Foxmail 官方致谢！APT-Q-12 利用邮件客户端高危漏洞瞄准国内企业用户

主要观点总结

奇安信威胁情报中心红雨滴团队在威胁情报狩猎过程中发现了Foxmail客户端存在的高危漏洞（QVD-2025-13936），攻击者利用该漏洞通过邮件攻击执行远程命令，最终落地木马。情报中心复现确认了这一新漏洞并上报给Foxmail团队，目前该漏洞已被修复。奇安信建议Foxmail用户更新软件版本以防范攻击，同时其天擎V10高级威胁模块可以支持对该漏洞的拦截。

关键观点总结

关键观点1: 发现Foxmail客户端的高危漏洞并被攻击者利用。

奇安信威胁情报中心在狩猎过程中观测到客户网络中的异常行为，发现攻击者利用Foxmail客户端的高危漏洞（QVD-2025-13936），受害者仅需点击邮件即可触发远程命令执行。

关键观点2: 情报中心复现并确认了新漏洞，漏洞已被修复。

奇安信威胁情报中心第一时间复现确认了所发现的新漏洞，并将其上报给腾讯Foxmail业务团队。目前该漏洞已经被修复，最新版的Foxmail 7.2.25不受影响。

关键观点3: 奇安信建议用户更新软件并采取措施防范攻击。

奇安信强烈建议Foxmail用户更新软件到最新版本以免受漏洞的利用攻击，目前其天擎V10高级威胁模块可以支持对该漏洞的拦截，建议用户在办公区和服务器区同时部署天擎并开启云查功能来抵御未知威胁。

关键观点4: 技术细节和检测方式。

本次攻击使用的技战术是此前披露的Operation DevilTiger行动的延续，使用Web漏洞+内置浏览器漏洞的组合实现远程命令执行。APT-Q-12使用了一个由Rust语言编写的全新特马，拥有多种功能。目前，基于奇安信威胁情报中心的威胁情报数据的全线产品都已经支持对此类攻击的精确检测。

文章预览

概述 奇安信威胁情报中心红雨滴团队于2025年初在威胁情报狩猎过程中观测到客户网络中的异常行为， 协助应急响应时溯源到最初的邮件攻击来源，提取到了相关邮件，分析显示攻击者组合利用了 Foxmail 客户端存在的高危漏洞 (QVD-2025-13936)，受害者仅需点击邮件本身即可触发远程命令执行，最终执行落地的木马。情报中心第一时间复现确认了所发现的新漏洞，并将其上报给腾讯 Foxmail 业务团队。目前该漏洞已经被修复，最新版的  Foxmail 7.2.25 (2025-03-28) 不受影响， Foxmail 团队给以了致谢 。 奇安信威胁情报中心强烈建议Foxmail用户更新软件到最新版本以免受漏洞的利用攻击，目前天擎V10高级威胁模块可以支持对该漏洞的拦截，建议天擎客户在办公区和服务器区同时部署天擎并开启云查功能来抵御未知威胁： 技术细节 本次攻击使用的技战术是我们此前 ………………………………