一次看似 “正常下载” 的流程，背后是一条用 Dropbox → GitHub → PowerShell → .NET 反射 串起来的分层投递链；前脚回传主机画像，后脚按需下发 AsyncRAT 插件。

跳转微信打开

近期360安全大脑监测到多起蔓灵花组织攻击事件，通过直接投递NUITKA打包的python样本，或投递chm文件加载NUITKA打包的python样本

 一、攻击活动分析 

1.攻击流程分析

蔓灵花组织此类攻击的核心初始载荷为NUITKA打包的python样本，该文件功能简单，下载一个后门组件。该后门组件主要功能是执行cmd指令。攻击者通过远程执行cmd指令，从而进行以下操作：获取系统基本信息、后续后门组件下载、下载python脚本执行套件、下载窃密组件等。整个攻击流程如下图所示：

2.恶意载荷分析

捕获的恶意样本如下所示：

2）打包的python版本为python312。NUITKA特征是会将组件释放到%TEMP%\onefile_XXXX_XXXXXXX文件夹中。

3）该样本核心功能是连接C2，获取C2命令执行。NUITKA打包python的逻辑，是将py脚本中每一行代码，都使用C语言进行实现。以这行代码为例“socket.socket(socket.AF_INET, socket.SOCK_STREAM)”（这也是relish_for_ketty的核心代码）：

首先是从模块列表中获取到socket的模块。

从socket模块中，获取socket类。

获取socket类中AddressFamily_type，等同于代码“socket.AF_INET”。

最后执行socket类的构造函数，创建一个socket对象。

4）样本连接C2：89.46.236.152:443。

本次NUITKA样本，需接收C2传来的cmd命令，才会执行才会进行后续操作。本次捕获到的C2命令分为五类：

第一类：获取系统信息

第二类：下载后续组件

捕获到url：

https://domainnamevalidator[.]com/uploads/taskhost

保存到c:\programdata\usoshared\taskhost.exe

第三类：样本复制

通过certutil来进行文件复制

第四类：配置计划任务、启动项、开始菜单快捷方式。

注：未捕获到样本

%LocalAppData%\\Microsoft\\WindowsApps\\MsEdge.exe

第五类：解压需要使用的组件，如：python

注：未捕获到myarchive.rar文件。

python.zip为正常的python安装包。安装包会保存到%userprofile%\downloads中。该python版本是312。

3.攻击组件分析

• shell后门组件

该组件主要功能为执行C2传输的cmd指令。

2）连接C2:213.111.185[.]78:443。

3）样本向C2发送上线包，上线包内容为：用户名@计算机名\n系统版本\n。

样本接收C2指令，执行cmd指令，并将对应结果传回C2。

捕获到攻击者命令有五类：

第一类：将taskhost.exe设置为计划任务和启动项

第二类：查看系统的信息

第三类：下载后门组件

url:

https://domainregistationcheck[.]com/uploads/b1

保存到c:\programdata\usoshared\crsrs.exe

第四类：静默安装python环境，并下载执行py脚本。python的运行环境会被安装到C:\\Python312中。

注：未捕获到对应python脚本

第五类：下载Remcos后门

url: http://46.30.191[.]221/pw.exe

样本被保存到

c:\programdata\usoshared\logs\imagingdevices.exe

• 文件窃密组件

该工具为文件窃密组件，主要功能是用于监测存储设备变更情况，并将存储设备的文件数据同步到C2服务器中。

2）样本采用异步的方式进行通信和执行任务。

3）样本连接C2:

https://151.236.4[.]164:5010/get_sync_hash_table/(AES加密的计算机名_用户名)

AES key：

8802304DE46385A3672730C3539BC25B38930077AE9D9FF46E05D63409DFBCBB

4）样本C2返回的数据为json格式，样本解析其中的file_hashes字段，获取其中的哈希列表

5）样本创建一个异步任务，用于从C2下载文件。样本首先会初始化一个计时器，定时器设为34秒。

样本下载文件，保存到当前的工作路径中。并执行。

6）样本执行一个异步任务，用于监测存储设备变更情况。判断存储设备（如：u盘、硬盘等）拔插行为。如果设备出现了数量变化，就暂停计时器。

7）样本通过连接C2，获取某类存储的同步优先级(如SSD、HDD）、获取特定存储的实际同步优先级(如：C盘)、获取关注的敏感词、获取传输任务数量。

之后就是启动计时器，根据C2传来的配置进行更新，将当前的任务队列进行更新。随后就进入到窃密工作。

样本根据任务队列配置的优先级，进行路径或磁盘扫描。

扫描过程中，会将含有关键词的文件加入到文件列表中。

根据文件列表中的数量，挨个进行文件异步传输。

读取目标文件的内容

将文件内容post到C2服务器中。

• Remcos后门

该组件是一个加载器，用于释放加载Remcos后门。

2）样本使用rc4进行解密，密钥：

wJhZdeKG30FY70E315U2qMf0h3CvBD7N

3）解密后数据为PE文件，其中有Remcos经典字符串。

4）Remcos的C2配置信息89.31.121[.]220:443

 二、归属研判 

蔓灵花使用NUITKA打包的python样本攻击，最早出现在25年年底，主要针对于巴基斯坦、孟加拉等周边国家。近期监测发现，该类样本的攻击目标范围出现新的变化。

1.对本次攻击的relish_for_ketty.dll，与巴基斯坦的历史样本进行对比，二者代码执行流程非常一致，均使用了python312版本，且加载使用的python模块也完全相同。

