Linux 内核 AF_ALG 子系统爆出 Copy Fail 漏洞（CVE-2026-31431）。攻击者通过 splice 系统调用将 /usr/bin/su 等 setuid 程序的页缓存页链入加密 scatterlist，利用 4 字节越界写入原语反复篡改内存中的代码段，最终在 execve 时以 root 权限直接执行 shellcode，绕过 PAM 认证与磁盘文件校验。

天穹沙箱披露一款新型“环境自适应”木马：样本会主动检测是否安装360/腾讯管家，动态切换攻击策略。面对安全软件时，通过.URL热键文件+explorer重启+ALT+F12模拟按键，利用7z工作目录操控将载荷精准空投至开机启动项。执行阶段则统一潜入搜狗输入法目录，采用“白加黑”DLL侧载与内存反射注入技术无文件执行。

近期，天穹沙箱团队在日常样本分析工作中收到用户反馈的内网攻击样本，发现其具备高度复杂的攻击链，并且使用了极具隐蔽性的C&C通信方式，本报告将详细拆解样本初始伪装、内存解密以及隐蔽通信的完整过程。

2026年初，开源AI智能体OpenClaw（昵称“龙虾”）凭借本地部署、自主执行指令的特性迅速走红，引发“养龙虾”热潮，国内云平台及社交平台纷纷提供部署与代装服务。然而，工信部与国家互联网应急中心已相继发布预警，指出其存在信任边界模糊、权限管理缺失等安全隐患：用户若配置不当，可能导致设备被控、信息泄露或产生高额费用；同时，依据《网络安全法》，未履行安全保护义务者可能面临罚款乃至刑事责任。此外，使用过程需授权读取本地数据，叠加盗版插件风险，进一步放大隐私泄露隐患。因此，天穹沙箱团队针对该智能体的安全风险展开深入分析，并推出了针对OpenClaw的运行分析环境，助力用户全面评估其安全风险，及时发现潜在威胁，保障设备与数据安全，安全“养虾”。

近期，天穹沙箱团队在常规样本狩猎分析工作中，发现XRed家族最新变种—一款基于Delphi编写的蠕虫病毒，该样本通过伪装成合法软件、多进程落地执行等手段，试图规避安全检测，并实现对受害主机的持久驻留。

近期，天穹沙箱团队在追踪银狐家族的攻击活动时，发现其最新样本采用了高度复杂且极具迷惑性的攻击链。该攻击链通过多阶段反调试检测、伪装合法软件安装、内存反射加载等技术，并结合隐蔽的进程注入与DLL侧载（DLL Side-Loading）等手段，以规避安全检测，实现持久驻留于受害者主机。