一、背景概述

近期网络安全监测数据显示，伊朗关联APT组织Seedworm（别名MuddyWater、Temp Zagros、Static Kitten），在2026年第一季度发起大规模跨国网络攻击活动，成功渗透入侵了全球9个国家、横跨四大洲的多家关键机构，其中就包括韩国一家大型电子制造企业。该行动具备持续时间长、隐蔽性强的特点，攻击者在韩国目标网络内潜伏近一周，重点窃取敏感商业数据与核心技术情报，充分暴露了国家背景APT组织对全球供应链安全的持续威胁，也凸显了当前跨国网络间谍活动的高发态势。

公开情报显示，Seedworm组织与伊朗情报与安全部（MOIS）存在明确关联，其目标选择具有极强的情报导向性，精准锁定高价值领域。本次行动覆盖范围广泛，涉及工业制造、电子研发、教育科研、公共服务、金融服务及专业服务等多个关键领域，受害者均具备明确的战略价值——要么掌握高科技制造领域的核心知识产权，要么持有对伊朗具有战略意义的政府敏感情报，要么可作为跳板提供下游核心客户的网络访问权限。结合当前地缘政治格局，尤其是伊朗核计划相关争议持续升温、地区冲突不断发酵的背景，此类密集的间谍活动，清晰反映出该组织急于获取关键信息、支撑其战略需求的迫切性。

二、攻击过程技术分析

从网络攻防技术维度拆解，本次行动集中体现了Seedworm组织在战术层面的显著进化，其攻击手段更具隐蔽性和抗检测能力，核心依赖DLL侧加载技术实现入侵突破。攻击者巧妙利用合法签名的第三方可执行文件，作为恶意DLL的加载载体，成功绕过终端签名验证与路径检测机制，降低被发现的概率。本次行动中，攻击者重点使用两组侧加载组合：一是Fortemedia公司音频驱动工具fmapp.exe与恶意fmapp.dll的配对，二是SentinelOne安全产品组件sentinelmemoryscanner.exe与恶意sentinelagentcore.dll的组合。值得关注的是，滥用安全厂商自身的签名二进制文件，不仅能规避常规安全检测，还能干扰安全分析师的研判方向，增加溯源与处置难度。此外，两款恶意DLL均嵌入公开窃密工具ChromElevator，专门用于窃取Chromium内核浏览器中的密码、Cookie及支付卡等敏感信息，实现精准窃密。

本次入侵行动的核心链条发生明显转变，打破了Seedworm组织以往单纯依赖PowerShell的操作习惯，以Node.js运行时（node.exe）为核心驱动整个攻击流程。攻击者通过Node.js脚本调用PowerShell执行各类恶意操作，实现攻击行为的分层隐藏与灵活调度。目前，该行动的初始访问向量尚未完全明确，但从韩国电子制造企业的受害案例来看，2月20日监测到最早的PowerShell侦察活动，且该活动由Node.js进程作为祖先进程发起，表明攻击者已成功将植入物潜伏至目标主机。侦察阶段，攻击者快速执行whoami、ipconfig、net group等一系列信息收集命令，全面摸清目标主机的系统配置、网络拓扑及域环境详情；随后通过WMI技术枚举终端防病毒产品配置，精准评估目标防御体系的薄弱环节，为后续攻击行动奠定基础。

在完成环境侦察与防御评估后，攻击者迅速推进后续攻击步骤，构建完整的攻击链路。首先通过curl.exe工具下载额外恶意载荷，规避PowerShell日志记录，降低操作痕迹被发现的风险；随后部署前述DLL侧加载组合，同时通过修改注册表Run键值，实现恶意程序的开机自启动，建立稳定的持久化机制，确保长期潜伏。在权限提升与凭证窃取环节，攻击者采用多工具并行、多手段冗余的策略，全面窃取目标系统凭证：包括导出SAM、SYSTEM、SECURITY注册表配置单元，提取系统账户信息；运行恶意工具调用Windows凭证提示框，诱骗用户输入凭证；部署提权组件，利用GSS-API委托滥用技术提取Kerberos TGT票据，实现权限提升与横向移动准备。这种多维度、冗余式的窃密设计，体现了攻击者极强的反防御意识和成熟的战术思路。

数据外传环节，Seedworm组织延续并升级了“隐蔽融合”的战术思路，未构建专用恶意传输通道，而是将窃取的敏感文件通过公共文件传输服务sendit.sh进行上传。这种将恶意数据传输混入普通用户日常网络行为的方式，能够有效规避网络层的流量监测，大幅增加安全团队的检测难度。此外，攻击过程中还监测到定时信标通信、屏幕截图收集、SOCKS5反向代理等行为，整体攻击节奏呈现“植入物自动化执行+人工间歇干预”的混合模式，既提升了攻击效率，又减少了人工操作留下的痕迹，进一步增强了攻击的隐蔽性。

综合来看，本次行动中Seedworm组织的战术成熟度实现显著提升，核心体现在三个方面：一是脚本运行时的创新使用，引入Node.js、Deno等工具，打破传统攻击模式；二是合法签名二进制文件的滥用，强化抗检测能力；三是公共云服务的恶意复用，实现隐蔽数据外传。这些变化表明，该组织正在持续强化操作卫生与反侦察能力，逐步向更高级、更隐蔽的APT攻击模式演进。

三、事件影响及总结

针对本次行动折射出的威胁，网络防御方需深刻认识到，传统签名检测、单一通道监控等被动防御手段，已难以有效应对此类高级APT威胁。结合攻防对抗实际，防御方应从多维度构建立体防御体系：一是强化端点行为分析，重点监控异常进程关系（如Node.js驱动PowerShell的异常调用），及时发现隐蔽植入物；二是加强凭证使用审计，重点监测SAM注册表导出、Kerberos票据异常提取等高危行为；三是重点关注公共文件传输服务、云服务的流量异常，防范恶意数据外传；四是持续更新威胁情报，精准对接Seedworm组织的战术、技术和程序（TTPs），实现精准预警与快速处置。

当前，网络攻防对抗日趋复杂，APT组织的跨国攻击已成为威胁全球网络安全的主要风险之一。此类事件不仅考验组织的技术防御能力，更对情报预警、应急响应速度提出了更高要求。尤其对于高科技制造企业、关键基础设施运营者而言，应将APT威胁纳入常态化风险评估框架，完善安全管理制度，强化技术防御体系，提升安全团队的应急处置能力，构建更具韧性的网络安全防护体系，有效抵御国家背景APT组织的跨国攻击威胁。

参考链接：

https://www.security.com/blog-post/iran-seedworm-electronics

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

近年来，生成式人工智能、大模型、AI智能体等技术快速普及，在推动产业数字化升级的同时，也被恶意组织用于网络攻击，大幅降低攻击门槛、提升攻击效率、扩大攻击范围。谷歌网络安全团队近期发布的分析报告明确警示：AI正在全面武装网络攻击，一场规模化、自动化、智能化的黑客攻击浪潮已近在眼前，全球政企机构、云平台、AI服务与关键信息基础设施将面临前所未有的安全冲击。

全球首例AI主导的0Day漏洞攻击已被确认

谷歌网络安全团队披露了一项令人警醒的调查结果——全球首例借助人工智能开发、并计划进行大规模部署的0Day漏洞攻击事件已被正式确认。这一发现证实，AI已开始直接参与并主导从漏洞挖掘分析到恶意代码生成的关键步骤。

此前，WormGPT等黑客服务平台已经降低了利用AI实施恶意活动的门槛；而此次曝光的真实案例则表明，AI正从辅助工具演变为具备自主攻击能力的"数字黑客"。研究人员在对恶意代码进行逆向分析时发现，黑客所用的Python攻击脚本中包含详尽的教学式文档字符串，甚至有AI模型凭空捏造的CVSS评分——这些特征几乎是大语言模型训练数据的专属标记。谷歌研究人员经溯源分析后排除了自家Gemini模型被利用的可能，但确认攻击代码的生成与大语言模型存在极高关联。

黑客已形成成熟的AI漏洞挖掘战术

在技术路径上，黑客组织已发展出一套相当成熟且隐蔽的战术体系。其中最危险的手段之一是"角色扮演越狱"（Persona-driven Jailbreaking）——攻击者通过提示词工程诱导AI模型扮演高级网络安全专家，指令其对特定固件实施深度挖掘。GTIG监测到，一个黑客组织在对话中欺骗大语言模型，将其设定为嵌入式设备渗透测试审计师，从而诱导AI输出大量TP-Link路由器等设备的潜在攻击面信息，成功绕开了AI模型对直接制作病毒或攻击代码的常规限制。与此同时，另一个著名黑客组织则被观察到利用AI进行自动化筛选，通过发送数千条重复探查指令，快速过滤出具备实际渗透价值的漏洞。这些行为说明，AI漏洞研究绝非科幻设想，而是已在暗网情报站与国家背景黑客团队中成为常态。

AI驱动的攻击已形成标准化四步流程

当前，AI驱动的黑客攻击已形成完整且高效的标准化流程：

第一步，全域自动化侦察：AI批量扫描公网资产、代码仓库、配置文件，快速定位暴露的API密钥、弱口令、未授权访问接口与已知漏洞，精准绘制目标网络拓扑与AI服务部署情况。

第二步，多态恶意载荷生成：利用大模型自动生成多态恶意代码、定制化漏洞利用工具与高仿真钓鱼内容，绕过传统特征库、沙箱检测与终端防护软件，大幅提升攻击隐蔽性。

第三步，精准突破AI系统弱点：通过提示注入、记忆污染、工具调用劫持、容器逃逸、权限提升等手段，攻陷AI智能体、推理节点与云原生环境，获取系统权限与敏感数据。

第四步，横向渗透与持久化驻留：利用窃取的服务代理凭证、账号密钥访问云存储、大数据平台、内部业务系统，实现批量数据窃取、挖矿勒索、业务破坏等恶意目的，部分攻击可实现从接入到窃取核心资产的全流程无人干预自主执行。

研究人员已监测到，有攻击组织利用AI开发0Day漏洞并计划发起大规模利用行动，多国网络威胁主体正密集运用AI开展漏洞挖掘与攻击准备。AI正从辅助工具升级为攻击核心引擎，推动网络攻击向自主化、协同化、规模化方向加速演进。

三大颠覆性特征重塑攻防格局

此次AI驱动的攻击浪潮呈现出三大颠覆性特征：

一是攻击门槛显著降低：即便缺乏深厚攻防技术的攻击者，也能借助AI工具快速发起高精度、高强度攻击，网络威胁主体数量呈指数级增长。

二是攻防时间窗口彻底坍塌：漏洞从暴露到被批量利用的间隔大幅缩短，传统"发现—评估—补丁—防护"的被动防御模式完全失效。

三是攻击面全面扩张：攻击目标不再局限于传统信息系统，而是转向AI模型、API生态、智能代理、云服务账号等新型资产，安全风险快速向数字化业务全场景传导。

从已发生的案例来看，AI已被用于批量入侵防火墙设备、劫持海量AI智能体、自主挖掘操作系统内核漏洞并完成武器化开发，相关事件造成大规模数据泄露、业务中断与经济损失，充分证明AI黑客攻击已从技术趋势变为现实威胁。

具备自主决策能力的恶意软件已经出现

更为棘手的是，人工智能正催生具有高度自主决策能力的恶意软件变体。GTIG发布的安卓木马"PromptSpy"便是典型代表——这款具备"AI智能体"属性的高阶恶意程序，能主动调用受感染手机的无障碍服务分析当前屏幕内容，私自捕获用户的生物识别手势，甚至能精准识别并屏蔽系统弹出的卸载按钮，使用户陷入无法移除的困境。与此同时，各类勒索病毒团伙也在利用AI赋能进行疯狂扩散，甚至在深度伪造等舆论操控中混淆视听。根据微软威胁情报部门披露的报告，AI已被系统化地运用在侦察、钓鱼、恶意软件开发及基础设施搭建等全部攻击链条上，各类大模型正成为助推勒索病毒与网络诈骗爆炸式增长的最强催化剂。

传统防御已失效，AI原生安全体系势在必行

面对即将全面爆发的AI攻击浪潮，政企机构必须摒弃传统防御思路，快速构建AI原生安全防护体系。具体而言：全面梳理AI服务、云资源、API接口与智能代理资产，开展专项漏洞排查与密钥治理，严格落实最小权限原则；强化身份认证与访问控制，全面启用多因素认证，定期轮换凭证，封堵未授权访问入口；部署AI驱动的威胁检测与响应能力，实现对异常扫描、恶意代码、提示注入、横向渗透等行为的实时监测；建立漏洞应急响应与快速修复机制，缩短威胁处置周期，防范规模化攻击得逞。

专家警告：这场战争已经打响

网络安全专家指出，一场由人工智能引发的数字攻防战争已在现实世界中悄然打响，并且注定持续升级。许多人误以为AI驱动的黑客攻击仍处于萌芽阶段，但实际上，攻击方已实现工业化和智能化的升级，防御方必须同步进化。

专家强调，这并非针对某一国家或企业的局部威胁，而是对全球数字体系与金融稳定的系统性挑战。由于AI大幅放大了攻击强度，使得攻击演进速度远超传统防御的响应能力，极端网络安全事件极易迅速外溢，引发资本市场偿付危机乃至广泛的金融动荡。在此背景下，传统“亡羊补牢”式的被动防御已彻底失效。

为打破当前的技术僵局，专家提出当务之急是全面引入对抗性威胁情报探查，利用AI驱动的高阶检测模型来对抗恶意AI，并在软件交付生命周期中强制内嵌安全护栏。各行各业必须立即审视自身的安全防御基线，提升身份安全管控能力，同时对关键基础设施实施严密的可观测性与动态行为监控。

AI赋能网络攻防的格局已不可逆转。全球组织应加快补齐AI生态安全短板，以主动防御、动态对抗、AI赋能安全的全新思路，筑牢数字时代的网络安全防线。

参考链接：

https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

一、事件背景概述

近期，网络安全研究人员监测发现，从2025年7月开始，Python官方软件包仓库PyPI平台陆续被上架了多款恶意wheel安装包。这类恶意程序包表面能够正常实现项目页面标注的对应功能，背地里却会暗中植入恶意文件，最终落地一款从未公开曝光的全新木马家族，研究人员将其命名为ZiChatBot。

该木马具备跨平台攻击特性，可在Windows系统中释放DLL程序文件，在Linux系统中投放SO共享库文件。相较于传统木马，ZiChatBot不再依托专属C2服务器进行指令通信，而是直接利用开源聊天工具Zulip的RESTAPI接口作为被控通信基础设施，隐蔽性大幅提升。攻击者还采用伪装依赖的方式规避检测，刻意搭建一款看似正常无害的软件包，把含毒恶意包设置为其依赖组件，进一步隐匿攻击链路。经研判，这是一次策划周密、流程完整的PyPI开源软件供应链攻击活动。

攻击者共计在PyPI平台注册三个项目并上传恶意wheel包，均仿冒市面主流正规第三方库，以此诱导开发者误下载安装。三款恶意包分别为：伪装成UUID随机字符串生成工具的uuid32-utils、实现跨平台终端彩色文字输出的colorinal，以及提供终端ANSI色彩格式渲染的termncolor。三款恶意包集中在2025年7月16日至22日一周内批量上架。其中uuid32-utils与colorinal的植入链路、恶意载荷高度相近；termncolor自身代码无明显恶意行为，却通过引入colorinal作为依赖实现恶意加载，进一步拉长攻击隐匿链条。在被平台下架处置前，三款恶意包的累计下载量分别达到1479次、614次与387次。

二、事件分析过程

研究人员选取colorinal恶意库作为典型样本，对本次攻击的感染机制开展了深度技术拆解。在Windows环境下，只要安装uuid32-utils或colorinal任一恶意包，内置恶意代码就会释放名为terminate.dll的加载器并写入本地磁盘。当项目引入该库时，DLL文件会自动加载运行，充当ZiChatBot木马的下发载体执行后续恶意行为；同时在系统注册表写入自启动配置，运行完成后还会自动清除自身痕迹。

在Linux环境中，程序会释放terminate.so共享对象文件，将木马程序植入/tmp/obsHub/obs-check-update目录，并通过配置定时任务crontab实现持久化驻留。无论部署在哪种操作系统，ZiChatBot均可解析从命令控制端下发的Shellcode并执行系统指令。每完成一次命令执行，木马都会回传爱心表情符号，以此向控制端反馈任务执行状态。

本次攻击最具代表性的技术特点，是恶意程序对Zulip协作工具的非常规滥用。Zulip是主流开源聊天协作平台，对外开放标准REST API接口。ZiChatBot摒弃了APT攻击惯用的自建域名、私有信道等传统C2架构，直接挪用Zulip公开API搭建命令控制通道。木马通过调用Zulip接口拉取攻击者下发的指令与Shellcode，执行后以特定表情回执完成交互确认。攻击者依托Zulip正规业务属性与企业广泛部署的现状，木马产生的网络流量和正常办公业务流量高度混淆，传统网络监测设备很难识别并拦截恶意通信。由此可见，攻击者深谙企业现有网络防御体系规则，具备极强的免杀对抗与隐蔽攻击技术功底。

除流量高度隐蔽外，ZiChatBot还具备完整跨平台攻击能力。经核查，这批上传至PyPI的恶意包，编译适配Windows X86、X64架构以及Linux x86_64架构，可同时针对Windows、Linux两大主流操作系统发起入侵。跨平台的架构适配设计，也大幅拓宽了本次供应链攻击的受害覆盖面。

三、攻击活动归因分析

在溯源归因层面，研究人员通过深度分析发现本次攻击所用的程序释放器，与APT32（OceanLotus）组织过往使用的同类组件相似度达64%，据此研判这批PyPI恶意软件包和该组织过往披露的恶意程序存在关联。

APT32组织也被称为海莲花、OceanLotus、SeaLotus、APT-C-00等名称，普遍认为其关联越南相关部门。该组织的网络活动最早可追溯至2012年，自2015年被公开曝光后始终保持活跃，长期以政府机关、科研机构、海事航运、金融投资等关键领域为高价值目标，持续开展网络间谍渗透活动。

这并非APT32组织首次利用开发者工具链和开源公共平台实施供应链攻击。研究人员梳理发现，2024年末，该组织就曾伪造Visual Studio Code插件，伪装成Cobalt Strike相关扩展进行投毒，针对国内网络安全社群发起定向攻击。受害者编译项目时，恶意代码便会自动触发并下放木马程序，当时恶意程序选用Notion笔记服务作为命令控制通道，和本次借用Zulip接口搭建C2信道的技术思路如出一辙。这也能看出，APT32组织在保留传统鱼叉钓鱼邮件这类初始入侵手段的同时，正持续拓展供应链攻击等新型入侵路径。本次针对PyPI软件包仓库的攻击，标志着该组织战术策略的进一步升级：将攻击链路前置至软件开发源头，通过污染开发者日常依赖的开源软件仓库，实现单点投毒、批量侵染下游使用者的效果，核心目的在于大幅拓宽攻击范围，同时提升整体渗透攻击的效率。