2.本次攻击使用的Remcos远控组件，也曾出现在过往针对巴基斯坦地区的攻击活动中。

综合上述线索可判断，本次攻击归属于APT-C-08（蔓灵花）组织。

MD5：

397591dd098f9240684f9a999e38eb12  

23f5e51bf6d540553aa88c48480450a8  

d286d439393bde76b734bd3406628d47 

ab17051365bb75c2fd4637b0d560a312  

e7c535d2ef05405870923204dd5829d6  

b33c8f6a2bebe8d6a41bff851a45f35f  

13209c997f62c6c6934bc3f20a6adbd8  

017eb0e90e70a48e3b57f9c315e280f5  

C2&URL:

89.46.236[.]152:443

https://domainnamevalidator[.]com/uploads/taskhost 

213.111.185[.]78:443 

https://domainregistationcheck[.]com/uploads/b1 

https://151.236.4[.]164:5010 

getserviceupdates[.]com 

http://46.30.191[.]221/host.txt 

http://46.30.191[.]221/MsEdge 

http://46.30.191[.]221/taskhost 

http://46.30.191[.]221/appv1.exe 

http://46.30.191[.]221/input.txt 

http://46.30.191[.]221/ppersis.py 

http://46.30.191[.]221/pw.exe 

http://46.30.191[.]221:8080/get-pip.py 

http://46.30.191[.]221/cf.py 

http://46.30.191[.]221/ppp.py  

89.31.121[.]220:443                                                                                                            

跳转微信打开

2026年4月22日，Xinference 官方 PyPI 发布包被披露遭遇供应链投毒攻击。攻击者在 V2.6.0、V2.6.1 及V2.6.2 三个版本的核心初始化文件 `__init__.py` 中植入了窃密木马。

恶意样本中留有 "# hacked by teampcp" 文本标记，表面指向近期活跃于开源供应链攻击的 TeamPCP 组织，但该组织随后公开否认参与此次事件，存在假旗操作的可能性。目前归属研判尚未形成确定性结论，我们将持续跟踪关注。

2026年4月22日，Xinference 官方软件包被披露遭遇供应链投毒事件。攻击者将恶意载荷植入包内 __init__.py 文件，通过篡改初始化逻辑实现恶意代码随安装或导入过程被触发。随后，Xinference 项目开发人员在 GitHub Issues 回复中确认了该安全事件，进一步证实官方发布包在特定版本范围内已受到污染。

图1 Github中Issues回复示例

为进一步还原攻击活动时间线，我们对 xinference-2.6.0.tar.gz、xinference-2.6.1.tar.gz 与 xinference-2.6.2.tar.gz 三个受影响版本压缩包进行了取样分析，并提取了归档文件内相关文件的最近修改时间（mtime, UTC）。分析结果显示，攻击者最早在 2026年4月21日 20:08:49 UTC 已完成对恶意文件的植入。

表1 三个版本文件的最近修改时间

表2 三个版本植入恶意代码对比

图2 xinference V2.6.0版本__init__.py文件恶意代码示例

图3 xinference V2.6.1版本__init__.py文件恶意代码示例

图4 xinference V2.6.2版本__init__.py文件恶意代码示例

对恶意载荷进行分析确认，该恶意采用了分阶段执行的方式：第一阶段负责载荷释放、结果打包与外传；第二阶段负责在受害主机中大范围搜集敏感信息与凭证材料。

第一阶段：

第一阶段脚本开头即包含明显的攻击者标记 “# hacked by teampcp”。其主要功能将内嵌BASE64内容解码，通过 subprocess.run() 调用当前 Python 解释器执行这段解码后的第二阶段脚本，标准输出被写入临时文件 f。如果收集到内容，就用 tar -czf 打包为 love.tar.gz。最后使用自定义头“X-QT-SR”，通过 curl 以二进制流上传到C2域名 https[:]//whereisitat[.]lucyatemysuperbox.space/。

图5 阶段1恶意代码示例

第二阶段：

第二阶段样本核心目标是批量搜集主机、容器、云凭证、密钥、配置、历史记录和区块链钱包材料。

• 主机与网络环境探测：收集主机名、当前路径、执行身份、内核、网卡、路由及全部环境变量，进行主机画像。

• SSH 凭证与主机密钥窃取：获取用户 SSH 私钥、主机私钥和信任关系信息；

• 开发者与源码仓库凭证窃取：搜集了 .git-credentials 及各类包管理与依赖仓库的认证文件；

• 环境变量与 `.env` 配置搜集：获取数据库密码、应用密钥、JWT secret、第三方 API Token；

• AWS 凭证搜集与云元数据打点：从本地凭证、容器角色凭证、实例角色凭证三条路径拿 AWS 访问权限；

• Kubernetes 凭证与集群秘密搜集：获取集群访问令牌、命名空间 secrets、控制面配置；

• GCP / Azure / Docker 凭证搜集：窃取云平台访问令牌与镜像仓库认证信息；

• 数据库、消息与系统侧敏感配置搜集：窃取数据库与基础设施认证数据；

• VPN、IaC 与证书材料搜集：获取基础设施部署凭据、TLS 私钥与网络接入配置；

• Webhook/Token 模式搜索：递归扫描并窃取目标系统中的 Slack/Discord Webhook 地址及硬编码的 API 密钥、访问令牌等敏感凭证；

• 加密货币钱包与节点密钥窃取：针对数字资产钱包、验证者节点和签名密钥；

• 系统账户与登录痕迹搜集：收集用户清单、密码哈希与登录成功记录。

图6 阶段2恶意代码示例

在第一阶段样本中，攻击者留有明确的文本标记 "# hacked by teampcp"，从字面上看，该标记指向近期活跃于开源供应链攻击领域的 TeamPCP 组织。

