动,波及全球7500+站点
时间:2026年02月27日起
手法:部署篡改文件(具体入侵手法未明确)
后果:超过7,500个站点受影响,波及超过15,000个主机名;知名全球品牌、电商平台和政府服务均遭波及
3
eamPCP利用Trivy供应链攻击渗透思科内部开发环境
时间:2026年03月
手法:利用来自Trivy供应链攻击的恶意GitHub Action获取未经授权访问权限
后果:思科内部开发环境遭渗透
4
TeamPCP渗透多个流行开发工具(KICS、Telnyx等)
时间:2026年03月
手法:渗透多个开发工具供应链
后果:多款工具受污染,影响范围广泛
5
TeamPCP渗透LiteLLM AI基础设施库
时间:2026年03月26日
手法:供应链攻击
后果:API密钥和云凭证被窃取
6
朝鲜通过入侵NPM账户对Axios库发起供应链攻击
时间:2026年03月30日
手法:账户接管入侵核心维护者的NPM账户;绕过GitHub Actions CI/CD管道;手动发布两个恶意版本,注入隐藏依赖,执行postinstall脚本作为跨平台RAT投放器
后果:全球数百万开发者受影响,恶意软件连接C2后自我删除并恢复干净版本
7
朝鲜Lazarus APT组织利用Polygon NFT合约及VSCode npm脚本劫持攻击区块链开发者
时间:2026年01月—03月
手法:利用Polygon NFT合约作为死信解析器替换被封禁的Pastebin;通过VSCode自动执行功能结合npm脚本劫持实施供应链攻击
后果:开发者环境和Web3组织遭入侵,窃取钱包、密码管理器和SSH密钥;对日本、澳大利亚、印度区块链开发者构成持续威胁
四数据泄露事件(非勒索驱动)
1
Figure金融科技公司遭社交工程,近百万账户受影响
时间:2026年01月
手法:社交工程操纵员工授予内部系统访问权限
后果:967,200个账户受影响,泄露90万唯一电子邮件地址、姓名、电话、地址和出生日期
2
Betterment约140万客户信息泄露(第三方平台社交工程)
时间:2026年01月
手法:对第三方平台的社交工程攻击
后果:客户联系信息和身份信息大规模暴露
3
美国Nacogdoches纪念医院网络遭渗透
时间:2026年01月
手法:威胁行为体渗透医院内部网络
后果:约25万人的个人和健康信息遭泄露
4
韩国Kyowon集团数据泄露,约960万用户账户可能受影响
时间:2026年01月
手法:未明确
后果:约960万用户账户可能受影响
5
不明攻击者通过第三方服务商持续入侵Nike内部系统,窃取1.4TB数据
时间:2026年01月21日
手法:未经授权持续访问(手法不明)
后果:约1.4TB内部数据被窃取(业务文档、员工记录等)。Nike面临集体诉讼,客户2月25日才收到通知
6
未加密公共数据库暴露约1.49亿条凭证
时间:2026年01月23日
手法:未加密公共数据库暴露(配置错误)
后果:1.49亿条用户名和密码泄露,含约90万iCloud、4,800万Gmail、1,700万Facebook等
7
日本医科大学武蔵小杉医院数据泄露
时间:2026年01月底
手法:入侵VPN设备突破防线,横向移动到护士呼叫服务器窃取数据库
后果:约13万患者及约1,700名职工的个人信息被窃取并在互联网发布
8
芬兰政府移动设备管理服务数据泄露,影响约2万台设备
时间:2026年01月30日
手法:利用MDM前端漏洞或窃取管理员凭证
后果:约20,000台政府移动设备的配置数据和用户数据受影响
9
攻击者入侵CareCloud电子健康记录环境
时间:2026年03月16日
手法:钓鱼邮件或凭证填充窃取员工合法凭证
后果:网络中断约8小时,敏感患者数据暴露,影响4.5万家医疗服务商
10
Neurological Associates of Washington约8.5万条个人信息记录暴露
时间:2026年01月—03月
手法:未明确
后果:约8.5万条个人信息记录暴露
五DDoS与拒绝服务攻击
1
NoName057(16)组织对英国基础设施发动大规模DDoS攻击
时间:2026年01月05日—11日
手法:使用DDoSia工具,招募志愿者形成“众筹式”攻击网络
后果:1,812次攻击,涉及86个域名和87个IP,主要针对政府、金融、电信、港口和铁路
2
不明攻击者对俄罗斯企业发动大规模应用层DDoS攻击
时间:2026年01月
手法:应用层DDoS
后果:攻击规模同比增长二十倍,部分功率超过2Tbps接近3Tbps
3
NoName057(16)对意德基础设施发动密集DDoS攻击
时间:2026年02月02日—08日
手法:DDoSia工具
后果:8,101次攻击,涉及160个域名和186个IP
4
NoName057(16)发动持续性DDoS攻击
时间:2026年02月23日—03月01日
手法:持续性DDoS攻击
后果:6,649次攻击,涉及126个域名和135个IP;44%针对政府,11%旅游业和交通,10%乌克兰国防工业
六金融欺诈与加密货币攻击
1
多个黑客团伙第一季度攻击34个DeFi协议,总损失1.686亿美元
时间:2026年01月01日—03月31日
手法:智能合约漏洞、闪电贷攻击、私钥泄露、访问控制漏洞等
后果:总损失1.686亿美元(同比大幅下降)。最大单起:Step Finance私钥泄露损失约4,000万美元、Truebit漏洞损失2,640万美元、Resolv Labs私钥被盗损失约2,500万美元
2
新型金融恶意软件Perseus实现设备接管和金融欺诈
时间:2026年01月—03月
手法:基于Cerberus和Phoenix演变,设备接管
后果:用户银行账户遭攻击,资金被盗
3
美国ATM“劫持”攻击激增,FBI发布正式警告
时间:2026年01月—03月
手法:利用恶意软件诱骗ATM吐出大量现金
后果:直接物理经济损失
七AI驱动攻击
1
AI基础设施遭大规模持续性攻击
时间:2025年10月—2026年01月
手法:针对大语言模型部署的持续性攻击
后果:观察到超过91,000次攻击会话,圣诞节期间出现显著高峰
2
朝鲜Konni APT利用AI生成PowerShell后门攻击区块链开发者
时间:2026年01月
手法:AI生成的PowerShell后门;利用Google/NAVER广告重定向伪装流量;ZIP与LNK执行链、AutoIt脚本伪装PDF、WordPress入侵
后果:针对日本、澳大利亚、印度区块链开发者,窃取钱包和密钥
3
俄语黑客组织利用生成式AI大规模入侵55个国家FortiGate防火墙
时间:2026年01月11日—02月18日
手法:搭建ARXON定制化MCP服务器,将侦察数据自动送入DeepSeek和Claude等AI模型生成结构化攻击计划;Claude Code自动执行Impacket、Metasploit、Hashcat
后果:超600台防火墙被入侵,窃取配置文件(含VPN凭证、管理员密码、网络架构)
4
未知APT利用生成式AI开发后门攻击印度政府机构
时间:2026年01月—03月
手法:使用三种后门(SHEETCREEP、FIREPOWER、MAILCREEP);初始向量为PDF/LNK;恶意软件开发中使用生成式AI
后果:印度政府机构网络遭入侵,敏感数据被窃取
来源:信息安全与通信保密杂志社
领取优惠
提交成功!