四、事件影响与启示

此次安全事件对软件供应链安全形成了直接且严峻的现实威胁。PyPI作为全球Python开发者最核心的第三方软件包仓库，每日承载海量开发者与企业用户的使用需求。攻击者仿冒主流常用类库名称，并借助软件包依赖嵌套机制隐藏恶意代码，导致安全防范意识薄弱的开发者在安装看似正规的程序包时，无意间成为整个攻击链路的突破口。

一旦开发环境遭到入侵，ZiChatBot便可通过Zulip聊天工具通信通道接收攻击者下发的任意指令，进而引发内网横向渗透、源码数据窃取、业务系统账号凭证泄露等一系列高危安全后果。加之该木马可适配Linux服务器环境，对企业后端业务系统及云基础设施构成的安全威胁进一步放大。

从溯源研判与安全检测的视角来看，本次攻击折射出国家级APT组织战术发展的新趋势：以往依赖自建命令控制服务器、定制化后门程序的传统攻击模式，正逐步转向依托合法第三方公共服务搭建隐蔽C2信道的新型打法。Zulip、Notion这类普及度极高的企业协作平台，现已成为攻击者青睐的命令控制载体，也让传统依靠IP黑名单、域名信誉库、固定流量特征的检测防护手段基本失效。

对防守方来说，仅靠单一特征，比如识别Zulip接口流量、排查PyPI包内可疑文件，已经很难精准判定APT攻击行为。这就要求企业安全团队构建复合型行为分析能力，把开发环境软件包审计、终端异常进程监控、与公共服务平台的异常通信行为研判等维度，统一纳入常态化威胁狩猎体系中。

参考链接：

https://securelist.com/oceanlotus-suspected-pypi-zichatbot-campaign/119603/

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

一、事件背景概述

近日，网络安全研究人员首次通过基础设施与载荷双重证据，证实伊朗国家背景APT组织MuddyWater（又称 Seedworm、Mango Sandstorm、TA450、Static Kitten），正作为客户角色，使用俄语系网络犯罪团伙组织TAG-150运营的CastleRAT恶意软件即服务（MaaS）平台，持续针对多个目标实施高强度网络间谍行动，且相关攻击活动在一些网络安全厂商曝光后仍保持活跃。该攻击活动中还部署了一款此前未被披露的、基于区块链进行指挥控制的新型木马ChainShell，标志着该组织与商业化地下犯罪工具的结合已经进入实战化阶段。

事件背景源于MuddyWater组织不断演进的战术需求。该组织自2017年以来长期活跃，直属于伊朗情报与安全部，惯用定制PowerShell后门和合法的远程管理工具。然而，本次攻击事件表明其正在转向采购成熟的商业木马MaaS平台，以快速获取高级入侵能力。研究人员调查的直接起因是他们发现了一台MuddyWater组织的C2服务器，上面不仅含有波斯语代码注释和精心整理的以色列IP地址段列表，还存在一个名为reset.ps1的PowerShell部署脚本，该脚本用于解密并释放ChainShell组件。同时，攻击者还将名为“Build 120”和“Build 13”的两个PE载荷通过隐写术隐藏在处理过的JPEG图片内。这两个载荷携带相同的MaaS模板标识，并且都是在美以2月28日对伊打击前编译完成的，这点呈现出明显的预先部署特征，属于提前预置的攻击能力。

图 1 MuddyWater组织攻击示意图

二、攻击活动归因分析

在攻击活动归因和证据链分析方面，研究人员构建了一条“证书-活动标识-木马任务”的闭环证据链。攻击者在投递环节中使用了两张由SSL.com签发、注册名为“Amy Cherne”和“Donald Gay”的代码签名证书。其中“Amy Cherne”证书不仅签发了已知被Google、微软等厂商明确归属MuddyWater组织的StageComp木马，还签署了一个被赛门铁克命名为DinDoor的MSI安装包。对该MSI的行为分析显示，其会向多租户C2平台serialmonet.com发起携带JWT身份令牌的请求，内含活动名“Smokest”及用户ID。而这一完全相同的活动身份，被硬编码在CastleRAT Build 120和Build 666的持久化计划任务名称VirtualSmokestGuy中。另一条平行证据链来自那台暴露的伊朗服务器，其操作历史记录显示曾用命令行自测Build 13的C2端口8888，该服务器上留存的reset.ps1脚本哈希与公开恶意软件库中的样本完全一致，从而将伊朗操作者、TAG-150平台组件和CastleRAT C2直接绑定。此外，该C2域名serialmonet.com为一个多租户平台，LeakNet勒索软件等其他团伙也在使用相同的Deno代码库，但通过不同的JWT凭证区分用户，表明MuddyWater组织是平台客户而非开发者。代码中功能路径存在的俄语字符串与针对前苏联独联体国家的区域排除逻辑，也印证了其俄罗斯背景。

三、攻击过程技术分析

技术分析显示，此次攻击带来了显著的能力跃升。其中最引人注目的是一款名为ChainShell的Node.js木马，它抛弃了传统的HTTP直连，转而通过以太坊智能合约去中心化地解析C2服务器地址，通信全程采用AES-256-CBC加密。该木马本身是一个“thin shell”执行器，通过服务端推送JavaScript代码“new Function”执行命令，内置的俄罗斯开发者痕迹和独联体国家规避逻辑进一步指向TAG-150来源。与ChainShell配合的CastleRAT平台则提供了当前地下主流的HVNC功能，可在受害者正常操作时，通过隐藏桌面静默访问内部系统、云控制台和Web邮箱，复用受害者的会话Cookie以绕过MFA认证。平台还集成了针对Chrome v127以上版本应用绑定加密的Cookie窃取模块，这些都是MuddyWater原有自研工具完全不具备的能力。

尽管多家厂商从3月起陆续曝光相关基础设施和证书，攻击者的运营活动并未停止且保持了极限的响应速度。3月11日和13日，攻击者编译了新的NSIS安装器；3月16日，更新了JavaScript远控样本；甚至在3月20日，仍有新的恶意宏文档诱饵连接至MuddyWater组织的基础设施。攻击链在规避手段上也做到了多维度覆盖，包括滥用CMSTPLUA实现UAC绕过、利用合法应用进行DLL侧加载、通过WMI添加Windows Defender扫描排除项，以及沿用隐写术藏匿载荷。

图 2 攻击活动时间节点

四、事件影响分析

对于防守方而言，这一威胁融合带来了严峻的归因与检测挑战。当网络中出现携带俄语字符串、基于主流犯罪平台构建的CastleRAT或ChainShell报警时，初始分析极易将其归为一般的俄罗斯网络犯罪活动，而忽略其背后伊朗国家级间谍的真实意图。报告警示，严格将“网络犯罪”与“APT”分立处置的威胁情报工作流，很可能错漏此类混合型行动。防御侧需重点关注行为链条，包括从Outlook Web访问异常、CMSTP父进程调用，到与区块链节点非业务通信等异常的组合出现，主动梳理JWT凭证关联，并结合证书透明度日志监控，以期在攻击者实现横向移动前阻断入侵链条。此次事件不仅凸显了伊朗在网络行动中追求作战敏捷而非武器自研的战略转向，也为稍显特殊的地缘政治合作提供了可观测的网络侧印证。

五、参考链接

https://www.jumpsec.com/guides/chainshell-muddywater-russian-criminal-infrastructure/

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

一、事件背景概述

2026年初，研究人员首次监测到针对D-Link DIR-823X系列路由器的命令注入漏洞CVE-2025-29635的活跃攻击活动。攻击者利用该漏洞部署Mirai僵尸网络变种，将这些已停产的网络设备纳入其DDoS攻击基础设施。值得注意的是，该漏洞自2025年3月公开披露以来沉寂了整整一年，这是首次在野外观察到实际利用行为。

D-Link DIR-823X（俗称“D-小白”）是友讯网络（D-Link）于2023年推出的一款AX3000规格Wi-Fi 6无线路由器，主打家用入门级市场，以高性价比、基础Wi-Fi 6性能和稳定覆盖为核心卖点。

图 1 D-Link路由器

二、攻击技术分析

从技术原理来看，CVE-2025-29635是一个典型的命令注入漏洞。安全研究人员在分析D-Link DIR-823X固件时，对二进制文件中的sub_42232C函数进行了逆向工程。他们发现，macaddr参数的值通过snprintf函数被复制到命令变量中，随后交由system函数执行。由于系统未能对用户输入进行充分过滤，攻击者可以通过精心构造macaddr参数的值，向/goform/set_prohibiting端点发送POST请求，从而触发远程命令执行。该漏洞影响固件版本240126和24082。根据D-Link厂商公告，DIR-823X系列路由器已于2025年9月被列为退役设备，这意味着厂商不会为这些型号提供安全补丁更新。

图 2 CVE-2025-29635固件缺陷

研究人员披露漏洞后，曾在GitHub上公开发布了一个概念验证（PoC）利用代码，但随后被删除。然而，研究人员利用蜜罐捕获到的攻击请求与原始PoC高度相似，仅在HTTP头部等细节上存在差异，例如攻击流量中不包含Referer和Accept-Language等常见字段。攻击者发送的POST请求会切换目录至可写路径，从外部服务器下载名为“dlink.sh”的Shell脚本并执行。该脚本随后从IP地址88.214.20[.]14下载Mirai变种“tuxnokill”，支持多种CPU架构，使用XOR编码（密钥0x30）对配置进行混淆，并通过C2服务器64.89.161[.]130:44300接收指令。除了CVE-2025-29635外，该攻击者还被观察到利用其他已知漏洞，包括影响TP-Link Archer AX21路由器的CVE-2023-1389以及ZTE ZXV10 H108L路由器的远程代码执行漏洞，攻击模式高度一致。

需要特别指出的是，研究人员在“tuxnokill”恶意软件样本中发现了一个耐人寻味的硬编码字符串“AI.NEEDS.TO.DIE”。这一发现暗示该变种可能由人工手动编写，而非借助人工智能工具生成。在AI辅助攻击技术日益受到关注的安全环境下，这一发现反映出不同攻击者在技术选择上的分化。

与此同时，Fortinet旗下FortiGuard Labs于2026年4月17日披露了另一个名为“Nexcorium”的Mirai僵尸网络变种活动，该活动与自称为“Nexus Team”的攻击组织相关。Nexcorium利用TBK DVR设备的CVE-2024-3721命令注入漏洞进行传播，其恶意软件在持久化机制上更为复杂：它不仅修改/etc/inittab和/etc/rc.local以确保进程重启后自动运行，还创建systemd服务文件并配置crontab定时任务，形成四重持久化保障。值得注意的是，该变种还内置了针对华为HG532路由器的CVE-2017-17215漏洞利用模块，用于横向扩展僵尸网络规模。这两起并行的攻击活动共同表明，Mirai僵尸网络的变种仍在持续演化，攻击者不断寻找新的漏洞入口，并将已停产、不再获得安全支持的物联网设备作为首选目标。

三、攻击活动的影响

将此次事件置于更广阔的威胁态势中审视，Mirai僵尸网络的演进趋势令人警醒。自2016年Mirai源代码泄露以来，该僵尸网络家族已衍生出超过116种已知变种。2025年下半年，全球僵尸网络命令与控制（C2）服务器数量较上半年增长了24%。攻击规模也在不断刷新纪录——Mirai变种Aisuru-KimWolf近期发动了高达31.4Tbps的DDoS攻击，足以瘫痪绝大多数企业的网络基础设施。Mirai变种V3G4则增强了感染机制和自我更新能力，使检测和清除难度进一步提升。

面对此类威胁，使用已停产网络设备的用户面临尤为严峻的困境——厂商已停止提供固件更新，意味着CVE-2025-29635等漏洞无法通过官方渠道修复。研究人员在联系D-Link询问补丁状态后也确认，厂商不会为退役停产设备破例发布安全更新。网络安全专家建议受影响用户应尽快将设备升级至仍在支持周期内的新型号，同时采取以下缓解措施：禁用不必要的远程管理端口，修改默认管理员密码，定期检查设备配置是否有异常变动，并关注厂商的安全公告。

从更宏观的攻防视角来看，Mirai僵尸网络持续活跃的根本原因在于攻击门槛的持续降低——公开的PoC利用代码可以被攻击者轻松整合到其攻击链中，而已停产设备缺乏补丁更新的现实，使得这些设备成为僵尸网络招募的“低垂果实”。这不仅是一场技术对抗，更是对互联网安全治理体系的全方位考验。设备制造商需要建立更完善的产品生命周期安全策略，监管机构应推动建立物联网设备安全基线标准。而用户则需要提升安全意识，将“不支持即替换”作为基本的设备管理原则。唯有多方协同，才能在日益复杂的物联网威胁态势中构筑有效的防御纵深。

四、Mirai检测规则

图 3 Mirai检测规则

五、信息参考链接

https://www.akamai.com/blog/security-research/cve-2025-29635-mirai-campaign-targets-d-link-devices

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

2026年第一季度，疑似伊朗背景的APT组织攻击活动呈现多元化、协同化态势，共监测到7个主要活跃组织，分别为MuddyWater（Seedworm）、APT35（Charming Kitten）、APT42、APT33（灰沙暴）、Handala（亲巴勒斯坦黑客行动主义组织）、RedKitten以及Nasir Security。其中MuddyWater活动最为频繁，在监测周期内共发起11次攻击行动，显示出该组织作为伊朗网络间谍组织核心力量的持续作战能力。

1. MuddyWater组织攻击事件综合分析

（1）MuddyWater组织攻击技战术总结分析

2026年第一季度，MuddyWater组织(又称Static Kitten, Seedworm, Temp Zagros, Boggy Serpens, TA450)展现了"工具Rust化转型+AI辅助开发+模块化后门+多信道C2通信"的复合战略攻击体系。该组织在"社会工程钓鱼+漏洞利用+持久化控制+数据窃取"的四层战术链上持续展开攻击活动。

在初始渗透阶段，MuddyWater组织主要采用鱼叉式钓鱼邮件投递和Web应用漏洞利用两种方式。钓鱼邮件高度伪装成官方通知或业务文档，如"网络安全指南"、"航班票据"、"能源服务合同"等主题，附件为嵌入恶意宏的Microsoft Office文档(DOCX, XLSX)。同时，该组织积极利用Shodan, Nuclei等工具扫描公网漏洞，针对存在CVE-2025-54068, CVE-2025-34291, CVE-2022-42475等漏洞的服务器实施攻击。

载荷投递阶段，MuddyWater组织展现出高度模块化的攻击工具链。该组织部署了四种新型恶意软件变体：基于Rust开发的CHAR后门、GhostFetch下载器、HTTP_VIP下载器以及GhostBackDoor高级后门。其中CHAR后门代表该组织的技术转型方向，采用Rust语言开发并使用Telegram Bot作为C2通信渠道。GhostFetch和HTTP_VIP作为一级下载器，负责从C2服务器获取并执行二级载荷。GhostBackDoor则是功能完整的后门程序，支持交互式Shell、文件操作、进程管理等高级功能。

持久化控制阶段，MuddyWater组织采用多机制持久化策略。通过注册表启动项、计划任务(如DailyUpdate)、服务安装(MicrosoftVersionUpdater)以及COM对象劫持等方式确保长期访问权限。该组织还利用AnyDesk等合法RMM工具建立远程连接，同时部署FMAPP.dll实现SOCKS5反向代理，构建多层隐蔽通道。

数据窃取阶段，MuddyWater组织采用分层窃取策略。首先通过系统侦察命令(whoami, ipconfig, nslookup等)收集目标环境信息，然后针对敏感数据(凭证、文档、数据库)进行定向窃取。窃取的数据通过加密通道传输至C2服务器，或使用Telegram Bot、云存储(Wasabi)等渠道外传。

隐蔽对抗阶段，MuddyWater组织采用了多种反分析技术。包括沙箱检测、调试器检测、虚拟机特征扫描、执行时间检测等。同时使用AI生成代码中的调试字符串、多层加密通信、哈希随机化等技术规避安全设备检测。

（2）MuddyWater组织攻击事件特点分析

综合分析显示，MuddyWater组织的攻击体系呈现出四大显著特点：

其一，工具Rust化与AI辅助开发趋势明显。

2026年第一季度，MuddyWater组织显著增加了Rust语言在后门开发中的使用比例。CHAR后门(又称Archer RAT, RUSTRIC, RustyWater) 是该组织首个公开确认的Rust后门，采用reqwest库实现HTTP通信，支持多层加密和异步C2功能。代码分析显示，该后门的部分命令处理器存在AI辅助开发痕迹，包括调试字符串中包含emoji表情符号，与Google威胁情报团队关于MuddyWater使用Gemini编写恶意软件的报告相吻合。此外，该组织的C2服务器端代码(Flask应用)和decoy网站也显示出AI生成特征。Rust工具链的采用反映了该组织对跨平台兼容性、内存安全性和反分析能力的追求。

其二，模块化后门体系具备高度灵活性。

MuddyWater组织形成了以GhostFetch, HTTP_VIP, GhostBackDoor, CHAR为核心的模块化攻击体系。GhostFetch作为一级下载器，具备反沙箱、反分析能力，通过硬编码C2列表下载AES加密的二级载荷。HTTP_VIP则采用Python编写，支持系统侦察、域名守卫(排除蜜点)、C2认证和载荷部署功能。新变种更具备独立后门能力，支持交互式Shell、文件上传下载、剪贴板窃取等命令。GhostBackDoor作为二级后门，根据权限级别自适应安装(服务/回收站伪装/启动项)，采用法语命名的API端点进行碎片化通信以规避网络检测。这种模块化设计使攻击者能够根据目标环境动态组合工具链，提高攻击成功率。

其三，C2通信架构具备高隐蔽性和弹性。

MuddyWater组织采用多层次C2架构。传统HTTP C2服务器使用Apache反向代理+Python Flask后端的双层结构，80/443端口对外服务，8080端口对内通信，有效隐藏后端应用。新出现的Telegram Bot C2则代表通信渠道的创新，利用Telegram API实现命令控制和数据回传，具备天然的加密和抗封锁能力。基础设施分析显示，该组织的C2域名均采用CloudFlare防护，真实IP通过SSL证书关联发现。C2服务器部署命令历史中出现的波斯语键盘映射错误进一步确认了攻击者的伊朗背景。

其四，攻击目标聚焦中东地区与美以战略目标。

MuddyWater组织的攻击目标高度集中于中东及北美地区。2026年1月至3月，该组织发起的“Operation Olalampo”行动，主要针对中东和北非（MENA）地区的政府机构、电信运营商、能源企业、海事部门及金融机构开展攻击。与此同时，该组织自2月初起对美国境内多家机构实施网络渗透，目标涵盖银行、机场、软件企业（以色列分部）及非营利组织。其攻击目标的选择与伊朗地缘政治利益高度契合，也印证了该组织隶属于伊朗情报与国家安全部（MOIS）的战略属性。2026年2月底美以联合军事行动发生后，MuddyWater组织的网络攻击频次显著上升，体现出网络攻击与实体军事行动协同实施的特征。