图7 阶段1恶意代码文本标记

TeamPCP 是一个高级威胁组织，近期发起了一系列精心策划的供应链攻击。该组织通过攻陷 Trivy、KICS 和 LiteLLM 等主流开源工具，隐蔽植入了用于窃取凭证的恶意软件。为规避安全检测，他们综合采用了凭证收集、Kubernetes 环境内的横向移动以及音频隐写等复杂攻击技术。此外，该组织还具备极强的跨平台感染能力，能够利用窃取到的凭证，借助名为“CanisterWorm”的自传播蠕虫病毒，将攻击范围横向扩展至 npm 和 PyPI 等多个软件生态系统。在数据窃取阶段，他们使用了 AES-256 和 RSA-4096 高强度加密技术来向外传输敏感数据。

然而，此次事件的归属研判存在一定争议。2026年4月22日，TeamPCP 组织通过社交平台公开否认参与此次 Xinference 投毒事件，声称系他人冒用 TeamPCP 名义实施。

图8 TeamPCP否认此次攻击

结合历史样本进行横向对比，我们注意到在此前已确认由 TeamPCP 发起的 LiteLLM 和 Telnyx 供应链投毒事件中，恶意代码顶部并未出现类似的文字标记。这一差异点值得关注。

图9 LiteLLM 和 Telnyx事件中恶意代码示例

综合以上分析，目前尚无法仅凭代码中的文本标记将此次 Xinference 事件确定性归属于 TeamPCP 组织。该标记既可能是攻击者的真实署名，也可能是第三方蓄意嫁祸的假旗手段。我们将持续关注此事件的后续发展，并在获得更多关联证据后更新归属研判结论。

如果您受到影响，请您：

1. 立刻隔离受影响资产：对安装过受影响版本（2.6.0/2.6.1/2.6.2）的主机、容器、CI 节点执行网络隔离，优先阻断到可疑域名与外连通道。

2. 紧急下线受污染版本：卸载受影响包并清理缓存镜像，禁止继续使用受影响版本。

3. 强制轮换所有高价值凭证：包括云账号 AK/SK、K8s Token、仓库访问令牌、数据库口令、Webhook、VPN 与证书私钥。

4. 检查 __init__.py 是否存在异常 Base64 长字符串、可疑执行链（如 exec()、subprocess.Popen()、subprocess.run()）。

5. 搜索攻击者标记与阶段特征：# hacked by teampcp、X-QT-SR、whereisitat.lucyatemysuperbox[.]space。

6. 查找可疑中间文件或压缩产物（例如 love.tar.gz、临时文件 f）。

跳转微信打开

近期360高级威胁研究院捕获APT-C-13组织利用SSH与TOR嵌套隧道技术实施定向攻击的多个恶意样本，这些样本在受害机与攻击者之间搭建了一条双重加密的“匿名直梯”，从而让攻击者能够肆无忌惮的进行敏感信息窃取。

近期360高级威胁研究院捕获APT-C-13组织利用SSH与TOR嵌套隧道技术实施定向攻击的多个恶意样本，这些样本在受害机与攻击者之间搭建了一条双重加密的“匿名直梯”，从而让攻击者能够肆无忌惮的进行敏感信息窃取。鉴于这类攻击很少被披露，因此本文详细介绍整个攻击流程，希望相关企业和个人能够提高安全防范意识，采取有效措施保护企业资产和用户财产免受损失。

1.攻击流程分析

APT-C-13组织通过鱼叉邮件投递携带恶意LNK文件的ZIP压缩包，诱骗用户执行后，LNK文件会在用户配置文件目录及其子文件夹中递归搜索诱饵压缩包并多层解压至指定位置，随后运行主控脚本创建SSH与TOR两个计划任务以构建复杂通信链路。其中TOR任务利用HiddenServicePort特性将受害机本地关键服务端口（如SMB/445、RDP/3389）映射至Onion匿名域名，使攻击者无需穿透入站防火墙即可通过Tor节点全球直连内网；同时SSH任务在Tor隧道内部署轻量化SSH服务端，通过PubkeyAuthentication公钥认证和自定义Subsystem子系统配置，形成兼具强加密性与权限控制的隐蔽远程管理通道，有效规避传统流量审计。整个攻击流程如下所示。

2.载荷投递分析

近期我们捕获了该组织多个攻击样本，下面以其中一个ZIP压缩包进行分析。

解压该恶意压缩包后，发现其中包含两个精心伪装的组件：一个是图标和文件名刻意模仿PDF文档的LNK快捷方式文件，另一个是设置了隐藏属性的虚假系统文件夹"$RECYCLE.BIN"，该目录通过属性伪装成Windows回收站系统目录以迷惑用户。

提取该LNK文件的命令行参数，如下所示。

该LNK主要功能是释放多个恶意载荷并执行，其流程是：首先在当前用户的配置文件目录及其子文件夹中递归搜索自身诱饵压缩包（Iskhod_7582_Predstavlenie_na_naznachenie.zip），将其解压至AppData\Roaming\uuidPeriod目录后，定位其中伪装在$RECYCLE.BIN路径下的无后缀文件employeeTrigger并将其强制重命名为.zip格式，随即将其二次解压至AppData\Roaming\outlook目录，最终读取解压出的currentSessionTrigger文件内容，将其作为PowerShell指令启动一个隐蔽无窗口（Hidden）的进程在后台静默执行。其解压后所有的文件如下所示。

为了方便阐述，这里先把该目录中所有的文件功能都列举出来。

1）核心控制与启动

2）伪装的服务端程序 (Executables)

3）配置文件与密钥 (Configs & Keys)

