本文介绍了首次大规模分析 Telegram 上 339 个网络犯罪活动频道（CACs）的研究。这些频道拥有超过 2380 万订阅者，传播包括泄露凭证、盗版软件和媒体、社交媒体操纵工具以及恶意软件、漏洞利用工具包、社会工程诈骗等黑帽黑客资源。为评估这些频道，作者开发了 DarkGram——一个基于 BERT 的框架，能够自动识别 CACs 中的恶意帖子，准确率达 96%。利用 DarkGram，他们对 2024 年 2 月至 5 月期间这些频道分享的 53,605 条帖子进行了定量分析，揭示了内容的几个关键特征：虽然大部分内容免费分发，但频道管理员常采用促销和赠品策略来吸引用户并推动高级网络犯罪内容的销售；有趣的是，这些频道有时对其订阅者构成重大风险，28.1% 的分享链接包含钓鱼攻击，38% 的可执行文件捆绑了恶意软件。分析订阅者如何消费和积极回应这些共享内容，描绘了网络犯罪内容大规模持续传播的危险图景。研究还发现，CACs 可通过快速迁移到新频道并最小化订阅者损失来逃避审查或平台封禁，突显了该生态系统的韧性。为应对此问题，作者利用 DarkGram 检测新兴频道，并向 Telegram 和受影响组织报告恶意内容，三个月内促使 196 个频道被关闭。研究结果强调了迫切需要协调努力应对这些频道日益增长的威胁。为助力此工作，作者开源了数据集和 DarkGram 框架。本文适合安全运营团队、威胁情报分析师、平台安全工程师以及研究网络犯罪生态的学者阅读。

该论文对2026年1月至5月间在VirusTotal（VT）上观察到的约152万个恶意域名进行了纵向研究。研究选取了至少被5个独立VT扫描引擎检测到、且首次出现在研究窗口内的域名。数据集被分为被攻陷域名和攻击者创建域名，后者约占89.3%。结合WHOIS注册记录、被动DNS（PDNS）数据与VT数据集，研究者从八个维度刻画了攻击者行为：时间分布、被攻陷与攻击者创建分类、首次检测时的域名年龄、注册商和顶级域名（TLD）偏好、DNS查询量（作为损害代理）、托管基础设施集中度（IP和ASN级别）、批量注册模式以及品牌仿冒。关键发现包括：大多数攻击者创建的域名寿命短，在创建后数周内被使用；少数注册商和TLD承载了大部分滥用；Cloudflare基础设施被广泛用于域名前端；涉及单个注册商一天内注册数千个域名的批量注册事件普遍存在；多个全球品牌（尤其是WhatsApp和Google）被大量仿冒。研究者将标注后的数据集公开在GitHub上以供进一步研究。

本文提出 TeleHunt，一个用于系统性评估 Telegram 上网络犯罪社区发现策略有效性的框架与工具。研究背景是 Telegram 已成为网络犯罪活动的重要平台，但如何高效、可靠地定位这些隐蔽社区仍缺乏系统研究。TeleHunt 采用引用驱动的雪球采样策略，结合消息级分类、上下文过滤和市场细分标签，能够从开源或暗网种子出发，自动扩展探索。作者通过实验系统比较了种子来源、指针类型（如邀请链接、用户名提及）和探索策略对发现结果在效率、可达性和重新发现三个维度的影响。主要贡献包括：(i) 一个模块化的网络犯罪内容发现流水线；(ii) 首次对 Telegram 发现策略的系统比较，并实证刻画了不同市场细分（如数据泄露、毒品交易）的可达性；(iii) 一个包含 172M+ 消息、覆盖 6,022 个 Telegram 社区的大规模标注数据集。该研究为威胁情报分析人员提供了方法论指导和可用工具，有助于提升对 Telegram 生态中网络犯罪活动的监测与溯源能力。

该论文系统研究了YARA规则共享过程中的匿名性问题。YARA规则常用于威胁情报社区共享恶意软件检测规则，社区普遍认为去除元数据（如作者字段）足以保护贡献组织身份。为了验证这一假设，作者从三个主要公共YARA规则库收集了23,305条规则，采用三种互补方法（词汇n-gram的Burrows' Delta、语法AST特征的Caliskan-Islam方法、以及微调后的CodeBERT）训练分类器，沿着四个风格测量维度（个体作者、来源仓库、恶意软件家族、时间漂移）进行推断。实验结果表明：仓库来源几乎可完美恢复（最高99%准确率），个体作者可远高于随机概率被重新识别（76%），恶意软件家族分类达到95%。通过对比完整历史与时间限制子集下的仓库归因任务，发现存在9-18%的准确率差距，初步证明仓库指纹存在时间漂移。进一步针对恶意软件家族内的作者归因实验：在七种测试家族中，五种家族内的作者仍可被重新识别（平均准确率74.6%）。这些发现首次系统证明了YARA规则共享是一个可测量的OPSEC攻击面，仅去除元数据无法缓解该风险。该研究适合威胁情报分析师、安全运营工程师以及开发YARA规则共享平台的人员阅读。

网络犯罪在规模和复杂性上呈指数级增长，传统分类方案难以捕捉现代威胁的复杂性和多样性。为此，本文提出 STRIKE（Structured Taxonomy for Risk, Impact, Knowledge, and Emerging Threats），一种统一的多维网络犯罪分类框架。STRIKE 覆盖传统与新兴领域，包括勒索软件、钓鱼、网络入侵、儿童性虐待材料（CSAM）、加密货币劫持、深度伪造和供应链攻击。它利用攻击向量、对抗战术、社会影响、检测技术和缓解策略等标准对威胁进行组织。此外，论文还回顾了最新的检测方法进展，并提出了一个响应工作流，以协助从业者在活跃威胁条件下进行应对。该工作为研究人员、安全专业人员和政策制定者提供了威胁分析、比较评估和自适应网络防御的实用基础。