（3）MuddyWater组织典型攻击事件详细分析

案例一：2026年1-2月Operation Olalampo鱼叉式钓鱼攻击行动

2026年1月26日，Group-IB威胁情报团队监测到MuddyWater组织发起代号为“Operation Olalampo”的网络攻击行动。此次行动主要针对中东和北非（MENA）地区的多家机构及相关目标实施攻击，其攻击活动节奏与当地地缘政治紧张局势升级趋势高度吻合。在攻击过程中，该组织投放了四类新型恶意软件变体，分别为基于Rust开发的CHAR后门、下载器GhostFetch、下载器HTTP_VIP，以及高级后门GhostBackDoor。攻击者还采用Telegram机器人作为C2命令控制渠道，相关行为在一定程度上暴露了其大量后渗透阶段的活动特征与操作细节。

攻击过程分析：

初始投递：

攻击者发送鱼叉式钓鱼邮件，主题为"网络安全指南"、"航班票据"、"能源服务合同"等，发件人伪装成土库曼斯坦电信运营商TMCell或中东能源海事服务公司。邮件附件为嵌入恶意宏的Microsoft Office文档(Excel或Word)。

宏执行与载荷释放：

受害者打开文档并启用宏后，Workbook_Open事件自动触发。宏代码从隐藏的UserForm控件中读取十进制编码字符串，解码后释放载荷到系统目录。根据文档变体不同，释放的载荷分别为CHAR后门、GhostFetch下载器或HTTP_VIP下载器。

二级载荷部署：

GhostFetch下载器检查系统环境，通过反沙箱检测后，从C2下载AES加密的GhostBackDoor后门并反射加载到内存执行。HTTP_VIP下载器则连接C2进行认证，下载并执行AnyDesk RMM工具或独立执行后门命令。

持久化与控制：

CHA后门依托Telegram Bot接收远程指令，可执行CMD/PowerShell命令、切换目录等系统操作。GhostBackDoor则会根据当前获取的系统权限等级，采取差异化持久化策略：以系统服务形式安装、伪装为回收站相关程序，或写入启动项实现开机自启。攻击者通过交互式Shell执行内网侦察指令，配置计划任务维持驻留，并部署FMAPP.dll建立SOCKS5反向代理通道，实现对目标内网的持久控制与横向渗透。

数据窃取：

攻击者窃取系统信息、文档数据、浏览器凭证，通过Telegram Bot或C2服务器外传。部分案例中使用Rclone将数据上传至Wasabi云存储。

攻击事件的影响与特点：

此次攻击活动是MuddyWater组织2026年首次大规模攻击活动，标志着该组织工具链逐步向Rust化转型，并呈现AI辅助开发的趋势。攻击特点包括：多载荷并行投递，针对不同目标定制文档主题与载荷类型；创新采用Telegram Bot作为C2通信渠道，具备加密通信与抗封锁能力；代码中遗留emoji调试字符串，AI辅助开发痕迹明显；攻击基础设施与2025年10月相关活动存在关联，体现出攻击者复用基础设施的运营特点。此次行动针对中东地区政府、电信、能源及海事部门实施攻击，造成敏感信息泄露，并带来长期潜伏驻留风险。

参考链接：

https://www.genians.co.kr/blog/threat_intelligence/muddywater-apt

https://www.group-ib.com/blog/muddywater-operation-olalampo/

https://symantec-enterprise-blogs.security.com/blog-post/iran-cyber-threat-activity-us

https://www.esentire.com/security-advisories/iranian-apt-muddywater-exposed

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

一、APT组织攻击活动背景概述

2026年第一季度，朝鲜背景的APT组织活动呈现高度活跃态势，共监测到6个主要活跃组织，分别为Kimsuky（APT43/Konni）、Lazarus Group（APT45/Andariel）、UNC1069、APT37（ScarCruft/Ruby Sleet）、WaterPlum（Famous Chollima/PurpleBravo）以及UAT-10027。其中Kimsuky活动频次最高，在监测周期内共发起9次攻击行动，占全部事件的37.5%，显示出该组织在本季度的绝对主导地位。Lazarus Group以7次攻击行动位居第二，WaterPlum组织有4次明确攻击记录，UNC1069和APT37各有2次攻击活动，UAT-10027有1次攻击记录。

二、Kimsuky组织攻击事件综合分析

2026年第一季度，Kimsuky组织展现出高度进化的攻击能力，采用"AI辅助恶意软件开发+广告基础设施滥用+多阶段载荷投递+社交媒体二次传播"的复合型战术。在初始渗透阶段，该组织主要采用鱼叉式网络钓鱼作为主要投递方式，同时利用Google广告重定向机制、compromised WordPress网站等基础设施，通过LNK恶意文件、AutoIt脚本等载体实现初始访问。

在漏洞利用阶段，Kimsuky组织展现出较强的漏洞挖掘和利用能力。2026年第一季度主要利用的漏洞包括：CVE-2017-11882（Microsoft Office内存破坏漏洞）、CVE-2019-0708（Remote Desktop Services远程代码执行漏洞）等。这些漏洞主要用于绕过安全防护机制，实现远程代码执行。

在载荷投递和执行阶段，Kimsuky组织采用多阶段载荷投递机制。通过WebDAV协议、compromised网站等途径下载恶意载荷，最终执行MiradorShell、EndRAT、BabyShark、AppleSeed等一系列恶意软件。攻击者还利用AI生成的PowerShell后门，展现出较高的自动化和隐蔽性。

在持久化控制阶段，Kimsuky采用多种持久化技术，包括计划任务创建、注册表修改、启动项添加等。同时，攻击者利用compromised社交媒体账户（如KakaoTalk）实现二次传播，确保攻击活动的持续性。在数据窃取方面，重点针对电子邮件账户、云身份凭证、敏感文档、系统信息等进行窃取，并利用compromised网站、云存储等作为C2通信基础设施。

在反分析阶段，Kimsuky组织综合运用了多种反沙箱、反调试与反虚拟机技术，主要包括虚拟机环境检测、安全分析工具特征检测、人机交互行为检测等手段。同时，该组织还利用AI辅助生成恶意代码以提升代码混淆度与分析对抗能力，并通过已攻陷的第三方基础设施（C&C服务器、中转节点等）开展攻击活动，以此降低自身攻击链路被溯源追踪的风险。

三、Kimsuky组织攻击活动战略核心特点

综合分析表明，Kimsuky组织的攻击呈现出以下鲜明特点：

其一，AI辅助恶意代码开发成为新常态。2026年Kimsuky组织被确认使用AI生成PowerShell后门，代码结构清晰、注释完善，展现出AI辅助开发的特征。这不仅提高了恶意代码的开发效率，也增加了安全分析的难度。

其二，广告基础设施滥用成为主要初始访问手段。攻击者利用Google Ads、DoubleClick等正常广告基础设施的重定向机制，将恶意URL隐藏在广告参数中，有效绕过电子邮件安全过滤和URL信誉检测。

其三，多阶段载荷投递体系高度模块化。Kimsuky形成了以LNK文件、AutoIt脚本、PowerShell后门为核心的模块化攻击体系，各组件职责明确，可根据目标环境动态调整载荷组合。

其四，社交媒体账户滥用实现二次传播。攻击者在成功渗透目标后，会访问受害者的KakaoTalk等社交媒体账户，向好友列表发送恶意文件，利用信任关系扩大攻击范围。

其五，攻击目标高度聚焦朝鲜半岛相关议题。Kimsuky组织重点围绕韩国、日本、美国等国家的政府机构、学术界、智库、人权组织等目标，攻击主题涉及朝鲜人权、金融安全、区块链技术等。

四、Kimsuky组织典型攻击事件分析

案例一：2026年1-2月Operation Poseidon（海神行动）——Google广告重定向机制滥用攻击

2026年1-2月，Kimsuky组织实施了代号为"Operation Poseidon"的专项攻击行动，主要针对韩国金融机构、人权组织等目标。攻击者利用Google Ads广告重定向机制，将恶意URL隐藏在广告参数中，成功绕过安全检测。

攻击过程分析：

初始投递阶段，攻击者通过鱼叉式钓鱼邮件发送包含恶意下载链接的邮件，链接伪装为Google Ads广告URL。载荷投递阶段，受害者点击链接后经Google Ads 重定向，从已沦陷的WordPress网站下载含有LNK恶意文件的ZIP压缩包。执行阶段，LNK文件执行后通过PowerShell解密并执行内嵌恶意脚本，下载AutoIt3.exe及伪装PDF文件。持久化阶段，创建计划任务，每5分钟执行一次MiradorShell v2.0后门以实现驻留。数据窃取阶段，通过C2服务器窃取系统信息、文档、凭证等敏感数据。

案例二：2026年1月区块链主题钓鱼攻击——AI生成PowerShell后门首次确认

2026年1月，Check Point Research发现Kimsuky组织实施了针对软件开发人员和工程团队的钓鱼攻击，主题为区块链相关项目。此次攻击首次确认使用AI生成的PowerShell后门。

攻击过程分析：

初始投递阶段，攻击者通过Discord等渠道分发包含恶意ZIP压缩包的链接。载荷投递阶段，ZIP文件包含PDF诱饵文档和LNK恶意文件。执行阶段，LNK文件执行后，提取CAB压缩包，创建伪装成OneDrive启动任务的计划任务，执行XOR解密的PowerShell后门。AI特征分析：该PowerShell后门代码结构清晰，包含详细的文档注释，如"This script ensures that only one instance of this UUID-based project runs at a time. It sends system info via HTTP GET every 13 minutes."，并包含典型的LLM生成代码特征，如"# <-- your permanent project UUID"注释。

五、网络攻击事件影响评估

此次攻击活动标志着Kimsuky组织开始采用AI辅助恶意代码开发，攻击目标从传统的政府机构扩展到软件开发团队，意图获取区块链相关基础设施和API凭证的访问权限。

参考链接：

https://www.genians.co.kr/blog/threat_intelligence/spear-phishing

https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/?_gl=1*f083p8*_gcl_au*NTM4MTU1ODUzLjE3NjgyNjQ1NTg

https://mp.weixin.qq.com/s/h2TRwzeB-72Mc5Nhv9TyXg

https://mp.weixin.qq.com/s/PNTDJ9lGWkTGiGW6jveWpg

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

一、事件概述

近日，网络安全研究团队监测并分析发现，知名APT组织Pawn Storm（又称APT28、Fancy Bear、UAC-0001及Forest Blizzard）发起新一轮网络攻击行动。该组织采用自研PRISMEX恶意软件套件，将乌克兰国防供应链，以及捷克、波兰、罗马尼亚、斯洛伐克、斯洛文尼亚、土耳其等其中东欧盟友列为主要攻击目标。此次攻击融合高级隐写术、组件对象模型（COM）劫持、合法云服务滥用等多种技术手段，同时利用含Windows 0Day漏洞在内的多个高危漏洞，兼具情报窃取与潜在破坏性双重攻击意图，对目标地区政府机构及关键基础设施安全构成严重威胁。

研究分析显示，Pawn Storm组织针对此次攻击的筹备工作可追溯至2025年9月，2026年1月攻击行动出现显著升级，这也是该组织自2014年以来，持续对乌克兰发起系列针对性网络攻击的延续。研究发现，该组织在此次攻击中，展现出对漏洞的超前掌控能力及快速武器化水平：针对微软Office漏洞CVE-2026-21509，其攻击基础设施筹备工作在该漏洞公开披露前两周便已启动；而Windows零日漏洞CVE-2026-21513的利用样本，在微软发布修复补丁前11天就已出现在病毒分析平台VirusTotal。这一时差明确证实该漏洞存在在野0Day利用情况，种种迹象表明，Pawn Storm组织已提前获取相关漏洞的详细技术信息。

二、攻击过程分析

此次攻击活动中，Pawn Storm组织构建了复杂的攻击链，以鱼叉式钓鱼邮件作为初始投递载体，邮件主题围绕“水文气象预警”“军事训练计划邀请”“武器走私警报”等目标相关场景设计，迷惑性极强。邮件附带的恶意RTF文档是触发攻击的关键环节，该文档利用CVE-2026-21509漏洞实现初始突破。该漏洞属于微软Office对象链接与嵌入（OLE）机制中的安全功能绕过漏洞，由于Office未能严格限制Shell.Explorer.1 COM对象的实例化，攻击者通过在RTF文档中嵌入特制OLE对象。诱使宿主应用在用户仅打开文档的情况下，自动向其控制的WebDAV服务器发起连接，下载并执行远程恶意快捷方式（.lnk）文件。全程无需用户额外操作，可轻松绕过受保护视图及标准OLE安全提示。

被执行的恶意.lnk文件疑似利用CVE-2026-21513漏洞实施二次攻击。该漏洞存在于IE框架ieframe.dll模块的超链接导航处理逻辑中，因对目标URL验证不充分。攻击者可通过嵌入HTML载荷，利用嵌套iframe及多DOM上下文操纵信任边界，调用易受攻击的函数实现代码执行，进而绕过网页标记及IE增强安全配置。尽管研究人员尚未独立验证这两个漏洞的联动利用情况，但研究团队发现，二者攻击所使用的命令与控制（C&C）基础设施存在重合。尤其是共享C&C域名，这一特征强烈暗示此次攻击是精心设计的两阶段漏洞利用行动。恶意.lnk文件执行完成后，攻击者的C&C服务器会向受感染主机投递PRISMEX或MiniDoor两条核心载荷链，实现后续持久化控制及恶意操作。

作为此次攻击的核心恶意软件套件，PRISMEX由多个关联组件构成。各组件分工明确、协同运作，通过无文件执行、高级隐写术、合法云服务滥用等方式，规避现代终端检测与响应（EDR）系统的监测，其命名源于将有效载荷分散嵌入图像的隐写术特征。其中，PrismexSheet是一款带有VBA宏的恶意Excel投放器。作为2025年9-12月隐写术攻击的初始访问向量，该组件经过高度混淆处理，可从自身二进制数据中提取隐藏的有效载荷及配置信息。执行过程中，它会先隐藏恶意工作表、规避沙箱检测。再读取自身二进制数据解析配置，释放恶意DLL及隐写PNG文件。通过劫持explorer.exe加载的COM对象实现持久化，最后对受感染主机的应用程序进行探查。其附带的诱饵文档多为乌克兰军用无人机库存清单、无人机供应商价格表等，精准瞄准乌克兰军方无人机作战单位及后勤部门。

PrismexDrop作为原生投放器，核心功能是为后续攻击阶段搭建环境，自身不具备网络通信能力。它通过滚动XOR密码解密嵌入式载荷，采用计划任务与COM DLL劫持相结合的“自清理”持久化方案，将恶意文件释放至指定系统目录，修改注册表注册恶意DLL，并通过隐藏计划任务重启explorer.exe，使恶意代码在可信进程上下文环境中执行。PrismexLoader则伪装成合法Windows DLL，作为代理DLL将合法函数导出并转发至真实系统DLL，避免宿主进程崩溃，同时在后台线程静默执行恶意载荷。其最具辨识度的特征是采用独创的“Bit Plane Round Robin”隐写算法，从PNG图片中提取后续载荷——该算法区别于常规最低有效位（LSB）技术，将图像数据作为循环缓冲区，通过多轮提取不同位平面信息重建载荷，可有效避免图像出现肉眼可察觉的异常。该算法与Pawn Storm组织2025年针对乌克兰军用无人机清单发起攻击时使用的代码完全一致，成为该组织的标志性技术特征。载荷提取完成后，PrismexLoader通过CLR引导，在内存中完成.NET有效载荷的加载与执行，全程不写入文件系统，仅在内存中留存，大幅提升取证难度。

PRISMEX套件的最后一个组件PrismexStager，本质是Covenant Grunt加载器，基于开源.NET命令与控制框架Covenant开发，经过高度混淆处理。该组件通过滥用合法端到端加密云存储服务Filen.io实现C&C通信，利用该平台的多个子域名，分别完成网关连接、载荷下载及数据窃取操作。并将恶意流量隐藏在正常加密网络流量中，成功绕过基于声誉的过滤机制及防火墙规则。

三、攻击目标及组织归因

从攻击目标来看，Pawn Storm组织此次攻击具有明确的战略导向，直指乌克兰及其北约合作伙伴的供应链体系与作战规划能力。在乌克兰境内，攻击目标覆盖中央行政机构、水文气象部门、国防及应急服务机构——其中水文气象数据对无人机作战、火炮弹道规划具有关键支撑作用。在中东欧国家，波兰铁路物流作为西方军事援助进入乌克兰的核心中转枢纽，罗马尼亚、斯洛文尼亚、土耳其的海运及交通部门，以及捷克、斯洛伐克在弹药计划中提供政治与后勤支持的相关机构，均被列为重点攻击对象。研究人员结合技术工件、基础设施重叠特征、目标指向等多方面证据，依据改进型钻石模型归因框架，通过对攻击方、攻击能力、基础设施、攻击目标四个核心节点的综合分析，高可信度将此次攻击归因于Pawn Storm组织。该组织此次展现的技术特征与过往攻击行动高度契合：恶意软件编译时间集中在莫斯科时区工作时段，能够快速将新披露漏洞武器化。在单一攻击中融合Go、.NET及原生代码开发技术，且持续针对乌克兰及其中东欧盟友发起攻击，与该组织多年来的攻击目标保持一致。

此次攻击也反映出亲俄军事情报机构的战略重心转变——从单纯的战略政治情报窃取，转向对乌克兰后勤系统的作战及战术层面破坏。随着相关地缘冲突进入第五年，前线局势趋于平稳，水文气象、物流运输等辅助支持系统的战略价值日益凸显。Pawn Storm组织针对这些目标的攻击，不仅能够窃取关键情报，还可能借助Covenant Grunt后渗透框架，在受感染网络中横向移动并发起破坏性攻击，例如篡改水文气象数据、破坏铁路物流系统。事实上，该组织在过往攻击中已出现过删除用户目录所有文件的擦除器命令，这一行为明确证实其具备情报窃取与破坏性攻击的双重能力。

四、攻击事件总结

研究人员指出，PRISMEX恶意软件套件是Pawn Storm组织武器库的重要升级成果，该组织将零日漏洞利用、新披露漏洞快速武器化，与合法云基础设施、独创隐写术相结合，展现出持续的技术进化能力。此次攻击精准瞄准乌克兰国防供应链、气象服务及人道主义援助通道，预示着后续可能出现更多破坏性网络攻击行为。面对Pawn Storm组织持续进化的攻击能力，其他相关政府机构、关键基础设施运营方及军事相关组织，应树立“假设已被入侵”的安全理念，将自身列为高风险对象，立即落实相关防护措施。同时摒弃传统防御思维，重点监测网络行为异常，而非单纯依赖静态特征检测。

参考链接：

https://www.trendmicro.com/en_us/research/26/c/pawn-storm-targets-govt-infra.html