3.攻击组件分析

1）主控脚本分析

Lnk文件运行后，其首先加载的是主控脚本currentSessionTrigger，该文件具体内容如下所示：

currentSessionTrigger脚本作为整个攻击链的初始化核心，集成了环境检测、反取证及持久化部署功能。脚本运行开始即执行严格的沙箱及虚拟机检测逻辑，通过校验%APPDATA%\Microsoft\Windows\Recent路径下的.lnk文件数量（阈值≥10）以及系统当前运行的进程总数（阈值≥50）来判定宿主环境。若任一条件未满足，脚本将判定当前环境为虚拟机或分析沙箱并立即终止运行。在确认环境安全后，脚本会立即执行诱饵展示与痕迹清除操作：将伪装的 PDF 文档（Iskhod_7582_Predstavlenie_na_naznachenie.pdf）移动至用户的 Downloads目录并调用系统命令打开，以此转移受害者注意力。打开的诱饵文档如下所示。

随后，主控脚本递归删除释放目录（uuidPeriod）及脚本自身文件，最大限度消除磁盘取证痕迹。在确保单实例运行方面，脚本创建了名为Global\ratingMethod的系统互斥体，一旦检测到同名互斥体存在即退出，防止多重实例冲突。紧接着，脚本通过读取并修改预置的XML模板（externalCustomerDate.xml 与 previousAdminResult.xml），将模板中的$UserId占位符替换为当前环境的“域名\用户名”，并据此注册名为OperagxRepairTask和DropboxRepairTask的两个计划任务。这两个任务分别伪装成Opera GX浏览器和Dropbox的修复程序，实现了恶意载荷的开机自启与持久化驻留。

脚本最后阶段是建立C2通信通道。脚本进入循环等待状态，持续监测%APPDATA%\outlook\exceptionTag\hostname文件（由Tor服务端启动后生成的隐藏服务标识）是否生成。一旦获取到该文件，脚本读取其前56字节的主机名片段，结合当前用户名与硬编码版本号（3-vquemoxm），拼接成查询参数。随后，脚本调用系统curl命令，通过参数--socks5-hostname localhost:9050强制流量经由本地Tor代理转发，并配合 --retry 1000 及 --retry-all-errors 参数确保持续高频重试，最终将受害者的上线信息发送至硬编码的暗网C2地址（kvk46su7d2qi6g4n43syp4zbsf2rihnc6ztj77qtc2ojvewjqvqilnqd.onion），完成整个攻击链的闭环。下图是Tor服务端运行后的hostname。

2）计划任务分析

在主控脚本中会加载两个XML配置文件，以创建两个计划任务，这两个计划任务具体内容如下：

从这两个XML文件可以看到其核心触发机制配置为 LogonTrigger，即在用户登录时自动执行。模板中的$UserId字段设为占位符，配合前序 PowerShell 脚本的执行逻辑，该字段会在运行时被动态替换为受害者的“域名\用户名”，从而确保恶意任务精准挂载至受攻陷的用户账户下，实现开机即运行。

此外，为了确保恶意载荷的隐蔽性与运行稳定性，配置文件启用了一系列激进的设置。任务被标记为true，使其在任务计划程序的默认UI视图中不可见，以此逃避管理员的常规检查。同时，配置极大地放宽了运行限制：PT0S将执行时限设为 0（即无限制），允许恶意进程无限期常驻后台；而false与false则强制任务即使在笔记本电脑未连接电源的电池模式下也能启动且不被系统终止，绕过了常规的电源节能策略。

最后，通过传递参数 --headless，攻击者指示conhost在不创建任何可见窗口的情况下启动目标程序。被启动的二进制文件operagx.exe和dropbox.exe分别伪装成合法的Opera GX浏览器和Dropbox 云盘进程，实际上是SSH服务端和Tor服务端。此外，启动参数 -f statePointer 和 -f statusMap 进一步指定了软件运行所需的特定配置文件，确保了攻击组件按预定逻辑加载并建立连接。

3）SSH与TOR配置文件分析

下图分别是Tor客户端与SSH客户端配置

a. SSH 服务端配置 (statePointer)：构建隐蔽内网后门

statePointer是一个经过自定义的OpenSSH服务端配置文件，配合伪装成operagx.exe 的 SSHD程序运行。该配置文件的核心策略是“隐蔽监听”：服务被强制绑定在本地回环地址127.0.0.1的非标准高位端口20321上。这意味着该SSH服务不直接对公网开放，防火墙无法从外部扫描到该端口，仅接受来自本机Tor隧道的流量。在身份验证方面，配置明确禁用了密码登录 (PasswordAuthentication no) ，并指定 AppData\Roaming\outlook\indexWeight 为公钥文件(AuthorizedKeysFile)，确保只有持有特定私钥的攻击者才能访问，有效防止了暴力破解和管理员的偶然发现。此外，攻击者还对文件传输功能进行了进程伪装，将SFTP子系统指向名为obsstudio.exe的程序 ，使其在进程列表中看起来像是OBS直播推流软件，从而混淆视听。

b. Tor隐藏服务配置 (statusMap)：打通暗网穿透隧道

statusMap是标准的Tor客户端配置文件(torrc)，配合伪装成dropbox.exe的Tor程序使用，其目的是将受害主机的本地服务暴露给暗网。配置首先指定HiddenServiceDir 为 "exceptionTag/" ，Tor启动后会在此目录生成私钥和 .onion域名，确立受害主机的暗网身份。随后，攻击者定义了一组精密的“端口映射矩阵”，将Tor网络的虚拟端口流量转发至本地敏感端口：外部访问Tor的20322端口被直接导向本地的SSH服务（20321），构成了主要的控制通道；同时，配置还暴露了Windows的SMB端口 (445映射为11435)和RDP远程桌面端口(3389 映射为13893) ，这表明攻击者意图进行文件窃取、横向移动甚至获取完全的图形化控制权。此外，配置中还包含 12192 和 14763 等非标准端口的映射 ，为后续攻击预留的端口。为了进一步隐藏踪迹，Tor的运行数据目录被命名为opera，试图伪装成浏览器缓存数据。

