威胁情报平台Curated Intelligence提醒，事件响应人员近期在多起案件中观察到疑似与Clop相关的新型数据泄露勒索行动，攻击目标锁定互联网对外的Gladinet CentreStack文件服务器。该社群根据近期端口扫描结果估算，至少有200台以上具有公网IP的主机，其网页标题显示为“CentreStack - Login”，因此被视为潜在暴露面。

目前尚无法确认攻击者利用的漏洞编号与入侵入口，尚不清楚是零日漏洞，还是已有漏洞因延迟修补而被利用。根据外媒BleepingComputer引述Curated Intelligence的说法，攻击者已在被入侵的服务器上留下勒索信息。

同期，安全公司Huntress发布研究指出，CentreStack与Triofox因采用硬编码的AES加密相关值，可能在未经验证的情况下被特制请求利用，导致任意本地文件读取，包括获取关键配置文件web.config，从而为后续的ViewState反序列化和远程代码执行创造条件。该漏洞已被分配编号CVE-2025-14611，NVD指出受影响版本为16.12.10420.56791及之前版本。

Huntress补充称，已收到其他情报组织报告称Clop正在针对对外暴露的CentreStack服务器展开攻击，但目前仍处于早期阶段，尚无法完全确认相关行为可明确归因于Clop。研究人员同时发现另外两起疑似CentreStack被滥用事件，遥测数据显示服务器端出现IIS相关进程异常触发命令行与PowerShell等行为，且与ASP.NET的ViewState反序列化漏洞CVE-2025-30406的攻击特征相符。

研究人员建议，用户应立即排查是否存在直接暴露在互联网上的CentreStack或Triofox服务器，并尽快升级至16.12.10420.56791或更高版本，轮换web.config中的machineKey，以降低配置文件泄露后被重复利用的风险。由于当前攻击行动仍在发展中，组织应持续关注后续公告与情报更新，并通过日志监控与异常行为检测加强防护。