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

近日，国际网络安全领域曝出与俄罗斯相关的高级持续性威胁（APT）组织，正在利用Zimbra协作套件（ZCS）中的高危存储型跨站脚本（XSS）漏洞CVE-2025-66376，对目标机构实施定向网络攻击。该漏洞CVSS评分为7.2分，已被美国网络安全和基础设施安全局（CISA）列入在野已知被利用漏洞目录。

此次被攻击者利用的CVE-2025-66376漏洞，存在于Zimbra Collaboration的经典用户界面中，核心问题是对邮件HTML内容中CSS @import指令的过滤清理不充分。攻击者可通过构造恶意HTML邮件，在受害者使用存在漏洞的Zimbra网页邮箱打开该邮件时，自动触发脚本执行，进而接管用户邮箱账号，甚至攻陷整个Zimbra运行环境。Zimbra开发商Synacor已发布10.1.13和10.0.18两个版本，用于修复该漏洞。美国CISA已下发要求，明确联邦文职行政机构需在2026年4月1日前完成漏洞修补工作。

据网络安全厂商安全监测，此次攻击行动被命名为“幽灵邮件行动（Operation GhostMail）”。攻击方大概率为APT28组织——该组织又称Fancy Bear、Pawn Storm、Sofacy Group等，是俄罗斯国家级网络攻击力量的典型代表。攻击者采用社会工程学手段，以“实习咨询”为诱饵，将经过混淆处理的JavaScript恶意载荷直接嵌入邮件正文，借助被盗用的学生邮箱账号发送，以此伪装成合法通信，提升攻击的迷惑性和可信度。

此次攻击过程呈现多阶段、高隐蔽性特征：受害者在存在漏洞的Zimbra网页邮箱中打开恶意邮件后，CVE-2025-66376漏洞被瞬间触发。恶意脚本在用户会话中静默执行，暗中窃取邮箱登录凭据、会话令牌、双因素认证（2FA）码、浏览器保存的密码，以及近90天的邮箱全部数据。攻击者得手后，通过DNS与HTTPS双信道，将窃取的敏感数据外传至控制服务器。同时还会滥用SOAP API实现持久化访问，持续监控受害账号的一举一动。

本次攻击活动已精准命中乌克兰关键基础设施相关机构，其中乌克兰国家水文局、国家海事机构等政府部门，均被APT28组织列为重点攻击目标。从攻击特征来看，此次行动与过往俄罗斯APT组织针对东欧地区网页邮箱平台的攻击手法高度吻合，尽管目前仍需更多基础设施关联、代码重叠等证据完成最终归因，但结合攻击目标指向、恶意载荷特征及战术打法，安全厂商已以中等置信度，将此次“幽灵邮件行动”归为APT28组织所为。

与APT28（Fancy Bear）、APT29（Cozy Bear）、Winter Vivern（TA473）等俄系APT组织过往针对Zimbra的攻击相比，本次攻击有明显创新——首次采用需用户交互的HTML邮件XSS载荷，结合双信道数据外传、结构化SOAP API滥用等手段，大幅提升了攻击的隐蔽性与破坏力。也为全球所有使用Zimbra协作套件的机构，敲响了网络安全警钟。

参考链接：

https://securityaffairs.com/189673/security/russian-apt-targets-ukraine-via-zimbra-xss-flaw-cve-2025-66376.html

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

一、事件概述

2025年11月以来，研究人员在持续监测中发现了一套名为DarkSword的新型iOS完整漏洞利用攻击链。该漏洞利用攻击链专门针对运行iOS 18.4至18.7版本的设备，利用6个0Day漏洞实现对目标设备的完全控制。攻击最早被发现于2025年11月初，整个攻击流程全部通过JavaScript实现，无需用户点击、下载或任何授权，仅需访问被植入恶意代码的网页即可静默完成入侵，属于典型的无文件攻击技术，隐蔽性极强。该高级漏洞利用攻击手法，与此前公开披露的Coruna iOS利用工具包攻击高度相似。监测还发现，以经济利益为目的的黑客组织与疑似具备国家背景支持的APT攻击组织均在使用此类手法展开攻击活动。这一现象清晰表明，这些高价值0Day漏洞正通过“二手”交易市场快速流转与扩散。

图 1 DarkSword监测及漏洞补丁时间线

二、攻击过程及技术分析

攻击过程从诱导受害者访问恶意网站开始。2025年11月初，研究人员监测到一个伪装成Snapchat主题的恶意网站，该网站针对沙特阿拉伯用户发起攻击。这些网站外观伪装成Snapchat分享页面或本地服务站点，采用JavaScript混淆技术、设备指纹识别和会话存储检查。一旦用户访问，页面便通过隐藏iframe加载后续脚本。攻击首先利用JavaScriptCore内存损坏漏洞（CVE-2025-31277或CVE-2025-43529）结合dyld指针认证绕过漏洞（CVE-2026-20700），在WebContent进程中实现远程代码执行，构建任意读写原语，获取任意代码执行能力。随后，攻击者利用ANGLE图形库的越界内存损坏漏洞（CVE-2025-14174），从WebContent沙箱逃逸至GPU进程，再借助XNU内存管理漏洞（CVE-2025-43510）进一步逃逸至mediaplaybackd守护进程。最后，通过XNU文件系统竞争条件漏洞（CVE-2025-43520）获得内核级读写权限，部署最终载荷。

这些载荷分为GHOSTKNIFE、GHOSTSABER和GHOSTBLADE三种变体，均能实现数据窃取与持久化。

• GHOSTKNIFE：可提取已登录账户、即时消息、浏览器数据、位置历史乃至录音，并支持截屏、麦克风监听和文件下载；

• GHOSTSABER：则专注于设备枚举、文件列表和任意JavaScript命令执行；

• GHOSTBLADE：作为数据挖掘器，针对iMessage、Telegram、WhatsApp等应用采集联系人、照片、加密货币钱包和健康数据。

所有数据通过ECDH/AES加密或HTTP协议外泄至命令与控制服务器，同时载荷会自动清理崩溃日志以规避检测，实现长期潜伏。

随后调查显示，DarkSword并非由单一组织独占，而是迅速在多个不同威胁组织之间扩散使用：

• UNC6748：针对沙特阿拉伯用户的攻击集群，主要通过Snapchat主题网站投递；

• PARS Defense：土耳其某商业监控数据采集厂商，通过高度定制，针对其主要在土耳其和马来西亚地区的客户定向发起攻击；

• UNC6353：疑似俄罗斯背景的间谍组织，此前已使用过Coruna利用工具包，近期将DarkSword纳入其水坑（watering hole）攻击活动中，重点针对乌克兰境内数十家网站实施批量植入。

图 2 DarkSword攻击活动中使用的漏洞

与DarkSword形成鲜明对照的是更早曝光的Coruna漏洞利用攻击链。该攻击手法包含五条完整iOS攻击链和23个漏洞，覆盖iOS 13.0至17.2.1版本，采用了大量非公开缓解绕过技术。其攻击技术的传播路径也极具代表性：最初由一家监视供应商客户使用，随后在2025年夏季发现被UNC6353组织用于针对乌克兰的水坑攻击。最后流转至以财务经济利益为动机的威胁组织UNC6691，用于大规模假冒金融和加密货币网站展开攻击。这种“二手0Day”市场流通现象，与DarkSword的扩散路径高度相似，凸显iOS漏洞交易的活跃度。

Coruna的攻击流程同样以网页交付为核心。攻击者先通过被入侵的乌克兰工业、零售或电商网站投放隐藏iframe，或在全球假冒金融站点（如伪装成空投或交易所的页面）弹出iOS专属提示，诱导用户访问。框架脚本立即进行设备指纹识别（区分真机与模拟器、检测锁定模式），随后加载对应WebKit远程代码执行漏洞（如CVE-2024-23222），紧接指针认证绕过模块，再利用IronLoader或NeuronLoader实现WebContent沙箱逃逸。接着通过内核权限提升链（部分漏洞与“三角行动”相关，如Photon和Gallium）获得最高权限，最终注入名为PlasmaLoader的根级载荷至powerd守护进程。

PlasmaLoader采用模块化设计，可从磁盘镜像中解码二维码、扫描备忘录中的比特币种子词或银行关键词，并针对19款加密钱包App实施钩子窃取。通过AES加密和动态域名生成算法，数据被稳妥外泄至命令与控制服务器。该攻击手法还内置7-ZIP压缩模块和心跳监控机制，确保长期隐蔽运行。

三、事件总结

目前看，这两种利用漏洞的攻击工具均依托未公开漏洞与成熟绕过技术，无需用户主动安装应用、点击可疑链接，仅通过网页访问就能完成入侵，大幅降低攻击门槛，提升攻击的隐蔽性与危害性。苹果公司已针对部分漏洞发布系统更新补丁，但大量用户未及时升级，导致攻击仍具备有效传播条件。网络安全专家提醒iOS用户应尽快更新至最新系统版本，避免访问不明来源、非正规网站，谨慎打开陌生网页链接。同时关闭自动播放网页脚本等非必要功能，降低被静默入侵的风险，防范数据泄露与设备被非法控制的安全隐患。

参考链接：

https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain

https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

一、事件概述

2026年3月8日，全球开源安全研究机构发布紧急预警，披露一起疑似由朝鲜APT组织PolinRider主导的GitHub大规模供应链攻击事件。该组织将混淆JavaScript恶意载荷植入数百个公开代码仓库，载荷为朝鲜组织使用的Beavertail恶意软件最新变种，可窃取凭证、加密资产并部署远程控制木马（RAT）。目前攻击已呈现快速扩散态势，对全球前端与Node.js开发者生态构成严重威胁。

本次攻击被定级为严重（CRITICAL），属于活跃供应链感染事件。截至报告发布，受感染的GitHub公开仓库已从两天前的116个激增至675个，涉及352名独立仓库所有者，其中个人用户305名、组织47家。攻击借助知名开源项目Neutralinojs实现二次扩散，该项目拥有8400星标与495次下载，致使恶意代码进一步传播至大量下游用户与贡献者，充分暴露供应链攻击跨项目、跨组织的扩散威力。

图 1 受感染的GitHub项目数据示意

二、攻击背景及技术分析

经研究人员深度分析溯源确认，PolinRider隶属于朝鲜Lazarus集团，与此前曝光的“Contagious Interview”“TasksJacker”攻击活动存在关联，是具备长期供应链攻击能力的国家级APT组织。此次攻击未依赖窃取GitHub凭证，而是通过恶意VS Code扩展或被篡改npm包作为初始感染载体，在项目安装、构建阶段自动执行并注入恶意代码。

攻击核心手法具备极强隐蔽性：恶意载荷以混淆JavaScript形式，追加在项目合法配置文件末尾，紧跟正常代码之后，常规代码审查极易忽略。恶意程序会自动检索本地项目中的postcss.config.mjs、tailwind.config.js、eslint.config.mjs、next.config.mjs、babel.config.js、App.js等常见配置与入口文件，成功匹配后追加恶意代码；同时释放Windows批处理脚本temp_auto_push.bat，该脚本可提取最近一次Git提交元数据，篡改系统时间伪装提交时间戳，绕过Git提交与推送钩子，静默修改并强制推送提交，完美掩盖代码篡改痕迹。研究人员推测，针对Linux与macOS系统存在同类功能模块，只是未在源码中留下明确工具痕迹。

图 2 感染的恶意NPM包

从感染文件类型来看，postcss.config.mjs以416例占比约62%，成为最主要感染目标，直指PostCSS或Tailwind CSS相关npm包是核心感染入口。攻击者还主动发布tailwind-mainanimation、tailwind-autoanimation两款恶意npm包，沿用相同注入手法，其中前者仍处于上线状态，后者已被npm仓库下架。

技术层面，该恶意载荷采用四层混淆设计：第一层以种子2857687执行字符置换，解混淆后得到基础模块相关数组；第二层以种子2667686继续置换，还原函数名与字符串常量；第三层通过自定义替换密码完成字符映射；第四层对区块链获取的最终载荷进行XOR加密。其命令与控制（C2）架构极具创新性，采用区块链死信解析机制，优先查询波场（TRON）区块链账户交易数据，波场不可用时回退至Aptos链，同时支持币安智能链（BSC），从链上交易提取加密JavaScript载荷，经硬编码密钥XOR解密后通过eval执行。由于区块链数据不可篡改，该C2架构几乎无法被传统手段关停。

三、事件总结

此次攻击再次敲响开源供应链安全警钟，国家级APT组织持续瞄准前端生态与npm依赖链，隐蔽注入、篡改提交历史、区块链C2等组合手段，对开发者、企业与开源社区的防护能力提出更高要求。建议全行业加强依赖审计、构建环境隔离与代码提交校验，及时部署检测规则，防范攻击进一步扩散。

参考链接：

https://opensourcemalware.com/blog/polinrider-attack

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

近日，网络安全公司ESET发布最新研究报告称，疑似俄罗斯知名 APT 组织 APT28（亦被称作Sednit 、Fancy Bear、Forest Blizzard或Sofacy）自2024年4月起重启其高级恶意代码开发团队，推出以BeardShell和Covenant为核心的全新恶意工具集，采用双植入体搭配不同云服务商的策略，对乌克兰军事人员实施长期网络监视。且该组织现阶段使用的攻击武器工具与2010年代的攻击武器恶意代码存在着直接的代码传承关系，其开发团队的技术能力与开发连续性得到证实。

APT28作为拥有超过20年运营历史的老牌APT组织，长期与俄罗斯联邦武装力量总参谋部情报总局（GRU）的26165部队有关联。曾被美国司法部认定为2016年美国民主党全国委员会（DNC）邮件泄露事件的主谋之一，还涉嫌发起针对德国议会、法国TV5Monde电视台、世界反兴奋剂机构（WADA）等机构的网络攻击。该组织在2010年代曾凭借Xagent、Sedreco、Xtunnel等一系列定制化高级恶意植入体展开大量高知名度网络攻击活动。ESET曾在2016年发布白皮书对其武器库进行详细梳理。但自2019年起，该组织的攻击策略出现明显转变。其在实际攻击活动中几乎不再使用高度定制化的恶意代码，转而大量采用基于简易脚本的植入程序实施钓鱼攻击。此后仅在2021年，Trellix披露过该组织使用Graphite恶意软件的少量案例。这一技术策略转变的原因，此前一直未被网络安全领域的研究人员所探明。

ESET的研究将APT28高级植入体开发团队的重新激活追溯至2024年4月乌克兰的一起网络攻击事件。当时乌克兰计算机应急响应小组（CERT-UA）在一台乌克兰政府设备上，发现了名为SlimAgent的键盘记录恶意植入体。后续调查显示，该植入体与APT28在2010年代的主要使用的后门程序Xagent存在直接的代码渊源。研究人员在溯源分析过程中发现，早在2018年，就有与SlimAgent代码高度相似的恶意样本被用于针对欧洲两个国家政府机构的攻击。这些2018年样本与2024年的SlimAgent拥有完全相同的六步数据收集循环，仅在内部数据结构布局上存在细微差异，且SlimAgent新增了日志加密功能，研究人员高度确信二者源自同一代码库。研究人员进一步的代码比对显示，2018年的恶意样本内部名称为RemoteKeyLogger.dll，与Xagent的键盘记录模块名称完全一致。二者在键盘记录逻辑触发条件、API调用方式上高度重合。甚至在日志输出格式上也保持一致，均采用HTML格式生成日志，且将应用程序名、按键记录、窗口名分别以蓝色、红色、绿色标注。以上这些代码特征都成为了将SlimAgent归属到APT28组织的关键证据，证实SlimAgent是Xagent键盘记录模块的独立演进版本，且该模块至少从2018年起就被单独部署使用。

在2024年乌克兰的攻击事件中，SlimAgent并非唯一的恶意植入体。另一款由APT28组织开发的高级植入体BeardShell也一同被部署，这款植入体的出现成为APT28组织高级开发团队重新活跃的核心佐证。BeardShell是一款可在.NET运行环境中执行PowerShell命令的复杂恶意植入程序。该恶意程序利用合法云存储服务Icedrive作为命令与控制（C&C）信道。由于Icedrive并未提供公开的API文档，APT28组织的开发人员通过逆向分析官方客户端，实现了对其请求逻辑的模拟。当Icedrive私有API发生变更导致通信中断时，相关开发人员能在数小时内推出更新版本以恢复通信，展现出极强的开发与持续维护能力。

图 1 2024年SlimAgent（左）和2018年样本（右）的对比分析

研究人员在对BeardShell的技术分析中发现，其在解密Icedrive认证令牌的C++静态初始化程序中，使用了一种特殊的不透明谓词（opaque predicate）插入混淆技术。该技术的核心算术表达式经简化后与APT28组织在2013至2016年使用的网络渗透工具Xtunnel中的混淆表达式完全一致，且二者构建未执行代码块的方式也高度相似。这种罕见的混淆技术此前仅在Xtunnel中被发现，且曾在2016年欧洲黑帽大会上被公开标注为Xtunnel的独有特征。结合BeardShell与SlimAgent的协同部署，研究人员高度确信BeardShell就是APT28组织的定制化攻击武器组件。

自2025年至2026年，APT28组织在针对乌克兰军事人员的长期间谍活动中，持续采用BeardShell与Covenant组件协同部署的攻击模式，其中Covenant组件已逐步发展成为该组织当前攻击武器库中的第三大核心组件，在攻击活动中承担关键作用。Covenant本质为一款开源.NET后渗透测试框架，于2019年2月正式发布，但其官方开发工作已于2021年4月终止，此后未再推出官方更新。值得注意的是，APT28组织自2023年起，对该开源框架进行了大量深度定制化改造，将其从一款通用测试工具改造为专属的主要间谍攻击植入体，而BeardShell则被定位为备用组件，主要用于在Covenant的云基础设施被捣毁或失效时，保障组织对目标设备的持续网络访问，确保间谍攻击活动的连续性。

APT28组织对Covenant的改造还涉及多个核心层面，具体包括以下内容：一是调整植入体标识生成机制，将原本的随机生成模式替换为基于机器特征的确定性生成方法，有效避免了目标设备重启后出现标识不一致的问题，解决了由此导致的运营效率下降隐患；二是优化双阶段执行流程，摒弃原有的固定索引调用方式，通过引入DisplayName属性遍历方法属性的方式寻找执行入口点，以此降低被行为检测机制发现的概率，提升植入体的隐蔽性；三是在2023年初的版本迭代中，尝试将双阶段执行逻辑嵌入单个二进制文件，进一步简化部署流程并增强组件的抗检测能力。

此外，针对原版Covenant仅支持HTTP和SMB两种通信协议的局限性，APT28组织借助该框架原作者开发的C2Bridge项目，成功为其新增了基于云服务的网络通信协议，实现了通信信道的拓展与优化。在云服务载体的选择上，该组织呈现出明显的阶段性特征：2023年采用pCloud云服务，2024年至2025年切换为Koofr云服务商，自2025年7月起则正式改用Filen云存储服务，同时专门开发了FilenMessenger和FilenClient等专属类工具，用于实现与Filen API的高效交互，保障通信的稳定性与隐蔽性。