攻击者通过SSH与TOR隧道相互配合，可以在受害者核心网络中建立一个永久、匿名、加密、且能全权远程控制的“影子管理台”，以达到窃取敏感信息的目的。

APT-C-13组织针对受害者网络环境中的流量审查、IP封锁等情况也做出了考量，下图是Tor在运行时加载的网桥配置文件。

Tor网络连接启用强制混淆网桥（Obfuscated Bridges）接入机制，而非直接连接公开的Tor入口节点。这种配置策略表明攻击者对目标网络环境有明确的预判，预置了对抗网络封锁的手段。在技术实现上，该配置启用了obfs4混淆协议。通过配置文件中的指令，恶意软件调用了伪装成safari.exe的插件程序（实为obfs4proxy）来处理所有出站流量。obfs4协议能够剥离Tor流量中典型的加密指纹特征，将其重塑为在统计学上看似完全随机的无意义TCP数据流。

这一机制是恶意软件实现深度防御规避的关键。通过混淆流量，攻击者可成功绕过企业级防火墙和国网络审查系统的深度包检测（DPI）审计。无论目标网络是否存在流量白名单或协议阻断策略，该配置都能极大提高通信的生存率，确保受害主机与暗网C2服务器之间的控制通道畅通无阻，实现持续性的隐蔽控制。

根据对该样本及其执行链路的溯源分析，我们较有把握判定此次攻击活动与Sandworm组织存在关联。首先，恶意载荷伪装成Outlook组件，以及创建计划任务的方法与Sandworm组织历史攻击模式类似。其次，攻击者采用了其标志性的“双层嵌套匿名隧道”架构，利用混淆后的obfs4网桥接入TOR隐蔽网络，并在其隧道内部嵌套SSH服务，实现对受害机445与3389端口的匿名化映射，这种控制手段与境外应急响应机构发布的关于Sandworm组织文章^[1]相似，不同在于公开样本采用NSIS打包，但设计思路一致，其中SSH和TOR的配置文件基本类似，只是从单一样本变成多个样本相互配合的模式，因此本次攻击行动可认为是之前攻击方式的升级。此外，相关公开分析文章^[2]也认为这种攻击技术可能与Sandworm组织存在较强关联性。需特别指出的是，早期网络安全研究公司也曾将此类基于匿名隧道的攻击活动归因于具备强力境外国家背景的黑客组织^[3]。最后，根据捕获的部分样本上传来自于东欧地区，伪装文件使用当地通用语言编写且内容与军事题材有关，结合区域安全态势综合研判，本次活动归属Sandworm组织的可信度较高。

MD5:

09f402a02b615dcd14786aaa840db0a2

1b39fce74193dd2cd5c36b2f8b626273

2156c270ffe8e4b23b67efed191b9737

a6d095dc0e01f97db7e74cb5bed402dc

53ac08488544ad1fefd6363db44549cf

227b3fa386cad73f0f388d801060e2c8

0b6f7356919b9632c1158681ee0462f3

4d5074d6e0722ceec45a083fa8444164 

99732e49668e56527963742922277459

6616717dfb2a795113b47d862c5412e2

5db8e71b8e82661408f96b43e7ae8faf

487557c9b7288a6b035911a7652ad57c

C2: 

kvk46su7d2qi6g4n43syp4zbsf2rihnc6ztj77qtc2ojvewjqvqilnqd.onion

imnlyhj4mtmtesqrvf7c4ma6dkxeyxw3ae53w6fuz42spndg7zpat6qd.onion

2zrek3mkl72d5b6evpkx2rz2glzrltiorgblpfb2ttg6lacwlsdk4iqd.onion

nytiplwknkinobjaeb5tajjiglip3vtaccju6ta7d47u5u64ktrwhrqd.onion

3xl6xhboulyuez6fuydyhj7pdvkshzn4ogsmgwbb3ukrkvgi6bcwvfyd.onion

e3mnde5uyuxjoztup6t3m7nykbicexbzra76ucligwgsaez65w63y2ad.onion

[1]https://cert.gov.ua/article/6281701

[2]https://securityonline.info/sandworm-apt-attacks-belarus-military-with-lnk-exploit-and-openssh-over-tor-obfs4-backdoor/

[3]https://cloud.google.com/blog/topics/threat-intelligence/apt29-domain-frontin/

跳转微信打开

360高级威胁研究院在APT威胁狩猎中发现该组织以伊朗全国热点性抗议事件为相关诱饵的多个攻击样本

1.攻击流程分析

OilRig组织近期以伊朗全国性抗议事件为相关主题的钓鱼攻击中，投放了高度隐蔽的Excel宏文档，这些样本利用社会热点事件（如“德黑兰xx名单、最终名单_德黑兰xx.xlsm”等）伪装诱饵，诱导目标启用宏后触发多阶段感染链：首先通过VBA宏从CustomXMLParts解码出C#源代码，现场调用csc.exe编译成恶意加载器；该加载器启动后访问硬编码的GitHub仓库，从中读取经编码的配置数据，解析得到Google Drive共享链接；链接指向一张看似普通的图片，但内部采用LSB（最低有效位）隐写技术嵌入加密配置；加载器提取并解密配置后，获取多个后续模块的下载地址，逐一下载并动态加载窃密、命令执行等功能模块，最终通过Telegram Bot API建立加密C2通道，实现命令控制、数据窃取与回传。流程如下所示：

2.载荷投递分析

MD5	717da2804144e9759c4e6409f18b7b4b
文件名称	یست نهایی_جانباختگان_دی_1404_تهران_بخش دوم.xlsm
文件大小	724字节

