Q4 2025工业自动化系统威胁态势：邮件蠕虫与区域分化

🕵️ High 间谍软件

2025年第四季度，工业自动化系统（ICS）计算机遭恶意软件拦截的比例降至19.7%，呈持续下降趋势。然而，一种名为Backdoor.MSIL.XWorm的蠕虫通过伪装成求职简历的钓鱼邮件在全球范围内活跃传播，主要针对HR和招聘人员，并在南欧、南美和中东地区尤为严重。此外，非洲地区仍通过USB移动介质传播该威胁。

来源：Kaspersky Securelist | 2026-04-15 | 原文链接

🔍 关键发现

• 全球ICS计算机恶意软件拦截比例持续下降，Q4 2025为19.7%，较Q4 2023下降1.25倍。
• Backdoor.MSIL.XWorm蠕虫通过“Curriculum-vitae-catalina”钓鱼活动在Q4 2025两波爆发，覆盖所有区域，南欧、南美和中东受影响最重。
• 邮件客户端成为主要威胁来源，恶意脚本、钓鱼页面和间谍软件是主要类型；移动介质在非洲仍为重要传播途径。

⚔️ 攻击链分析

攻击者发送伪装成求职简历的钓鱼邮件（主题如“Resume”或“Attached Resume”）→ 附件为名为Curriculum Vitae-Catalina.exe的恶意可执行文件 → 用户执行后感染系统，植入Backdoor.MSIL.XWorm后门 → 攻击者远程控制受感染ICS计算机。

🚩 失陷指标 (IOC)

• Backdoor.MSIL.XWorm
• Curriculum Vitae-Catalina.exe

🛡️ 缓解建议

• ✅ 加强邮件安全网关过滤，对包含可疑简历附件的邮件进行沙箱检测和宏/可执行文件拦截。
• ✅ 对HR和招聘人员开展钓鱼安全意识培训，强调不打开未知求职者发送的.exe或.zip附件。
• ✅ 在ICS环境中禁用USB自动运行功能，并对移动介质接入实施强制扫描和权限控制。

涉及漏洞：[]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。