上述一系列深度改造工作，充分证明APT28组织开发人员已全面掌握了Covenant框架的核心技术细节，具备较强的组件定制与维护能力。该组织巧妙利用这款已被安全社区普遍认为不再活跃的开源框架，成功规避了常规检测，实现了对攻击目标设备的长期隐蔽监视。据研究人员2025年的调查分析发现，部分被入侵设备的持续监视时长已超过6个月；2026年1月，APT28组织再次利用CVE-2026-21509漏洞，通过鱼叉式钓鱼攻击的方式，向目标设备部署Covenant植入体，进一步扩大了攻击覆盖范围。

研究人员指出，APT28组织此次采用BeardShell与Covenant双植入体的攻击策略，并非该组织首次使用此类多植入体方案。早在2021年，该组织就曾同时部署两款恶意工具——一款是以OneDrive作为命令与控制（C&C）信道的Graphite，另一款是基于专用基础设施搭建的PowerShell Empire。从技术层面来看，BeardShell的开发复杂度，以及APT28对Covenant工具的深度改造，都充分证明了其背后APT28组织开发团队仍具备开发高级定制化恶意植入体的能力。与此同时，现阶段该组织所使用工具与2010年代工具之间的代码关联性及技术传承性，也进一步印证了其开发团队的人员连续性。对于2019至2024年间 APT28组织高级开发团队的状态，研究人员提出两种可能性：一是俄罗斯对乌克兰发起特别军事行动后，该组织重启了高级恶意代码的开发工作；二是其开发团队从未停止工作，只是在此期间采取了更为谨慎的开发与部署策略。

参考链接：

https://www.welivesecurity.com/en/eset-research/sednit-reloaded-back-trenches/

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

近日，网络安全研究人员发现了一起利用热门开源AI助手OpenClaw（龙虾）进行的大规模恶意攻击事件。攻击者通过在GitHub上伪造OpenClaw安装仓库，并借助MicrosoftBing AI搜索结果推广，向Windows和macOS用户分发信息窃取器与GhostSocks代理恶意软件。该攻击活动在2026年2月2日至10日期间活跃，目前相关恶意仓库已被下架。

事件背景显示，OpenClaw最初于2025年11月以Clawdbot之名发布，定位为个人开源AI助手，2026年1月底先后更名为Moltbot和OpenClaw。尽管经历多次品牌变更，该项目仍迅速走红，在GitHub上获得数十万星标和数万次分支，成为全球热门开源工具。网络安全专家指出，热门新技术往往会成为攻击者的目标。他们利用用户对新兴工具的追捧心理，通过伪造相关安装程序实施攻击。此类手法已成为信息窃取类攻击的主要初始攻击向量，此前2024年Snowflake客户数据库泄露、2026年罗马尼亚输油管道运营商入侵等事件均与此类攻击相关。

2026年2月9日，研究人员监测到一台终端出现感染迹象，溯源发现用户通过Bing搜索"OpenClaw Windows"时，点击了AI推荐的置顶GitHub仓库链接，下载并运行了伪造的OpenClaw安装程序。进一步调查显示，该恶意仓库伪装极为逼真，不仅创建了名为openclaw-installer和puppeteerrr/dmg等的GitHub账号增强可信度，还在README 文件中伪装成合法的OpenClaw安装指南，提供了详细的跨平台安装说明、系统要求和功能介绍，甚至包含中文界面示例，极易误导普通用户。值得注意的是，该仓库的核心代码实则来源于Cloudflare的moltworker项目，与发布的安装程序毫无关联，属于典型的"挂羊头卖狗肉"式攻击手法。

研究人员深入分析表明，这起攻击针对不同操作系统实施了精准的恶意载荷投递。对于Windows用户，攻击者在仓库发布的OpenClaw_x64.exe安装程序（原始文件名为TradeAI.exe）本质上是恶意载荷载体，该文件在VirusTotal平台的检测率极低，部分样本甚至未被任何安全引擎识别。运行后会释放多个恶意组件，包括通过Telegram和Steam账户获取控制指令的Vidar信息窃取器、基于Rust开发的PureLogs Stealer加载器，以及核心恶意软件GhostSocks。其中，新型Stealth Packer打包器具备内存注入、防火墙规则修改、隐藏定时任务创建等功能，还会通过检测鼠标移动判断是否处于虚拟环境，大幅提升了恶意软件的隐蔽性。GhostSocks作为曾被BlackBasta勒索软件组织使用的代理工具，能将受感染设备变为代理服务器，攻击者可借助受害者网络流量绕过多因素认证（MFA）和反欺诈检测，实现对账户的非法访问。

针对macOS用户，伪造安装程序通过bash命令引导用户从puppeteerrr组织的dmg仓库下载并运行OpenClawBot恶意程序。该程序属于Atomic MacOS Stealer（AMOS）变种，运行后会终止终端进程，诱导用户输入管理员密码获取系统权限。随后遍历文档、下载、桌面等受保护目录，收集PDF、文档、表格、日志等多种格式文件，并通过ditto工具打包（而非常见的zip格式以规避检测），最终将窃取的数据上传至socifiapp.com域名的恶意服务器上。不过幸运的是，苹果最新版本的XProtect.yara规则（版本5329）已新增对该恶意程序的检测规则MACOS.SOMA.CLBIFEA，可有效阻断其运行。

研究人员调查还发现，攻击者使用的GitHub账户存在明显异常特征：相关账户均注册于2025年9月，长期无公开活动，直至2026年2月才集中创建恶意仓库；部分账户盗用知名X平台用户头像，虚构项目合作信息，试图提升可信度。此外，研究人员还识别出另外三个关联恶意组织及仓库，分别伪装成SimpleClaw和ComfyUI的自动安装程序，进一步证实这是一场有组织的大规模攻击活动。

研究人员提醒大家，即便是GitHub等可信平台上的软件，用户也需保持警惕，切勿盲目信任搜索结果推荐的安装程序。对于OpenClaw等开源工具，应通过官方认证仓库下载，并仔细核实项目背景、开发者信息和代码完整性；同时需保持操作系统和安全软件更新，开启多因素认证，避免因账户被盗导致进一步损失。随着AI工具的普及，此类利用热门技术进行的钓鱼攻击可能持续增多，用户和企业需加强安全意识，构建多层次防御体系。

参考链接：

https://www.huntress.com/blog/openclaw-github-ghostsocks-infostealer

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

Hydra Saiga（亦被称作Yorotrooper、ShadowSilk、Silent Lynx）是疑似由哈萨克斯坦国家支持的威胁组织，至少自2021年起便开展网络攻击活动，截至2025年末仍保持活跃，成为中亚、欧洲、中东等地区关键基础设施及各类机构的重大且顽固的网络威胁，其攻击行动还延伸至南美、东南亚等全球多地。该组织的攻击目标与哈萨克斯坦的战略利益高度契合，尤其针对中亚地区的水利、能源等关键基础设施，同时也覆盖政府、制造、医疗、法律、航空、教育等多个行业，经分析确认其已攻陷全球8个国家的至少34家机构，对全球超200个目标实施了侦察活动，受影响区域涵盖欧洲、独联体、中东非、南亚、南美等多个板块，其中独联体区域成为其水利基础设施攻击的专属目标，中东非区域则被其针对性攻击航空领域。

研究人员通过深度且详细的技术分析将一系列复杂攻击活动归属于该组织，相关IOCs与TTPs已纳入相关威胁情报源。从溯源线索来看，该组织呈现出UTC+5的工作时间规律，且在哈萨克斯坦全国性节假日期间停止活动，这一取证特征将其运营与哈萨克斯坦紧密关联，同时其攻击目标的地缘分布也与哈萨克斯坦的地缘政治诉求高度匹配，进一步佐证了其国家支持的背景。此外，该组织与此前被卡巴斯基追踪的Tomiris威胁组织存在高度重叠，二者不仅共享攻击目标群体，使用近乎一致的以Telegram为命令与控制（C2）通道的工具。Hydra Saiga组织的操作人员还直接登录专属Tomiris的JLORAT C2基础设施，由此判断二者均服务于哈萨克斯坦的国家利益。

Hydra Saiga组织的攻击体系具备鲜明特征，其核心标志性特点是利用Telegram Bot API实现C2通信。该方式让其植入程序的搭建与运营更为便捷，同时其工具包处于持续进化中。既使用Havoc、resocks等商用植入程序，也自研基于Rust、Go、Python、PowerShell开发的定制化植入程序。还大量运用“就地取材”（Living off the Land）技术，甚至在2025年7月开发出新的浏览器登录数据提取工具，以绕过Chrome新推出的应用绑定加密技术。同时还尝试将Discord作为C2通道，展现出较强的防御规避适配能力。不过该组织操作人员存在严重的操作安全（OPSEC）失误，曾将自研植入程序感染到自身的跳板机，导致浏览器历史记录、搜索查询内容及内部基础设施细节泄露，为安全研究人员的调查提供了关键线索。

在攻击流程上，该组织的入侵向量主要为钓鱼攻击，先后发起两轮典型攻击行动：首轮攻击可追溯至2024年8月，2024年12月被首次发现，以伪装成土库曼斯坦常驻联合国代表致联合国秘书长的信件的可执行文件为诱饵。该文件作为PowerShell后门加载器，通过Base64编码执行恶意脚本，绕过PowerShell执行策略并向Telegram API发起DNS请求。部分恶意文件还被封装为ISO或RAR格式，通过被盗邮箱发送钓鱼邮件；第二轮攻击则以钓鱼邮件针对阿曼皇家警察等目标，邮件伪装成尼罗河研究所研究人员发送。附带受密码保护的RAR文件，其中的Word文档包含恶意宏，打开后会从指定IP下载并执行PowerShell后门脚本，该IP同时还托管有Meterpreter可执行文件。

在提权后的攻击活动中，该组织采取高度人工化的“手动键盘操作”模式，全程依赖Windows原生工具按步骤执行入侵流程，涵盖持久化、凭证获取、横向移动、防御规避、数据收集、工具传输、数据泄露等全环节。持久化方面，主要通过创建名为WinUpdate的计划任务、篡改注册表项实现，确保恶意程序随系统启动运行；凭证获取环节手段多样，既提取受害者设备中的密码文件，又使用FakeLogonScreen工具伪造Windows登录界面窃取密码，还导出SAM和SECURITY注册表配置单元、启用WDigest以明文存储凭证、转储LSASS内存来提取凭证哈希；横向移动时，先通过nltest工具发现域控制器地址，再利用WMI或PsExec工具下载并执行反向socks5代理客户端，实现内网横向渗透；防御规避上，通过netsh命令禁用Microsoft Defender功能及Windows防火墙，为反向代理客户端与C2服务器的连接扫清障碍；数据收集阶段，利用打印屏幕键截取受害设备屏幕，通过RAR工具将窃取的文档和文件打包归档；工具传输环节，借助curl、wget、bitsadmin及PowerShell等工具从远程地址下载后续攻击工具，这些工具多封装在密码保护的RAR包中，包含resocks反向代理客户端、chisel隧道软件及定制化浏览器数据收集工具；数据泄露则主要通过curl以POST方式将加密压缩包发送至C2服务器，同时开发了PyInstaller和Golang版本的信息窃取工具，前者解密并提取Chrome登录数据，后者可收集Edge、Firefox、Yandex、Opera、Chrome等多款浏览器的浏览历史、保存的登录信息和Cookie，并将数据整理为CSV文件归档泄露。

该组织的前期侦察工作同样体系化，先利用Censys和Shodan扫描暴露的服务器并筛选目标，再通过Acunetix网络应用安全扫描器挖掘目标漏洞。还会搜索设备默认密码、使用暴力破解工具尝试获取访问权限；同时，其会在被盗邮箱中搜索与VPN配置相关的邮件、下载VPN搭建工具以直接访问目标网络。还利用被盗的政府邮箱向其他政府部门或个人发送钓鱼邮件，精准触达最终攻击目标。2025年3月该组织还开始尝试使用Havoc C2框架补充其工具库。在基础设施方面，该组织偏好使用支持加密货币匿名支付的服务商，由BitLaunch和PSB Hosting托管C2服务器，通过QHoster注册域名。同时还会攻陷合法网站，获取网站托管服务商凭证后，将恶意RAR文件上传至这些正常网站，利用合法域名作为恶意文件的分发节点。

值得关注的是，该组织存在两大针对性极强的专项攻击行动：一是2024年9月至2025年3月的水利基础设施攻击行动，重点针对中亚锡尔河和阿姆河两大流域的关键水利设施、研究机构及政府水利部门。攻陷了吉尔吉斯斯坦的水电厂运营商与水资源服务机构、乌兹别克斯坦的地区行政部门和水利部、塔吉克斯坦的能源和水利部，还攻击了俄罗斯两家水利公用事业公司，这与哈萨克斯坦依赖锡尔河发展南部农业、修复北咸海的地缘利益高度相关；二是2024年4月29日的天然气与SCADA系统攻击行动。该组织尝试访问阿根廷、巴西、印度、荷兰、捷克等多国的暴露SCADA端点和制造设备厂商。虽此次尝试未成功，但次日便针对与哈萨克斯坦接壤的俄罗斯某地区的天然气分配系统发起访问尝试。俄罗斯作为哈萨克斯坦北部地区的主要天然气供应国，双方正深化管道项目合作，推测该组织是在测试SCADA端点攻击能力，为针对俄罗斯的实际入侵做准备。

针对Hydra Saiga组织的网络攻击防御，研究人员核心建议首先是阻断与Telegram Bot API的域名api.telegram.org的所有通信，这是其C2通信的核心通道；其次，该组织的提权后活动高度依赖原生工具，且反复使用特定自治系统号（ASNs）的IP地址，监控这些服务商的异常IP连接可及时发现受感染设备；此外，邮件服务器是该组织的常见最终攻击目标，监控邮件服务器的登录活动及外发邮件量异常增长，能够快速识别被盗用的账号，从而及时采取防御措施。总体而言，Hydra Saiga组织在多次攻击行动被披露后仍能保持活跃，展现出极强的韧性，且随着全球资源短缺问题加剧，其大概率会持续迭代定制化工具、尝试新的商用恶意软件。作为成熟的、受国家支持的APT威胁组织，其具备适应性强、持久性高的运营特点，中亚等受影响区域的防御者需将其视为长期威胁，通过情报驱动的持续防御策略应对其攻击。

参考链接：

https://www.vmray.com/hydra-saiga-covert-espionage-and-infiltration-of-critical-utilities/

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

跳转微信打开

近日，一家深度参与区域发展与乌克兰重建项目的欧洲金融机构，成为了一场高度定向网络攻击的目标。网络安全公司BlueVoyant的安全运营中心识别并响应了此次攻击事件，并将其归因于一个与俄罗斯有关联的、名为“Mercenary Akula”的威胁组织（也称为DaVinci Group和Fire Cells Group）。该组织被乌克兰CERT追踪为UAC-0050，兼具经济驱动的雇佣兵性质，同时涉及网络间谍活动和心理信息战。此次攻击的特殊之处在于，其目标并非以往主要针对的乌克兰境内实体，而是一家支持乌克兰重建的西欧金融机构，这暗示着该组织的攻击范围可能正在向乌克兰的境外支持者扩展。被选定的目标是该机构一名高级法律与政策顾问，其工作涉及采购领域，能够接触到机构的内部运作和财务机制，这直接反映出攻击者获取情报或实施金融盗窃的意图。

图 1Mercenary Akula组织钓鱼邮件示例

研究人员通过详细的技术分析发现，攻击始于一次精心构造的鱼叉式网络钓鱼邮件。这封以“来自切尔尼戈夫行政法院关于案件81435126的请求”为主题的邮件，发件地址看似来自乌克兰官方域名，实则经过精心伪造。邮件诱导收件人从一个名为Pixeldrain的公共文件分享服务下载一个压缩包文件，这是Mercenary Akula组织惯用的伎俩，旨在利用公共存储服务绕过基于声誉的安全检测。该压缩包名为“电子法院请求 №837744-8-2026 від 09.02.2026 — 865.zip”，内部嵌套了多层混淆结构：首先是一个ZIP压缩包，解压后得到一个RAR格式文件，其中还包含一个受密码保护的7-Zip文件，而密码则放在一个名为“Код.txt”（即“代码.txt”）的文本文件中。这种多阶段解压流程是一种已知的规避技术，旨在挫败自动化安全扫描，并通过复杂的操作步骤让用户对可疑活动逐渐习以为常。

图 2 Код.txt文件里的密码提示

最终解压出的有效载荷是一个名为“Електронний судовий запит №837744-8-2026 від 09.02.2026.pdf.exe”的可执行文件，它利用双层扩展名技巧伪装成一个PDF文档。一旦用户执行此文件，它就会部署一个名为Remote Manipulator System (RMS)的MSI安装程序。RMS是由俄罗斯公司TektonIT开发的一款合法的远程管理工具。Mercenary Akula组织有长期滥用RMS、LiteManager等商业远程访问软件以及Remcos、QuasarRAT等远程访问木马的历史。这种“离地生存”的攻击手法使得攻击者能够获得持久且隐蔽的访问权限，同时常常能规避传统防病毒软件的检测。技术分析显示，该MSI安装程序中嵌入了预配置参数，例如指向RMS开发商域名的伪URL和一系列用于静默安装的指令，如安装路径、防火墙集成、自动启动等设置，以及用于远程连接的序列标识符。这表明攻击者意图以最少用户交互的方式，快速部署一个预先配置好的远程访问后门。

进一步的调研分析揭示，此次“法院请求”只是该组织一场持续多年、运用多种定制化社会工程学诱饵的广泛行动中的最新案例。同期，该攻击者还同时使用了冒充乌克兰司法机构以及“M.E.Doc”会计软件相关通知的诱饵。M.E.Doc是乌克兰广泛使用的会计软件，历史上曾被用作重大攻击的初始入口。以M.E.Doc为主题的诱饵表明，攻击者对目标机构使用的业务软件有具体了解，并试图直接瞄准财务和会计人员。这直接契合了Mercenary Akula以金融盗窃为首要目标的特点，正如CERT-UA此前警告的，通过此类诱饵入侵的会计人员，其系统可能在数小时内就会被用于发起欺诈性的银行转账。