“یستنهایی_جانباختگان_دی_1404_تهران_بخشدوم.xlsm”是一个携带宏代码的恶意文件，翻译为“最终名单_德黑兰xxxx.xlsm”。伊朗历1404年1月，对应的是公历2025年12月21日至2026年1月19日，推测可能是与2026年伊朗最新社会热点事件相关。

一旦受害者打开该恶意文档，当启用宏之后，宏代码会依次获取名为“evil”，“p2”，“p3”的customXml对象。然后再将其Base64解码，依次得到C#源码，AppVStreamingUX.exe.config和fsvc.exe.config，并将C#源码释放到临时目录下。

接着优先将AppVStreamingUX.exe文件拷贝到“%LOCALAPPDATA%\WindowsMediaSync”，如果拷贝失败，则将“dfsvc.exe”文件拷贝到%LOCALAPPDATA%\WindowsMediaSync目录下。并将AppVStreamingUX.exe.config，dfsvc.exe.config同步释放到%LOCALAPPDATA%\WindowsMediaSync目录下，并使用csc.exe编译生成“AppVStreamingUX_Multi_User.dll”。

然后将内嵌的xml文件写入到task_def.xml文件中。

最后创建计划任务，路径设置为拷贝的白文件路径，当白文件(AppVStreamingUX.exe或者dfsvc.exe)执行时，就会加载编译好的恶意AppVStreamingUX_Multi_User.dll文件。

 2. 3.攻击组件分析

3.攻击组件分析

“یستنهایی_جانباختگان_دی_1404_تهران_بخشدوم.xlsm”会将内嵌在恶意载荷中的C#源码释放到%TEMP%~[temp].cs。这是一个高度模块化的后门程序。

当CLR创建AppDomain时，会自动触InitializeNewDomain()方法，从而启动线程ExecuteCoreLogic()。

首先，会打开“%LocalAppData%\\Microsoft\\CLR_v4.0_32\\NativeImages\\ImageConfigFile8.Lock”文件，以保证单一实例。

获取当前进程的路径。如果出现异常，就实现重启。

接着获取远程的配置信息，主要通过下面四个步骤实现。

第一步：获取“https[:]//gist.github.com/johnpeterson1304/d7bc6b1e29bfc64d237b1a7cbbc653b8”中“tamiManager.txt”文件的内容。

第二步：将“tamiManager.txt”的内容使用Base64解码，得到下一阶段的下载链接https[:]//drive.google.com/uc?export=download&id=16tJgaxgsIl-F5l_ftyqItFo8SxpuaQPv，通过该链接可以下载一个名为“MIO9.png”图片

第三步：攻击者使用图片隐写术，将配置信息嵌入到该图片中，然后使用特定LSB算法提取配置信息。

第四步：根据XORKey，依次使用Base64+XOR解密获取配置信息，并将配置信息进行填充，xor表示异或解密使用的Key，tel表示token，chat为chatId，m1-m5分别是下一阶段模块的下载地址，其余字段未使用。

最终获取的配置信息如下：

对该配置解密得到Google Drive链接，这些链接分别指向pr（持久化模块），up（上传模块），do（下载模块）,cm（命令执行模块）和runApp（程序执行模块）。

接着通过GitHub API获取指定Gist中的配置文件（etagtest.txt），然后解析内容并抢占标记为"FREE"的配置项（将其状态更新为"USED"），最后将包含Telegram Bot Token和Chat ID的配置信息写入本地缓存（CONF.dat）以便后期使用，并同步更新Gist的配置文件etagtest.txt中。

然后使用内存加载的方式执行各个模块，从上述得到的谷歌云盘URL获取解密数据，解密方式依然采用base64+xor的方式如下所示：

首先加载的是pr模块，目的是实现持久化。传入的参数是moduleName和当前路径appPath。根据moduleName参数选择需要下载的C#的源码，然后进行编译，最后通过内存加载的方式执行pr模块。

pr模块实际上是一个实现计划任务的功能，持久化路径是传入的参数，也就是当前进程路径。

然后通过telegram API发送"is online"消息，实现心跳上线。

然后通过Telegram Bot API实现C2通讯交互从而实现远程控制，目前支持的功能有dllexec，upload，download，cmd，runapp。

dllexec的功能是dll模块内存加载，可以通过编译CS源码执行Dll，也可以通过指定的Dll路径执行文件。

up功能为文件上传，它是通过内存执行up模块实现的。up模块内容如下：

download功能是文件窃取，它是通过执行do模块实现的，do模块内容如下：

需要说明的是，do模块中存在大量波斯语的注释。

Cmd的功能是命令执行，它是通过执行cm模块实现的，cm模块的内容如下：

Runapp的功能是执行程序，它是通过加载RunApp模块实现的，RunApp的内容如下：

值得一提的是我们发现该github用户johnpeterson1304的名下，还存在多个命名规则相似、仅包含单一txt文件的独立仓库，其文件内容均为 Base64编码字符串，用于外部资源（Google Drive）下载链接的托管与分发，这些链接都是指向图片,对这些图片使用LSB算法提取配置信息并解密后得到的信息相同，后续和上述分析一致。

此外在该仓库下我们还发现本次攻击行动的测试样本，相较测试样本，现在版本在隐蔽性和功能扩展性上有了显著提升，增加了对动态编译源码的支持，还增加了直接内存加载 DLL的方式。这样的目的使得攻击载荷的下发更加多样化且难以追踪。

通过对本次攻击事件的详细分析，综合初始载荷的执行入口设计、关键技战术要素及完整攻击链条特征判断，该样本在整体作战思路与工程实现层面与APT34历史活动高度一致，具体表现如下：

