Apich-Organization/YGS-2026-01

# YGS-2026-01 安全报告 [](https://discord.gg/D5ee2czMTT9) [](https://doi.org/10.5281/zenodo.18320725) [](http://creativecommons.org/publicdomain/zero/1.0/) 由 Apich 组织安全团队提供的关于 YGS-2026-01 恶意软件样本的安全更新。 联系邮箱：security@apich.org 请查看[报告](report.md)和[c2 报告](c2-report.md)以获取更多信息。 致谢信息可在 [acknowledgement.md](acknowledgement.md) 中查看，完整报告可在 [full-report.md](full-report.md) 中查看。 关于相关恶意软件样本 YGS-2026-02 的报告可在 [ygs-2026-02.md](ygs-2026-02.md) 中查看。 这些报告的已发布版本可在 [zenodo-reports.md](zenodo-reports.md) 中找到。 YARA 规则可在 [ygs-normal.yar](ygs-normal.yar) 和 [ygs-enhanced.yar](ygs-enhanced.yar) 中找到。 **紧急通知**：在 107.151.212.80 及其他 IP 地址检测到活跃的 C2 基础设施。受害者广泛分布在中国。由于网关屏蔽导致无法进行正常披露，TSRC 和 CNCERT 已通过公开披露的方式接到通知。 **更新(2026-01-27 CST)**：火绒安全实验室已确认该威胁已得到控制；因此，我们正在发布完整的调查结果。尽管本仓库中的某些材料包含的数据理论上可能被用于社会工程学，但我们已验证所有此类信息均严格限制在我们的隔离测试环境中。 **更新(2026-01-29 CST)**：火绒安全实验室似乎仅将样本的特征码添加到了其威胁数据库中，并未采取更多行动；因此，我们将继续进行报告。 **更新(2026-02-18 CST)**：鉴于对我们的报告缺乏实质性的回应，我们正着手进行全面公开披露。安天 CERT 同样未能提供有意义的回复（如果他们曾回复过的话）。

标签：Apich Organization, C2基础设施, CC0-1.0, CNCERT, DAST, DNS信息、DNS暴力破解, DNS 反向解析, DNS 解析, ESC8, IP 地址批量处理, TSRC, YARA规则, YGS-2026, Zenodo, 僵尸网络, 后端开发, 命令与控制, 威胁情报, 安全应急响应, 安全报告, 安全更新, 安全漏洞, 开发者工具, 恶意样本, 恶意软件分析, 搜索语句（dork）, 样本分析, 火绒安全, 社会工程学, 网络信息收集, 网络安全, 防御加固, 隐私保护