图 3DaVinci Group/Agency DaVinci组织标志

研究人员技术分析关键发现表明，此次攻击事件并非孤立案例，而是Mercenary Akula组织成熟、持久且高度适应性的运作模式的体现。结合历史信息来看，该组织以乌克兰为中心，专注于高价值财务和情报目标。乌克兰国家计算机应急响应小组（CERT-UA）的历史评估将该组织定性为与俄罗斯执法部门相关联的雇佣兵实体，其行动具备初始访问中间商般的速度与精准度。网络安全机构BushidoToken补充的开源情报分析进一步确认，该组织以“DaVinci Group/Agency DaVinci”为对外代号，同样指向其与俄罗斯执法部门的关联及初始访问中间商的角色定位。与此同时，CERT-UA将该攻击主体实施的心理战与信息作战行动归属于Fire Cells Group虚拟身份，该实体曾针对乌克兰驻外使馆及媒体机构发起炸弹威胁攻击活动，这一研判也得到Recorded Future相关报告的交叉印证。另外，此次针对欧洲金融机构的攻击，完全符合该组织反复出现的攻击特征：利用高度可信且本地化的诱饵，通过公共云服务分发多层混淆的恶意载荷，最终部署合法远程管理工具以实现双重目的——快速实施金融盗窃或进行长期网络间谍活动。这一事件不仅证实了Mercenary Akula组织是对在乌克兰运营的组织的持续威胁，更向所有支持乌克兰的境外机构发出了明确信号，即它们也可能成为该组织下一阶段扩张攻击的目标。

参考链接：

https://www.bluevoyant.com/blog/mercenary-akula-hits-financial-institution

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

阅读原文

跳转微信打开

近日，网络安全机构发现疑似俄罗斯背景的网络威胁组织APT28（又称Fancy Bear或UAC-0001）发起了一场针对多国军事和政府机构的网络攻击活动，该组织在微软Office漏洞CVE-2026-21509公开披露仅24小时内便迅速利用其发起攻击。这次攻击活动主要聚焦于波兰、斯洛文尼亚、土耳其、希腊、阿联酋和乌克兰等国的国防部、运输物流运营商以及外交机构，旨在窃取敏感情报数据。

本次攻击活动始于2026年1月28日至30日的72小时密集鱼叉式网络钓鱼行动，APT28组织通过被入侵的政府账户（如罗马尼亚、玻利维亚和乌克兰的邮箱）发送至少29封定制化电子邮件。这些邮件以地缘政治敏感话题为诱饵，包括武器走私警报、军事训练邀请、外交磋商以及气象紧急通报，诱导收件人打开附件。附件多为RTF或DOC格式的文件，如名为“BULLETEN_H.doc”的文档，一旦打开即触发CVE-2026-21509漏洞。该漏洞允许攻击者绕过微软Office的OLE安全限制，嵌入Shell.Explorer ActiveX控件，无需宏或用户交互即可自动执行代码，通过WebDAV协议从攻击者控制的基础设施下载外部木马程序。

图 1 APT28组织采用的多阶段感染链

技术分析显示，这次攻击采用多阶段感染链。初始漏洞利用后，系统会下载恶意LNK快捷方式与第一阶段加载器SimpleLoader，为后续多阶段感染奠定基础。SimpleLoader采用三种不同的XOR加密方案保障隐蔽性：单字节XOR（密钥0x43）用于互斥体生成；交替字节XOR结合空填充处理路径字符串；76字符轮换XOR密钥则用于解密嵌入式载荷。在BeardShell感染路径中，加载器会创建单实例互斥体并执行投放程序，向磁盘写入三个关键文件：主载荷EhStoreShell.dll（存放于% PROGRAMDATA%\USOPublic\Data\User\目录）、计划任务配置XML（用户临时目录），以及伪装成OneDrive安装文件的加密载荷PNG图像（SplashScreen.png）。为实现持久化，攻击者通过劫持CLSID为{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}的COM对象，并创建名为“OneDriveHealth”的计划任务——该任务在注册后60秒触发，执行终止并重启explorer.exe的命令以加载劫持的COM对象，随后自行删除以清除痕迹，确保EhStoreShell.dll成功注入explorer.exe进程并与[filen.io] 建立C2通信。

BeardShell变体（EhStoreShell.dll）内置多重反分析机制，包括3秒睡眠并验证执行时间（阈值≥2.9秒）以检测沙箱环境的时间加速，以及验证进程名称确保仅在explorer.exe中运行。其通过单字节XOR（密钥0x43）解密嵌入式字符串，并通过基于哈希值的查找解析10个Windows API。在完成环境验证后，BeardShell会解析此前投放的SplashScreen.png，该恶意软件内置完整的PNG解码器（含10个专用函数，涵盖IHDR头解析、PLTE调色板提取、IDAT块zlib解压、霍夫曼表构建及Adam7隔行扫描等功能），最终从图像数据块中提取出.NET 加载器shellcode。提取的shellcode作为无文件.NET程序集引导机制，通过遍历进程环境块（PEB）动态解析API以绕过导入地址表（IAT），加载MSCOREE.DLL与OLEAUT32.DLL，并调用CLRCreateInstance在被劫持的explorer.exe进程中初始化.NET运行时，实现完全无文件执行。

在后续攻击阶段，感染链条会推进至经过修改的.NET加载器（基于Covenant框架的“Grunt”后门），该加载器通过2048位RSA密钥对与攻击者的C2基础设施完成加密握手：攻击者监控[filen.io]上的指定基础文件夹UUID，检测到新受害者注册后，生成32字节随机AES-256会话密钥，用受害者的RSA公钥加密后上传至专属子文件夹；受害者接收后用自身私钥解密会话密钥，通过挑战-响应交换验证握手合法性，随后下载加密的Covenant Grunt程序集，利用会话密钥解密并通过Assembly.Load ()结合反射调用属性实现执行。改造后的Covenant Grunt植入程序深度整合[filen.io]云服务，包含四大核心组件：FilenApi（支持24个子域名的[filen.io]网关、接收与发送端点完整REST API客户端）、FilenMessenger（实现IMessenger接口，用于轮询和上传加密任务文件）、FilenEncryptor（提供AES-256-GCM加密，含每文件随机数与HMAC-SHA256完整性验证）、GruntExecutor（任务执行引擎，支持.NET程序集加载、PowerShell执行及匿名管道输出流），所有执行结果经AES-256-CBC加密与HMAC-SHA256验证后上传至指定文件夹，供攻击者获取分析。

除BeardShell/Covenant攻击路径外，APT28组织还针对部分目标部署了专注于长期邮件情报收集的Outlook后门“NotDoor”。在SimpleLoader执行后，会通过修改注册表彻底禁用Outlook宏安全控制：将HKCU\Software\Microsoft\Office\16.0\Outlook\Security\Level设为1（信任所有宏且无警告），将LoadMacroProviderOnBoot设为1（强制启动时自动初始化宏提供程序），构建可跨应用重启的持久执行环境。随后，加载器将32768字节的VbaProject.OTM写入%APPDATA%\Microsoft\Outlook目录。该VBA宏通过双重自动触发机制实现邮件监控：Application_MAPILogonComplete在Outlook登录时执行，Application_NewMailEx在新邮件到达时实时触发转发。其数据收集逻辑会系统遍历收件箱、草稿箱、垃圾邮件、RSS订阅四大文件夹，每次执行处理每个文件夹最多10封邮件，对未处理邮件调用Outlook对象模型保存完整消息（含头信息、正文、附件、元数据）为%TEMP%\temp_email.msg，创建新邮件附加该文件后通过标准SMTP发送至两个攻击者控制的邮箱。同时为已处理邮件添加“AlreadyForwarded”自定义属性避免重复发送，并设置DeleteAfterSubmit = True自动清除已发送邮件，该机制对存储敏感政策文档、机密电报的外交与政府邮件系统极具威胁。

在攻击基础设施与战术层面，APT28组织此次的显著特征是对合法云服务的深度滥用。除核心C2通道[filen.io]外，其历史攻击中还曾使用Koofr、Icedrive等云平台，体现出灵活切换云服务的能力。初始攻击阶段依赖已攻陷或攻击者注册的Web服务器托管恶意文档与LNK文件，部分域名甚至在攻击当天注册，凸显其运营的敏捷性。攻击钓鱼攻击策略上，APT28组织在2026年1月28日至30日的72小时内，向9个东欧国家发送至少29封不同钓鱼邮件，邮件源头为罗马尼亚、玻利维亚、乌克兰等国的已攻陷政府邮箱。攻击目标覆盖国防部（40%）、交通物流运营商（35%）、外交机构（25%），并围绕四大地缘政治相关主题设计文件诱饵：45%为冒充中东欧边境安全机构的“跨国武器走私预警”（伪造“叙利亚经乌克兰转运200枚RPG-7火箭弹”信息）、25%为仿冒区域国防大学的“军事培训项目邀请”（含专业签名与限时报名节点）、20%为伪装高层议会请求的“欧盟/北约外交磋商文件”（涉及乌克兰冲突政策立场征询）、10%为滥用已攻陷国家气象局基础设施的“气象紧急公报”（伪造洪水预警）。所有钓鱼邮件附件均为利用CVE-2026-21509的RTF/DOC文件（如BULLETEN_H.doc、Courses.doc）。诱饵内容高度模仿真实政府公文风格，包含官方信头、双语格式（罗马尼亚语/英语、乌克兰语/英语）、彩色风险地图及部委印章，部分内容疑似基于此前窃取的真实文档制作，旨在利用机构信任规避用户警惕。

目前，研究人员已确认此次攻击涉及至少两个[filen.io]账号。攻击者在攻陷系统后会执行ARP扫描、系统信息查询等侦察操作，并通过注入svchost.exe实现持久化，为横向移动做准备。乌克兰计算机应急响应小组（CERT-UA）已正式将2026年1月的相关攻击归因于UAC-0001（即APT28组织）。技术溯源显示BeardShell变体的10个恶意函数与Sekoia此前报告的参考恶意软件高度匹配，且COM劫持、Outlook宏后门等战术与APT28近期针对欧洲组织的攻击模式完全一致，结合其对乌克兰及北约盟友的长期攻击偏好，进一步印证了该组织的参与。

此次APT28组织的攻击行动再次表明，国家背景黑客组织正以“漏洞武器化加速化”“C2基础设施合法化”“攻击链条无文件化”为趋势，不断升级攻击手段。对于政府、军事及关键基础设施运营方而言，构建覆盖“漏洞管理-威胁检测-应急响应”的纵深防御体系，已成为应对高级持续性威胁的核心需求。

参考链接：

https://strikeready.com/blog/apt28s-campaign-leveraging-cve%E2%80%912026%E2%80%9121509-and-cloud-c2-infrastructure/

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

阅读原文

跳转微信打开

近日，网络安全研究机构发现了朝鲜背景的APT组织KONNI在2025年底至2026年初开展的一项针对软件开发者的网络攻击活动。该组织此次利用人工智能技术生成PowerShell后门程序，瞄准亚太地区的区块链和加密货币项目开发者，意图窃取敏感基础设施、API凭证以及加密资产。这一转变标志着KONNI组织从传统地缘政治主题钓鱼转向更具针对性的技术领域攻击，扩展了其受害者范围。

KONNI组织自2014年以来一直活跃，主要针对韩国境内的外交部门、国际关系机构、非政府组织、学术界和政府部门等，通过鱼叉式网络钓鱼攻击投放武器化文档。这些文档通常以地缘政治议题为诱饵，诱导受害者开启恶意文件。然而，在本次攻击活动中，KONNI组织将目标转向了日本、澳大利亚和印度等亚太地区的软件开发者和工程团队。攻击者精心设计了伪装成合法项目文档的钓鱼诱饵，这些文档涵盖了区块链技术的架构、技术栈、时间表、预算和里程碑等细节，旨在吸引开发者点击并感染系统。

从攻击的感染链来看，整个过程设计精密且具有很强的隐蔽性。攻击始于一个托管在Discord平台的链接，该链接会通过未知载体下载一个ZIP压缩包，压缩包内包含PDF诱饵文档和Windows快捷方式（LNK文件）。当受害者点击LNK文件后，会触发嵌入式的PowerShell加载器，该加载器会通过单字节密钥异或（XOR）解密技术，从自身提取出另一个DOCX诱饵文档和CAB压缩包，并将这两个文件写入磁盘。随后，系统会自动打开DOCX诱饵文档以分散受害者注意力，同时解压CAB压缩包——其中包含PowerShell后门、两个批处理文件以及一个用于绕过用户账户控制（UAC）的可执行文件，紧接着第一个批处理文件会被执行。

图 1 KONNI组织攻击感染链

第一个批处理文件的核心作用是搭建恶意组件的“藏身之处”与持久化机制。它会在C:\ProgramData目录下创建名为“VljE”的新文件夹，将PowerShell后门文件（zVJs.ps1）和另一个批处理文件（mKIftBn.bat）移入其中。为实现长期潜伏，该脚本会创建一个伪装成“OneDrive启动任务”的计划任务，设置为每小时以当前用户权限运行。这个计划任务执行的PowerShell命令会读取加密的后门文件，用单字节密钥“Q”进行解密后，通过“Invoke-Expression”（iex）命令在内存中直接执行恶意代码。随后，脚本会尝试启动并不存在的“OneDriveUpdater.exe”（这是早期版本攻击残留的痕迹），最后自行删除以消除攻击痕迹，降低被分析发现的概率。

此次攻击中最引人关注的，是KONNI组织采用的AI生成PowerShell后门。该后门有着异于传统恶意软件的“精致结构”：开头包含清晰的人类可读文档，详细说明脚本功能——“确保基于UUID的项目每次仅运行一个实例，每13分钟通过HTTP GET请求发送系统信息”，这种详尽的前置文档在普通恶意软件或高级持续性威胁（APT）组织编写的PowerShell植入程序中极为罕见。同时，脚本按照现代软件工程规范，被划分为多个功能明确的逻辑模块，分别负责不同任务。更关键的证据是代码中嵌入的注释“# <– your permanent project UUID”，这种提示用户自定义占位符的表述是大语言模型（LLM）生成代码的典型特征，常见于AI生成的脚本与教程中。这些特征共同证实，该PowerShell后门极可能由AI系统生成，标志着KONNI组织在恶意工具开发模式上的重要转变。

从技术分析角度看，这个PowerShell后门具备完善的反分析与持久化能力。执行初期，它会进行一系列反分析与沙箱规避检查：验证主机硬件是否满足最低配置要求，扫描系统中是否存在IDA（反汇编工具）、Wireshark（抓包工具）、Procmon（进程监控工具）等分析软件；同时，它还会监控鼠标活动，要求达到一定点击次数才继续执行，若未满足这些条件则立即终止运行。通过检查后，后门会创建名为“Global\SysInfoProject_”的全局互斥体，确保同一时间仅运行一个实例（所有分析样本中使用的项目UUID均为 “f7d77a6d-36e0-4fcb-bae7-5f4b3b723f61”）。随后，它会生成用于命令与控制（C2）跟踪的主机唯一标识：通过WMI查询主板序列号与系统UUID，将两者拼接后用SHA-256哈希算法处理，截取前16个字符作为基础标识，再附加硬编码的专属字符串，以便攻击者区分不同攻击活动中的受害者。

在权限处理上，后门会根据当前运行权限采取不同策略：若为普通用户权限，会利用“fodhelper UAC绕过” 技术提升权限——通过修改HKCU\Software\Classes下的注册表项，将“ms-settings”协议的解析路径重定向到攻击者控制的程序（在HKCU\Software\Classes.thm\Shell\Open\command下创建自定义处理程序），当系统启动自动提权的“fodhelper.exe”时，会触发该恶意程序执行，且不会弹出UAC提示。此次攻击中，用于提权的程序是32位的“rKXujm.exe”，其唯一功能是将注册表项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin的值修改为 0，彻底禁用管理员账户的UAC提示，完成提权后便进入管理员权限处理流程；若当前已是管理员权限，后门会清理此前用于UAC绕过的程序，为C:\ProgramData目录添加Windows Defender排除项，再执行第二个批处理文件，用新的高权限计划任务替换原有任务，确保在高权限环境下持久运行；若获得系统（SYSTEM）权限，后门会部署合法的远程监控与管理（RMM）工具“SimpleHelp”，为攻击者提供长期交互式访问能力，远超普通PowerShell后门的控制范围。

在C2通信环节，后门同样设计了严格的身份验证机制。为获取C2服务器要求的“__test”会话Cookie，它会模拟执行JavaScript挑战——下载C2服务器使用的AES加密实现代码，重构嵌入式JavaScript逻辑，解密服务器提供的密文并提取有效令牌，以此绕过服务器基于客户端AES的反爬虫与非浏览器流量过滤机制。完成身份验证后，后门会定期向基于PHP的C2端点发送主机元数据，包括生成的主机标识、权限级别、本地 IPv4地址与用户名；若服务器返回PowerShell代码，后门会将其转换为脚本块，通过后台作业异步执行。整个命令轮询过程采用随机间隔，且运行期间持续进行黑名单检查，一旦发现分析工具便立即终止执行。

研究人员还发现了该攻击链的早期版本（2025年10月上传至VirusTotal的样本）。早期版本的初始载荷是经过混淆的PowerShell脚本（同样采用基于算术运算的字符编码混淆），会从攻击者控制的服务器下载多个辅助组件，包括批处理文件、VBScript启动器、PowerShell后门以及两个可执行文件（用于UAC绕过的“uc.exe”和“OneDriveUpdater.exe”）。其中“OneDriveUpdater.exe”是64位程序，核心功能是下载并执行“Simple Help”客户端，为攻击者提供交互式远程访问，这一组件在后期攻击样本中虽被提及，但未实际出现。早期版本的执行流程与后期类似但更分散：由“start.vbs”静默启动“simi.bat”，“simi.bat”负责在C:\ProgramData目录下创建子文件夹、整理恶意组件并执行“OneDriveUpdater.exe”，再由“schedule1.bat”创建计划任务实现持久化，将功能分散到多个脚本中，而后期版本则倾向于将功能整合到单个批处理文件，提高攻击效率与隐蔽性。

图 2 基于特权的执行流程

从攻击归因来看，多项证据表明此次活动确为KONNI组织所为。首先，攻击中使用的武器化LNK快捷方式，其结构与执行逻辑和此前报告中KONNI组织使用的LNK启动器高度吻合，甚至诱饵文件名（如“Avinash_CV.lnk”）与历史攻击artifact完全一致；其次，整个攻击链的模块化、多阶段设计（基于VBScript和多个批处理文件，每个组件仅负责单一任务，如staging、持久化、执行与组件交接），与已记录的KONNI组织操作模式完全匹配；最后，早期攻击版本中复用的脚本名称与代码模式（如“start.vbs”启动“simi.bat”），在KONNI组织历史攻击活动中多次出现，进一步印证了攻击归因的准确性。

参考链接：

https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/?_gl=1*f083p8*_gcl_au*NTM4MTU1ODUzLjE3NjgyNjQ1NTg.