1. 初始载荷和APT34以往样本的技战术保持极高一致性^[1]，都以Excel的工作簿事件作为主要入口点，并且都涉及sheet操作（以往样本是可见性切换来实现反沙箱/诱导启用宏，本次样本升级为针对特定字符的内容损坏/恢复机制，可能用于迷惑用户以便动态编译payload）。此外，更重要的是攻击链条高度统一：VBA宏+Base64解码（从UserForm或CustomXMLParts提取）+写入.exe+同名.config配置文件+XML定义的定时任务（schtasks或Schedule.Service）+.NET载荷执行。该链条在组件拆分方式、数据承载位置选择以及持久化实现路径上均与APT34历史样本保持一致，呈现出明显的家族化与工程化特征。

2. 该组织近年来不断通过滥用合法云平台来掩盖其恶意流量，本次使用谷歌云盘下发数据和使用Telegram作为C2通信也与该组织以往技战术符合。

3. 无论是前期测试代码还是本次实际的攻击代码均存在波斯语的注释，说明攻击者以波斯语为母语，符合攻击者身份。

综上所述，将本次攻击归属到APT-C-49（OilRig）组织。

MD5

717da2804144e9759c4e6409f18b7b4b

07aa715f8a6f56a96476aae0ebca17c7

d0d17a50422e3d4a0a50fed0878a47d6

ca002f49f3d5ee36ded21e235e8d04e7

9c0409be11a6c4433896db58e7095464

https://www.threatdown.com/blog/apt34-targets-jordan-government-using-new-saitama-backdoor/

跳转微信打开

本次报告，我们继续对事件进行进一步的追踪披露，并结合360安全大脑的最新威胁情报数据，进一步开展归因分析

一、概述

axios是一个基于Promise的HTTP客户端，在JavaScript和Node.js 生态系统中被广泛使用。

2026年3月30日，axios遭遇供应链攻击。攻击者成功劫持了维护者账户(jasonsaayman)，在npm官方仓库发布了两个恶意版本（axios@1[.]14.1和axios@0[.]30.4），通过注入恶意依赖plain-crypto-js@4[.]2.1，该包此前并不存在，且从未被axios代码实际导入。其唯一目的是执行一个安装后脚本，该脚本会释放并运行一个针对macOS、Windows和Linux的跨平台远程控制木马（RAT）。恶意版本在npm上存活约3小时后被下架。

结合360安全大脑数据，我们将axios入侵事件与我们跟踪的一起Lazarus组织活动关联起来，二者使用多处相同的命名及相似代码结构。同时，axios入侵事件使用的样本与早期被披露的RustBucket恶意组件存在关联。因此我们认为此次axios入侵事件归属到Lazarus组织。

Lazarus组织长期通过感染npm包的方式进行供应链攻击，依据以往攻击手法，攻击人员预先通过求职/招聘/面试等方式向开发人员投递钓鱼链接/被感染的工程项目，致使开发人员被攻击，随后攻击者再通过窃取开发人员账号发布被污染的工程项目，以实现供应链攻击。

二、归属研判

在我们持续监控Lazarus组织的活动中，该组织发起了一项攻击活动，在该活动中，受害者被从消息平台例如Telegram引诱到会议相关诱饵中，例如Zoom会议，随后下发及诱导执行PowerShell相关脚本从而可以多平台上执行实时命令和窃取凭据。Daylight也披露过同类活动，将其跟踪为GhostCall活动。

在之前攻击活动中，攻击者使用的样本(ea3192f64b9988889d5f8c61be637d2a)名为“c:\programdata\system.bat”,从恶意域名microsmeet[.]xyz和bluyy[.]com下发载荷。经过分析比对axios入侵事件们发现:

• 样本的命名与命令行基本一致;

• 建立的注册表项 Run 项均是MicrosoftUpdate;

• 与Daylight报告披露的Lazarus组织的基础设施一致。

图1 089e2872016f75a5223b5e02c184dfec与ea3192f64b9988889d5f8c61be637d2a样本命令行一致

因此我们以强烈的信心将axios入侵事件与我们持续跟踪的Lazarus组织活动(也称为GhostCall活动)关联起来。

其次，在2023年4月21日的报告中，Jamf Threat Lab披露了名为“RustBucket”的 macOS 恶意软件变种。该报告披露第三阶段载荷(182760cbe11fa0316abfb8b7b00b63f83159f5aa)包含webT模块。

图2 RustBucket样本模块信息

在分析axios入侵事件，我们提取了macOS平台样本的构建信息，可以看出项目名称为macWebT，与上文webT字符串同类。 

1. /Users/mac/Desktop/Jain_DEV/client_mac/macWebT/macWebT/

2. /Users/mac/Library/Developer/Xcode/DerivedData/macWebT-hlbytmqtodqtmmfrlgcunsjzzmop/Build/Intermediates.noindex/macWebT.build/Release/macWebT.build/Objects-normal/arm64/main.o (raw binary string)

3. /Users/mac/Library/Developer/Xcode/DerivedData/macWebT-hlbytmqtodqtmmfrlgcunsjzzmop/Build/Intermediates.noindex/macWebT.build/Release/macWebT.build/Objects-normal/x86_64/main.o (raw binary string)