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

阅读原文

跳转微信打开

朝鲜背景APT组织Konni利用谷歌广告生态发起高阶鱼叉式网络钓鱼攻击活动

近日，网络安全研究机构发布了一份深度分析报告，揭露了由Konni APT组织发起的“波塞冬行动”（Operation Poseidon）。这一行动通过精心设计的社会工程学手法，伪装成韩国人权组织和金融机构，向特定目标受害者发起高度针对性的鱼叉式网络钓鱼攻击。攻击者巧妙利用Google Ads的重定向机制，绕过电子邮件安全过滤器和用户的安全检测中心，同时借助安全薄弱的WordPress网站作为恶意软件分发和指挥控制（C2）基础设施。该攻击活动被他们内部定义为代号“Poseidon”，涉及通过伪装成PDF文件的AutoIt脚本加载EndRAT恶意软件。

事件背景源于Konni组织不断演进的战术、技术和程序（TTPs）。攻击基础设施依赖于被入侵的WordPress站点，这些站点易于快速更换域名，从而规避基于URL或域名的封堵措施。攻击活动通常从鱼叉式钓鱼邮件开始，这些邮件伪装成金融机构的官方通知，诱导用户下载伪装成金融文档的压缩文件。一旦用户执行文件，攻击者便利用LNK快捷方式文件的结构特性，隐藏真实扩展名和图标，悄无声息地运行AutoIt脚本，并在内存中加载EndRAT恶意软件。脚本中的内部构建路径如“D:\3_Attack Weapon\Autoit\Build__Poseidon - Attack\client3.3.14.a3x”进一步证实了“Poseidon”作为攻击活动内部名称的证据。这一攻击活动结合了基础设施隐藏、社会工程学诱导和脚本化执行，展示了Konni组织在针对韩国目标时的持续创新。

在攻击技术分析方面，初始访问阶段主要通过邮件中的URL链接实现，这些URL指向包含LNK恶意软件的压缩文件。攻击者滥用Google广告重定向机制，例如通过ad.doubleclick[.]net或mkt.naver[.]com的参数，使恶意链接伪装成合法广告流量，从而隐藏最终指向被入侵WordPress站点的真实目的地。这种多跳重定向有效绕过了安全检测。针对金融机构的伪装邮件往往以“索要资料提交请求”或“汇款及交易记录确认”等主题出现，文件名引用真实机构名称以降低用户疑虑。根据2025年12月的金融安全研究所报告，此类LNK恶意软件与Konni组织的TTPs高度一致，包括结构差异和执行流程。

图 1 恶意命令执行界面

实际攻击案例显示，从2025年6月起，邮件中直接包含URL链接；7月后则转向通过Naver和Google广告的多跳重定向。邮件内容采用隐藏文本（display:none）填充大量无意义英文句子，用于干扰基于签名和AI的钓鱼检测系统。同时，嵌入1x1像素的网络信标（[image]标签）连接外部服务器如kppe[.]pl，通过Base64参数跟踪邮件打开情况。攻击者还利用PHPMailer库伪造发件人头部，增强邮件的合法性。在非金融主题中，攻击者伪装成朝鲜人权非政府组织，附件伪装成PDF或HWP文件，实际重定向到越南WordPress服务器上的恶意URL。压缩文件内含LNK下载AutoIt.exe和伪装脚本，C2服务器如jlrandsons.co[.]uk与Konni组织的已知基础设施重合，代码模式如“endServer9688”进一步确认归属。近期样本中，“Poseidon - Attack”标识已被移除，以增强规避能力。

图 2 攻击活动基础设施相关图

研究人员指出，“波塞冬行动”是一种高度复杂的APT攻击活动，单一解决方案或基于指示器（IoC）的封堵难以奏效。防御需采用多层策略，包括在电子邮件处理中封堵伪造发件人附件、隔离ZIP和LNK文件，并对关键词如“索要资料”或“汇款确认”发出警告。同时，监控广告重定向链条，通过代理服务器阻断非业务下载。EDR措施应聚焦行为检测，例如识别cmd.exe或PowerShell调用链，以及从ZIP到LNK执行的攻击链。自动化隔离、IoC注册和C2通信监控可显著降低平均响应时间（MTTR），防止横向移动。通过跨行动分析，Konni组织的归属得到确认，其基础设施重用和TTP一致性凸显了持续威胁的严重性。

参考链接：

https://www.genians.co.kr/blog/threat_intelligence/spear-phishing

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

阅读原文

跳转微信打开

疑似俄罗斯背景APT组织RomCom持续升级其攻击行动

近日，据网络安全机构发布的专项报告显示，代号为RomCom（又称Void Rabisu、Storm-0978、UAT-5647）的高级持续性威胁（APT）组织正持续扩大其攻击版图。该组织自2022年出现以来，凭借技术的快速迭代和灵活的攻击策略，已迅速成为全球最知名的网络威胁势力之一。其攻击目标主要聚焦于北约成员国、乌克兰及北美相关国家的敏感领域，对国际地缘政治安全和关键基础设施构成严重挑战。

RomCom组织的核心背景与归属存在多方追踪共识与细节分歧，多家网络安全厂商确认其与俄罗斯存在关联，但该组织是否直接受俄罗斯政府操控尚未有明确结论。不同机构对其命名各异，微软将其标记为Storm-0978，CrowdStrike称之为Void Rabisu，开源社区及其他厂商也常使用UAT-5647等代号进行追踪。该组织的攻击动机呈现鲜明的双重属性，一方面以间谍攻击活动为核心，专门窃取乌克兰、北约及盟国的政治、军事和外交敏感情报，服务于特定地缘政治目的；另一方面则兼具机会主义经济诉求，部分行动中嵌入勒索软件相关的敲诈行为。既可能为间谍攻击活动提供掩护，也试图开辟额外收入来源，这种混合动机使得其攻击策略更具不确定性，增加了防御难度。

在攻击目标选择上，RomCom组织展现出明确的针对性和广泛性。地理范围覆盖乌克兰、北约/欧盟成员国（尤其是波兰、英国）以及北美地区，同时会根据特定主题事件，在其他地区开展机会攻击。目标行业高度集中在关键敏感领域，包括政府部门及机构、外交使团与智库、国防安全领域、媒体与非政府组织，以及信息技术、电信行业等，这些领域的信息泄露或系统被入侵，可能引发连锁性的安全风险和地缘政治影响。

从技术层面来看，RomCom组织的战术、技术与程序（TTPs）呈现出高适应性和快速演进的特点，其攻击链条完整且隐蔽性极强。在初始接入阶段，该组织主要通过三种方式突破目标防线：一是利用植入恶意代码的合法工具安装程序（如KeePass密码管理工具、Advanced IP Scanner网络扫描工具）进行鱼叉式钓鱼；二是搭建与北约、乌克兰相关会议主题相关的虚假活动门户网站，诱导目标人员访问；三是在2024至2025年间，频繁利用微软Office和WinRAR的零日漏洞发起攻击，这一行为标志着其技术能力的显著升级。

在维持持久控制阶段，RomCom组织采用多种手段确保长期潜伏：通过修改系统注册表、创建计划任务实现开机自启和持续运行；开发轻量级定制后门程序，使其网络流量与正常业务流量高度融合，规避常规检测；滥用系统自带合法二进制文件（Living-off-the-land），减少恶意代码特征暴露。其命令与控制（C2）基础设施同样具备高隐蔽性和抗打击能力，采用加密的HTTPS通信通道，结合域名前置技术和可轮换的临时基础设施，且依托商业云服务进行托管，以此实现 “可否认性”，增加溯源和处置难度。

在恶意软件与攻击技术应用方面，RomCom组织拥有专属签名远程访问木马（RomCom RAT），并搭配定制化的投放器和下载器，同时灵活运用Mimikatz（凭证窃取工具）、Rclone（云存储同步工具）等公开工具，形成混合攻击工具链。攻击过程中，该组织重点实施Outlook邮箱、浏览器及Windows系统认证信息的凭证窃取，通过多条漏洞利用链提升系统权限，并将窃取的数据泄露至云存储平台，其对开源工具与定制工具的灵活组合使用，有效提升了攻击的隐蔽性和成功率。

回顾RomCom的攻击演进历程，其作战能力和野心呈明显上升趋势。2022年，该组织首次被发现利用恶意植入安装程序，向乌克兰多名政府及军方官员投放RomCom RAT；2023年，攻击策略升级，围绕北约峰会及欧洲政治事件制作诱饵，并搭建仿冒会议网站扩大攻击范围；2024年，以乌克兰重建会议为主题构建诱骗网站，将攻击目标拓展至北美地区，引发广泛关注；2025年初，该组织在早期行动中启用两个零日漏洞，对欧洲多个国家的政府部门和国防目标发动攻击，充分彰显其已具备获取先进漏洞利用技术的能力。

值得警惕的是，2024年末至2025年初的最新动态显示，RomCom的攻击能力正加速升级。其不仅开始频繁使用零日漏洞，实现了从依赖钓鱼的中层威胁势力向具备高级APT技术水平的跨越。还在基础设施建设上进一步优化，仿冒会议网站与合法网站高度相似，大幅提升欺骗成功率。同时缩短运营周期，快速轮换基础设施以规避打击。部分近期行动中出现经济动机导向的攻击载荷，再次印证其混合目标属性，也预示着其攻击场景可能进一步多元化。

研究人员指出，RomCom组织是APT组织快速成熟并重塑威胁格局的典型案例，其兼具战略意图与技术深度的攻击模式，将对北约及相关国家的网络安全构成长期挑战。在当前复杂的地缘政治背景下，该组织极有可能进一步扩大攻击范围、升级技术手段，全球相关领域的机构和企业需高度重视，将其视为高级威胁对手，构建多层次、全方位的防御体系，以应对其带来的持续安全风险。

参考链接：

https://brandefense.io/blog/romcom-apt/

APT组织UAC-0190针对乌克兰展开网络攻击活动

乌克兰计算机应急响应团队（CERT-UA）近日发布报告，揭示了一起代号为UAC-0190组织的网络攻击活动。该攻击活动主要针对乌克兰国防力量（COY）成员，攻击者伪装成慈善基金会，通过诱导受害者下载恶意文件实施入侵。报告指出，这一活动从2025年10月持续至12月，CERT-UA与乌克兰武装部队网络事件响应部门合作，对多起相关事件进行了调查和分析。攻击者被初步关联至名为Void Blizzard（又称Laundry Bear）的APT组织，CERT-UA以中等置信度评估其相关性。

事件背景源于乌克兰持续面临的网络威胁环境。自2025年秋季以来，黑客组织利用社会工程学手法，针对国防领域人员展开精准攻击。攻击者假借慈善基金会的名义，声称提供援助或文件支持，以此吸引目标对象。这种伪装手法充分利用了当前地缘政治紧张局势下，人们对慈善和援助的信任。CERT-UA强调，网络威胁局面正在快速演变，黑客越来越使用合法的乌克兰手机号码、账户，以及流利的乌克兰语进行沟通，甚至通过音频或视频通话增强真实感。这使得常见的消息应用成为传播恶意软件的主要渠道，进一步增加了检测难度。

攻击过程通常从社会工程诱饵开始。受害者通过消息应用收到邀请，引导他们访问仿冒的慈善基金会网站。这些网站设计得极为逼真，页面上提供所谓的“文档”下载链接。这些文件往往置于密码保护的压缩包中，以降低受害者的疑虑。下载的文件多为可执行格式，如扩展名为“.docx.pif”的伪装文档，或早期版本的“.pdf.exe”。一旦受害者执行这些文件，恶意负载即被激活。

具体而言，这些恶意文件多由PyInstaller工具打包而成，其核心代码使用Python语言编写，被CERT-UA分类为后门程序PLUGGYAPE。该程序会建立与指挥控制（C2）服务器的连接，使用WebSocket或MQTT协议传输JSON格式数据。它首先收集受害者设备的MAC地址、BIOS序列号、磁盘和处理器标识符等信息，通过SHA-256算法生成唯一设备ID。随后，程序执行从服务器接收的任意代码，并在操作系统注册表Run键中创建条目以实现持久化。在2025年10月的早期攻击中，黑客使用“.pdf.exe”文件作为加载器，从Pastebin等平台下载Python解释器和初始恶意代码。从12月起，攻击者升级至PLUGGYAPE.V2版本，该版本引入了代码混淆、MQTT协议支持，以及多项反分析机制，如检测虚拟机环境，以规避安全研究者的逆向工程。

参考链接：

https://cert.gov.ua/article/6286942 

Kimwolf僵尸网络全球瞄准安卓电视设备，超200万台设备遭入侵

近日，网络安全研究人员披露了名为Kimwolf的大规模安卓僵尸网络，该网络已感染全球超200万台设备，其中以安卓电视盒子为主要攻击目标，涉及巴西、印度、美国、越南、沙特阿拉伯、俄罗斯、中国等多个国家和地区，对消费电子领域及家庭网络安全构成严重威胁。

Kimwolf僵尸网络采用安卓原生开发工具包（Android Native Development Kit）构建，集成了分布式拒绝服务（DDoS）攻击、代理转发、反向shell、文件管理等多种恶意功能。为逃避检测与打击，该僵尸网络运用了多重先进技术：通过栈异或加密保护敏感数据，采用DNS over TLS（基于TLS的域名系统）规避网络监控，借助椭圆曲线数字签名验证命令与控制（C2）通信的合法性，近期更升级引入基于以太坊域名服务（Ethereum Name Service）的EtherHiding技术，大幅提升了基础设施抗摧毁能力。其传播核心在于利用家庭代理网络的漏洞——如对内部地址访问限制不足，以及安卓电视盒子上暴露的5555端口安卓调试桥（Android Debug Bridge），攻击者可通过IPIDEA等住宅代理服务隧道接入本地网络，实现未经授权的设备访问与恶意程序快速传播。

这些受攻击的安卓电视盒子多为电商平台上的无名品牌产品，出厂时便默认开启调试模式，部分还预装了代理恶意软件或需通过非官方应用才能播放盗版内容，为攻击者提供了可乘之机。安全研究人员接管某C2域名后发现，该僵尸网络的日活跃IP峰值接近183万，由于动态IP分配和全球时区差异，实际感染规模难以精准统计。攻击者行事极为猖獗，2025年11月短短三天内便下发了17亿条DDoS攻击指令，攻击目标随机且无差别，部分攻击流量峰值高达30Tbps，对网络服务稳定性造成极大冲击。

在盈利模式上，Kimwolf运营者通过多重渠道变现，包括销售代理带宽、推广应用安装、提供DDoS攻击服务等，借助Rust语言开发的代理命令客户端和ByteConnect SDK等组件最大化收益，月利润可能达数万美元。研究人员还发现，该僵尸网络与Aisuru僵尸网络存在高度关联性，二者共享代码、APK文件、基础设施、签名证书及下载脚本，疑似同一威胁组织为适配安卓平台优化而成，进一步扩大了攻击覆盖面与危害程度。

尽管代理服务提供商已采取拦截内部DNS解析、封禁高风险端口等缓解措施，且行业多次通过协同打击扰乱其运营，但Kimwolf展现出极强的恢复能力，曾在数日内重新集结200万个感染节点。这一威胁打破了家庭网络的安全假象，受感染的移动设备或访客连接都可能成为内部系统被入侵的突破口。安全专家强调，应对这一持续演化的威胁，需要行业持续加强情报共享与技术协作，同时提醒用户谨慎购买来源不明的安卓电视设备，及时关闭不必要的调试功能，避免安装非官方应用，从源头降低感染风险。

参考链接：

https://blog.polyswarm.io/kimwolf-botnet-targeting-android-tv-devices-worldwide

新型Gentlemen勒索软件席卷全球17国

Gentlemen勒索软件的兴起引发了全球网络安全界的广泛关注。这一新兴勒索软件组织于2025年8月左右首次被发现，其采用双重勒索模式，即通过入侵企业网络窃取数据、加密文件，并利用窃取的数据向受害者施压索要赎金。该组织使用高级技术手段，如操纵组策略对象（GPO）和自带易受攻击驱动程序（BYOVD），目前尚未确认其是否采用勒索软件即服务（RaaS）模式，或是现有组织的改名或分支。Gentlemen的攻击活动迅速扩散，已影响至少17个国家，涉及制造业、建筑业、医疗保健和保险等多个行业，受影响地区包括亚太、北美、南美和中东。该组织主要针对中大型企业，其检测规避和传播机制高度复杂，使其成为2025年最活跃的新兴勒索软件组织之一。

Gentlemen勒索软件使用Go语言开发，并在执行时通过密码检查限制运行环境，仅在特定参数下激活。攻击过程从初始阶段开始，首先禁用Windows Defender防护、停止备份服务（如Veeam）和数据库服务（如MSSQL和MongoDB），并删除系统日志和痕迹，以清除攻击证据。随后，软件进行文件加密，使用X25519密钥交换和XChaCha20加密算法，对于大文件则采用部分加密策略以提高效率。执行命令行参数控制加密行为，例如“--password”作为必需的运行密码，“--path”指定加密目录或磁盘，“--T”设置加密前延迟，“--silent”避免加密后重命名文件，“--system”仅针对本地驱动器，“--shares”针对网络共享，“--full”结合本地和共享，“--fast”加密9%内容，“--superfast”加密3%，“--ultrafast”加密1%。

在加密准备阶段，软件在内存中解码攻击者的公钥，生成随机32字节值，通过X25519计算共享密钥，再派生子密钥用于XChaCha20加密。同时，利用PowerShell收集卷信息，针对企业集群和共享存储进行定位。实际加密时，采用XChaCha20流密码，每文件生成独立密钥和随机数：通过X25519生成共享密钥，派生子密钥创建随机数，并将X25519结果以Base64形式存储在加密文件中，但不包含临时随机密钥，从而确保没有私钥无法重现秘密。对于小于1MB的文件，进行全加密；大文件则在特定范围部分加密，以加速过程并增加恢复难度。

攻击完成后，软件在加密目录中创建“README-GENTLEMEN.txt”赎金通知文件，并更改桌面背景以显示感染迹象。通知声称攻击者已完全控制网络，所有文件已被加密并不可访问，同时宣称窃取了数据，若不联系将泄露至暗网。为建立信任，攻击者提供免费解密两个样本文件的机会。该勒索软件的结构设计强调密钥不暴露于泄露数据中，确保受害者难以自行解密，凸显其针对企业环境的优化和操作灵活性。

参考链接：

https://asec.ahnlab.com/en/91545/ 

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

阅读原文

跳转微信打开

APT36组织发起多阶段LNK恶意软件攻击

近日，网络安全研究人员发现了一起由APT36（又称“Transparent Tribe”）组织发起的针对性网络间谍活动，该组织与巴基斯坦存在关联，长期聚焦于对印度政府部门、学术机构及战略相关实体实施网络窃密行动。此次攻击采用高度隐蔽的多阶段攻击链条，通过伪装成合法文档的恶意快捷文件突破防线，旨在实现对目标系统的长期控制与敏感数据窃取。

事件始于2025年12月15日，研究人员首次监测到相关攻击活动。攻击者以“2025年12月在线JLPT考试”为诱饵，通过鱼叉式钓鱼邮件向目标用户发送名为“Online JLPT Exam Dec 2025.zip”的压缩包附件。该压缩包内包含一个伪装成PDF文档的恶意LNK（Windows快捷方式）文件，其特殊的双扩展名设计（.pdf.lnk）利用了Windows系统的文件显示机制——即便用户开启了文件扩展名可见功能，.lnk后缀也会被自动隐藏，使其看起来与普通PDF文档无异。值得注意的是，该快捷文件大小高达2823KB，远超正常LNK文件10-12KB的典型大小，其内部嵌入了完整的PDF文件结构及多个图像对象，通过刻意增大文件体积增强伪装可信度，进一步降低用户警惕性。此外，压缩包中还包含一个名为“usb”的隐藏目录，内含加密的usbsyn.pim文件，推测用于后续攻击阶段的代码或数据加载。

当用户双击该恶意LNK文件后，攻击链条正式启动。文件会调用Windows系统可信二进制程序mshta.exe，从远程地址下载并执行HTA脚本。为掩盖恶意行为，该脚本会先将浏览器窗口缩至最小化，同时下载并打开一个合法的JLPT考试相关PDF文档，让用户误以为操作正常，而恶意代码则在后台秘密运行。HTA脚本内置了自定义的Base64解码与XOR解密逻辑，通过ReadOnly和WriteOnly两个核心变量加载加密载荷。随后利用ActiveX对象查询目标系统的.NET运行时版本，动态设置环境变量以确保兼容性。

攻击的第一阶段由ReadOnly载荷完成，该载荷为序列化的.NET对象，通过BinaryFormatter在内存中反序列化后，会篡改System.Workflow.ComponentModel.AppSettings的关键配置，将disableActivitySurrogateSelectorTypeCheck字段设为true，从而绕过.NET 反序列化安全防护，为后续恶意代码执行扫清障碍。第二阶段的WriteOnly载荷则是一个359KB的无文件恶意DLL（ki2mtmkl.dll），同样在内存中完成反序列化与执行，避免在磁盘留下痕迹。该DLL启动后会先检查网络连接状态，尝试与攻击者控制的C2服务器建立加密通信，若连接成功则激活完整功能；若连接失败则仅显示PDF文档以维持伪装。

该恶意软件的核心亮点在于其智能适配的持久化机制。它会通过查询Windows Management Instrumentation（WMI）的root\SecurityCenter2命名空间，枚举目标系统安装的杀毒软件类型，包括卡巴斯基、Quick Heal、Avast、AVG、Avira等主流产品，随后根据检测结果动态调整持久化策略。针对卡巴斯基，恶意软件会在C:\Users\Public\core\目录下创建工作文件夹，生成混淆的flow.hta文件，并在用户启动目录放置快捷方式，通过mshta.exe和PowerShell实现隐蔽执行；面对Quick Heal时，则通过批处理文件间接调用HTA载荷；对于Avast等杀毒软件，直接将恶意文件复制到启动目录执行；若未检测到已知杀毒软件，则通过批处理文件、注册表项配置等组合方式建立持久化。

flow.hta文件会重复上述解密与执行流程，加载第二个恶意DLL（iinneldc.dll），该文件是功能完备的远程控制木马，构成攻击的最终payload。此RAT通过双线程并行工作：一条线程负责与C2服务器维持加密通信，采用AES算法（密钥：ZAEDF_98768_@$#%_QCHF）加密传输数据，支持接收攻击者指令执行系统信息收集、进程管理、文件操作、远程桌面监控、剪贴板窃取与篡改等功能；另一条线程则监控USB设备的插拔事件，伺机扩大感染范围。其数据窃取能力高度针对性，会递归扫描目标系统中的Office文档、PDF、文本文件及数据库文件等敏感数据，经Base64编码和AES加密后通过C2通道外发；同时支持捕获屏幕截图、记录剪贴板内容（可用于窃取密码、加密货币钱包地址等）、远程执行命令、操控鼠标位置等一系列间谍活动，实现对目标系统的全面控制与持续窃密。

研究人员指出，APT36组织此次攻击展现了成熟的战术演进，通过滥用系统可信组件、无文件执行、多阶段加密载荷等技术，显著提升了攻击的隐蔽性与成功率。该组织的核心目标聚焦于长期情报收集，而非短期破坏或财务盗窃，其行为符合国家背景网络间谍活动的典型特征。此次攻击涉及的MITRE ATT&CK技术包括鱼叉式钓鱼附件、系统二进制程序代理执行、启动目录持久化、注册表修改、进程注入、文件伪装、加密通信等多个战术环节，覆盖从初始入侵到数据渗出的完整攻击生命周期。

参考链接：

https://www.cyfirma.com/research/apt36-multi-stage-lnk-malware-campaign-targeting-indian-government-entities/ 

新兴网络威胁组织UTA0388利用AI技术发动定向攻击

自2025年6月起，一个名为UTA0388的攻击组织发起了一系列精密的鱼叉式网络钓鱼行动，虽然其目标遍及北美和欧洲，但主要焦点锁定在亚洲地区。这个威胁组织通过先进的社交工程技巧，伪造虚假身份和机构，诱骗受害者执行恶意程序。一旦系统被成功入侵，攻击者便能远程访问受害者的内部网络，进行攻击活动、窃取敏感数据或造成运营中断。这些攻击特别关注亚洲地缘政治议题，影响波及全球政府、研究机构和私营企业。

从技术分析角度来看，UTA0388组织是一个持续演进的威胁实体，它将复杂的建立关系型钓鱼、基于大型语言模型（LLM）的自动化攻击与高级恶意软件部署相结合。尽管当前主要针对亚洲，但全球组织都需警惕类似社交工程风险。一旦入侵成功，可能导致网络失控、数据外泄，甚至引发地缘政治冲突等。

事件起源于UTA0388的技术演变，从传统的鱼叉式钓鱼——即直接发送含恶意链接的邮件——转向建立关系型钓鱼。这种方法通过多次无害通信建立信任，然后再发送实际恶意代码或软件，从而延迟暴露基础设施，提高入侵成功率。攻击者利用LLM自动化生成钓鱼邮件和恶意软件组件，这些内容往往出现语言不一致、荒谬细节和伪造元素，显示出未经人工审核的AI生成痕迹。攻击的巨大规模和快速节奏进一步证实了其自动化特性。

UTA0388发送高度定制化的多语言邮件，包括英语、中文、日语、法语和德语，根据受害者习惯伪装成来自虚构机构的资深研究者或分析师。这些邮件包含指向云存储的链接，一旦打开，便会部署名为GOVERSHELL的后门恶意软件。GOVERSHELL是此次攻击的核心恶意家族，已观察到至少五个变种，每个变种都采用不同的命令与控制（C2）通信方式，增强了持久性和远程命令执行能力。

为了全面理解攻击流程，研究人员按照MITRE ATT&CK框架分类剖析。首先是侦察阶段，UTA0388通过大规模情报收集锁定目标，涵盖北美、亚洲和欧洲。他们从组织网站、群组联系人、陈旧员工账户甚至模板式邮箱格式中获取公开邮箱，这种无差别收集暗示了LLM或自动化爬取工具的使用，不仅用于数据采集，还为设计钓鱼内容提供基础。

在资源开发阶段，虽然细节有限，但攻击显示出精心构建的基础设施。攻击者注册并控制多个域名，这些域名或伪装成知名组织等。他们利用Netlify、OneDrive和Sync等云平台托管钓鱼内容和恶意软件，并通过ProtonMail、Outlook和Gmail等可信邮件服务发送邮件。同时，通过Cloudflare注册域名来规避追踪和拆除。

初始访问主要依赖鱼叉式钓鱼。受害者收到伪装邮件，链接指向云托管的ZIP或RAR档案，内含看似合法的可执行文件和隐藏DLL。该DLL利用搜索顺序劫持执行恶意代码。交付过程简单：社交工程诱导用户点击链接、下载档案并运行文件。在建立关系变种中，攻击者通过多次邮件互动建立信任，大幅提升感染率。

执行阶段的关键是“搜索顺序劫持”。档案中包含伪装成重要文档的可执行文件，如亚洲地缘政治主题文件。用户运行时，Windows DLL搜索顺序优先加载隐藏lib目录中的恶意DLL，而非合法DLL，从而激活GOVERSHELL后门，实现远程命令执行。为提升隐蔽性，变种常使用合法开源可执行文件如Tablacus Explorer。

持久化通过GOVERSHELL在系统启动或定期建立调度任务实现。这些任务包含参数，确保C2逻辑仅在初始设置后激活，从而规避沙箱动态检测。恶意软件首次执行时立即退出，不启动C2通信，隐藏恶意行为。

防御规避包括多项技术：搜索顺序劫持将恶意执行融入合法进程，绕过进程监控；利用合法云服务如Netlify、OneDrive和Sync，使恶意流量混入可信网络活动；调度任务延迟C2减少沙箱或EDR早期发现；多邮件提供商分散钓鱼邮件，挑战邮件过滤。

命令与控制基础设施经历了多次迭代，每个变种引入不同通信方式以规避检测和稳定控制。第一变种使用端口465的伪TLS双头和XOR编码；第二变种采用端口443的AES加密伪TLS；第三变种利用HTTPS POST请求周期性报告JSON；第四变种使用AES加密WebSocket连接和命令任务队列；第五变种通过Base64加密HTTPS GET请求，随机连接间隔。早期使用直接IP连接，自2025年中旬转向隐藏在Cloudflare后的域名。WebSocket变种的C2服务器响应如“Secure C2 Server is running”，表明活跃监控。

攻击影响主要是建立持久远程访问，通过GOVERSHELL执行任意命令，进行数据窃取或网络入侵活动，符合其地缘政治目标。多个恶意变种的持续开发显示出长期驻留和扩展意图。

其他技术观察包括AI辅助攻击：证据证实使用LLM如OpenAI的ChatGPT生成钓鱼内容和辅助恶意软件开发。多语言内容不一致、伪造身份以及无意义附件（如色情图像叠加文本、佛教咒语或无用文件）是自动化生成残留。GOVERSHELL网络栈和代码的快速开发、多样性，从C++转向Golang以及重写而非迭代的倾向，符合AI输出特征。

总之，UTA0388代表一种新兴威胁，利用LLM生成内容进行鱼叉式钓鱼，并部署复杂GOVERSHELL后门，结合高级持久化和C2技术。根源仍是社交工程：诱骗用户执行利用搜索顺序劫持的文件。这种恶意软件家族的技术复杂性与AI驱动钓鱼相结合，标志着网络战中“人机协作”新时代的到来。

参考链接：

https://www.cycraft.com/post/uta0388-en-20251230

新型信息窃取恶意软件AuraStealer技术深度解析

在网络安全领域，一款名为AuraStealer的信息窃取恶意软件最近引起了广泛关注。这种恶意软件作为一种恶意软件即服务（MaaS）产品，自2025年7月起在地下论坛上推广，已成为威胁Windows系统的重要工具。AuraStealer主要针对从Windows 7到Windows 11的各种版本，能够从超过110款浏览器、70款应用（包括钱包和双因素认证工具）以及250多个浏览器扩展中窃取敏感数据。其开发者提供多种订阅模式，包括基础版（每月295美元）、高级版（每月585美元），以及正在开发的团队版，此外还曾推出限时试用版（两周165美元）。该软件配备了一个基于Tabler模板的网络面板，支持俄语和英语，用于管理窃取的数据。尽管开发者声称其高效且不易检测，但实际存在一些缺陷，便于安全研究人员进行识别和分析。

AuraStealer的传播方式多样且隐蔽，主要通过“Scam-Yourself”活动扩散，例如伪装成产品激活指南的TikTok视频，诱导用户运行恶意PowerShell命令。此外，它还常与破解游戏或软件捆绑，使用UPX打包、多阶段执行（如加载器、DLL侧加载、注入）或恶意VS Code扩展进行分发。开发者通常仅出售窃取器本身，而不包括加载器，这增加了其灵活性。由于传播链在早期阶段常被阻断，其流行程度难以精确量化，但相比Lumma Stealer、StealC或Vidar等前辈，它尚未占据主导地位。不过，根据开发者采访，其团队致力于长期发展，并计划通过创新功能主导市场。

为了逃避检测，AuraStealer采用了多种先进的代码混淆技术。其中包括间接控制流混淆，将直接跳转或调用替换为运行时计算的目标地址；字符串加密，使用基于栈的XOR操作；常量混淆，如XOR掩码处理哈希值；此外，还有反分析检查，包括反调试、反篡改和反虚拟机机制。它还利用异常驱动的API哈希解析，通过自定义异常处理程序来解析哈希化的API，并采用Heaven’s Gate技术调用NTDLL函数，同时检查返回地址的断点，并对特定地理位置进行黑名单过滤。这些技术使得初始逆向工程变得复杂，需要专业工具和方法来破解。

安全研究人员在分析AuraStealer时，首先聚焦于其WinMain函数，使用IDA Pro、Angr、Unicorn等工具逐步拆解混淆层。针对间接控制流混淆，他们应用后向切片启发式方法，从间接跳转或调用处追踪寄存器依赖关系，直至控制流指令或空寄存器停止，从而计算目标地址。随后，通过Angr的符号执行模拟切片代码，自动化标记常量，并在IDA中替换间接调用为直接调用。如果目标地址多个，则添加交叉引用，并手动调整函数边界以修复IDA的识别问题。对于异常驱动的API哈希解析，研究人员识别出MurmurHash3（种子为0xDEADBEEF）和FNV-1a哈希算法，预计算哈希值并在IDA反编译器中替换常量，同时使用Unicorn仿真解密XOR掩码的常量。字符串混淆的破解涉及从常量中提取加密字符串和密钥，在内存中进行XOR操作，并通过Unicorn逐步执行指令，跳过循环并分叉分支以覆盖所有路径，最终运行IDA脚本恢复明文字符串。此外，配置提取通过解密AES-CBC加密块完成，使用二进制文件中的信息和自定义Python脚本解析。

通过这些步骤，研究人员揭示了AuraStealer的完整执行流程：安装异常处理程序，进行检查，解密配置，与命令与控制（C2）服务器连接，然后窃取并外传数据。其能力涵盖浏览器数据、钱包、双因素认证、会话、截屏和进程信息，甚至通过无头浏览器注入和Heaven’s Gate绕过某些防护。网络通信包括检查1.1.1.1:53端口，并向/api/live/conf/send端点发送AES-CBC加Base64编码的数据。尽管AuraStealer设计精巧，但其缺陷为检测提供了机会。

参考链接：

https://www.gendigital.com/blog/insights/research/defeating-aurastealer-obfuscation

新型集中式勒索软件组织SafePay技术深度解析

2024年末至2025年间，一个名为SafePay的勒索软件组织悄然崛起，并迅速扩大其运营规模，成为全球范围内不容忽视的重大网络威胁。与当前主流的 “勒索软件即服务”（RaaS）模式不同，SafePay采用集中化、封闭式的运营架构，对自身基础设施、谈判流程及收益分配保持严格管控。这一独特的运营安全（OPSEC）策略，有效降低了此前困扰LockBit、ALPHV等勒索软件组织的代码泄露与执法部门渗透风险，使其在短时间内脱颖而出。

SafePay最显著的攻击特征是采用双重勒索技术，在对目标系统进行加密之前，会先窃取金融记录、知识产权等敏感数据。一旦受害者拒绝支付赎金，该组织便会通过Tor网络上的数据泄露站点公开受害者信息，以此施加额外压力。更值得警惕的是，其攻击速度极快，通常在获取初始访问权限后的24小时内即可完成从入侵到加密的全过程，让目标组织难以招架。

在攻击链条的技术实现上，SafePay展现出高度的模块化与系统性。其勒索软件二进制文件为原生Windows PE32 DLL格式，常通过伪造编译时间戳进行伪装。初始访问阶段，攻击者主要利用泄露的凭据——这些凭据或从初始访问代理处购买，或通过暴力破解获取——进而入侵VPN网关、远程桌面协议（RDP）服务器等边缘设备上的合法账户。部分案例显示，配置不当的FortiGate防火墙允许本地账户在未启用多因素认证（MFA）的情况下登录，也成为了该组织的入侵突破口。成功入侵后，攻击者会部署QDoor后门（与BlackSuit组织相关联）或ScreenConnect等合法远程访问工具，以确保在目标系统中的持久控制权。

建立立足点后，SafePay会启动网络探测流程，通过ShareFinder.ps1脚本（尤其是Invoke-ShareFinder命令）识别有价值的资产和文件共享资源。横向移动则依赖于标准管理工具和“无文件攻击”二进制文件（LOLBins），例如利用PsExec和WinRM在远程系统上执行命令，典型命令格式如“PsExec.exe \TARGET_IP -u Domain\Admin -p Password cmd.exe”，以此实现对整个网络环境的逐步渗透。

为确保攻击顺利推进，SafePay配备了完善的防御规避机制。在部署加密程序前，该勒索软件会主动终止与杀毒软件、数据库及备份解决方案相关的进程，其内置的加密进程与服务黑名单中，包含sql、oracle、Sophos、Veeam等关键目标。同时，它会通过一系列命令删除卷影副本并修改启动配置，如“vssadmin delete shadows /all/quiet”“bcdedit /set {default} recoveryenabled no” 等，彻底切断受害者的系统恢复路径。此外，恶意软件还可能利用CMSTPLUA COM接口绕过用户账户控制（UAC），提升自身权限。

数据窃取环节，SafePay会精准定位 .docx、.pdf、.xlsx 等特定文件类型，避开系统文件以提高窃取效率。这些数据经WinRAR归档处理，归档过程中通过复杂的命令行参数排除非必要文件类型，随后借助FileZilla、Rclone、7-Zip等工具完成数据外泄。其归档命令包含大量排除规则，涵盖图片、视频、可执行文件等多种格式，确保仅窃取核心敏感数据。

加密执行阶段，勒索软件payload多以DLL形式通过regsvr32.exe或rundll32.exe启动，且必须携带特定命令行参数才能运行，其中“-pass=”参数为必填项，需输入32字节密码以解码代码中的额外信息；“-enc=”参数用于指定加密比例（1-9，对应10%-90%）；“-network”参数启动网络传播以加密共享文件夹；“-selfdelete”参数则在加密完成后删除恶意软件可执行文件。加密方案采用混合模式：文件加密使用AES或ChaCha20算法，每个文件生成唯一对称密钥，该密钥经RSA或x25519（椭圆曲线迪菲-赫尔曼）算法加密后附加在文件末尾；加密过程采用分段加密方式提升效率，加密后的文件会添加.safepay扩展名。值得注意的是，该恶意软件内置 “终止开关”，若检测到系统使用西里尔字母键盘布局（如俄语、乌克兰语、白俄罗斯语），则会自动终止执行。

SafePay的出现标志着勒索软件攻击模式向更隐蔽、更可控的方向演进，其集中化运营模式与高效的攻击链条对全球组织的网络安全构成严峻挑战。企业需加强身份认证防护、完善备份策略、强化安全监控，同时借助专业的安全验证工具持续优化防御体系，才能有效抵御此类高级威胁的侵袭。

参考链接：

https://www.attackiq.com/2025/11/19/revisiting-qilin-ransomware/ 

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

阅读原文

跳转微信打开