因此，我们认为此次axios入侵事件是Lazarus组织所为。

 三、处置建议 

参照此前报告：《Axios npm供应链攻击威胁分析报告》

kenaikoda[.]com

teams.onlivecall[.]com

23.254.204[.]101:80

3f47643c7a5cbf132f46b4cba75d1aa3

db07741e586bfae526730c592a2ffe6a

ea3192f64b9988889d5f8c61be637d2a

41372946fe231c73750428700f6015fb

跳转微信打开

本次攻击采用“幽灵依赖 + 诱饵版本 + 自清理”策略，能够在不触发常规源码差异检查的情况下完成投毒，并在短时间内完成发布、感染与下线

跳转微信打开

APT-C-13组织近期正利用其深度迭代的模块化渗透框架——Tambur/Sumbur/Kalambur系列，开展高强度的定向攻击

跳转微信打开

ComfyUI中检出XMRig挖矿木马，深入排查及溯源后发现攻击者利用ComfyUI-Manager 注入漏洞（CVE-2026-22777）进行入侵，全球数万台设备受此高危漏洞影响⚠️

ComfyUI是一款基于节点式工作流的 Stable Diffusion图形界面工具，被广泛应用于AI绘画领域，而ComfyUI-Manager是ComfyUI 扩展管理器插件，用于管理自定义节点、模型和安装更新。

近期，360安全大脑告警ComfyUI中检出XMRig挖矿木马，深入排查及溯源后发现攻击者利用ComfyUI-Manager 注入漏洞（CVE-2026-22777）进行入侵，并向ComfyUI execution.py、server.py中注入挖矿脚本以实现隐匿挖矿，结合360网络空间测绘数据，全球数万台设备受此高危漏洞影响。

因攻击项目开发者为adolf hitler，且挖矿配置文件config.json包含信息"user-agent": "hitler-miner v14.88"，故将该挖矿家族命名为“HitlerMiner”。

ComfyUI-Manager 默认暴露了可通过Web API修改配置项的接口，且未对用户输入的\r\n等特殊字符进行过滤，导致存在CRLF注入漏洞。攻击者可通过换行符注入恶意配置项，将security_level降级为weak，从而允许执行高风险操作（如安装任意 git 仓库、pip 包等）实现远程代码执行，最终控制服务器。

HitlerMiner挖矿木马项目更新频繁，从2025.12.10-2026.03.08不到3个月已进行了100余次提交，如下是其历史版本的部分commits记录： 

2026-01-10版kalost-installer-fdf951c790a5源码截图如下：

本文以2026-01-10版kalost-installer-fdf951c790a5作分析，其利用CVE-2026-22777入侵并传播挖矿木马的攻击流程图如下。

4.1漏洞利用

攻击者在公网扫描暴露ComfyUI且运行含CVE-2026-22777漏洞的ComfyUI-Manager资产，利用此漏洞可在无需用户交互的情况下远程安装恶意自定义节点。下图是攻击者入侵后，被修改的ComfyUI-Manager配置文件config.ini截图，可看到security_level被修改为weak级别以允许安装任意来源插件。

如下是攻击者植入的恶意自定义节点asdfsdfpoc，项目地址:http://fbyavpt7.requestrepo[.]com/asdfsdfpoc.git。

值得注意的是，恶意节点asdfsdfpoc中的文件__init.py__、install.py（即本次攻击事件中的injector.py）在安装过程中便立即执行。为阻碍溯源分析工作，攻击者删除了该节点下的Python脚本（只剩一个.git文件夹），虽然ComfyUI重启后，恶意节点asdfsdfpoc因缺少__init.py__.py而导入失败，但不影响injector.py生成的恶意脚本execution.py正常执行。

4.2木马源头 —— 注入器injector.py

注入器injector.py主要实现以下功能：

需要注意的是，injector.py采用了输出重定向技术，通过将关键输出重定向到内存缓冲区中以隐藏敏感日志输出。

4.2.1覆写自定义节点srl-nodes

srl-nodes^[4]是一个允许执行任意代码的ComfyUI自定义节点，injector.py执行后会从攻击者代码托管平台下载init.py以覆写自定义节点srl-nodes（不存在则主动创建）的__init__.py，从而加载injector.py（以 #FUCK_PUTIN 打头）实现持久化，替换前后对比如下：

值得注意的是，若custom_nodes中本身就安装了自定义节点srl-nodes，由于替换前后目录表未改变，文件夹srl-nodes的修改日期仍是其最初安装时间，这一点非常隐蔽。

4.2.2patch后的execution.py

攻击者在ComfyUI原始的execution.py基础上注入了挖矿信息（即填充了钱包地址的miner_manager.py），并增加了矿工管理函数manage_miner()，注入前后对比如下：

需要注意的是，execution.py中的外层函数在import execution时便执行，且先于manage_miner(action)执行。

4.2.3patch后的sever.py

patch后的sever.py相比原始版本引入了后门脚本session_utils.py，并在PromptServer类的add_routes()尾部添加攻击代码session_utils.setup_routes(self.app)，注入前后对比如下：

下图是ComfyUI根目录下最终安装的恶意模块，execution.py、server.py会在ComfyUI重新启动时自动加载。

4.3ComfyUI后门 —— session_utils.py

session_utils.py为ComfyUI添加了一个功能强大的后门，实现了基于Cookie的会话认证机制，并允许授权用户通过Web界面完全控制系统。攻击者还内置了硬编码的后门密钥“hitler1488”。

session_utils.py还允许使用run_shell_command_sync()函数执行命令： cd命令切换目录、通过subprocess.run()执行其他命令。

4.4矿工管理器miner_manager.py

miner_manager.py主要用于下载挖矿脚本，继而下载XMRig、LolMiner、TrexMiner等矿工进行挖矿牟利。

早期miner_manager.py使用明文的文件名集合，且在injector.py中进行赋值。

2026-01-13之后的新变种则使用base64编码的文件名集、路径集，并调用three_random()给xmrig, lol, watchdog三个文件生成随机的绝对路径。

最终，/root目录下安装的矿工、配置文件、挖矿日志如下：

4.5挖矿进程守护程序watch_dog