新解密的破坏性恶意软件针对伊朗核计划,比大名鼎鼎的Stuxnet更早

研究人员终于破解了 Fast16，这是一种能够无声地篡改计算和仿真软件的神秘代码。该代码创建于2005年，很可能由美国或其盟友部署。

一种已有21年历史的恶意软件，能够篡改科研和工程软件，从而在不被察觉的情况下制造混乱——这种恶意软件可能早在“震网”出现之前就已被伊朗使用。

来自网络安全公司SentinelOne的两名研究员Vitaly Kamluk和Juan Andrés Guerrero-Saade周四公布了Fast16恶意软件之谜的突破性进展。

Fast16是一段代码，自2017年美国国家安全局（NSA）泄露其存在以来，其用途一直困扰着网络安全界。SentinelOne的研究人员现在已经对Fast16代码进行了逆向工程，他们表示该代码可以追溯到2005年，很可能是由美国政府或其盟友创建的。

Kamluk 和 Guerrero-Saade 已经确定，Fast16 恶意软件旨在执行迄今为止在实际恶意软件工具中发现的最隐蔽的破坏形式：Fast16 通过自动在网络中传播，然后悄悄操纵某些执行高精度数学计算和模拟物理现象的软件应用程序中的计算过程，从而改变这些程序的结果，导致从错误的科研结果到对现实世界设备的灾难性损坏等各种故障。

“它专注于对这些计算进行细微的改动，从而导致故障——非常细微的故障，或许不会立即显现。系统可能会加速老化、崩溃或彻底失效，科学研究也可能得出错误的结论，从而造成严重的危害。”Kamluk说道。

Kamluk 和 Guerrero-Saade 在分析 Fast16 时发现了三种恶意软件可能旨在篡改的潜在物理模拟软件：葡萄牙开发人员创建的用于模拟水系统的 Modelo Hidrodinâmico (或 MOHID) 软件；名为 PKPM 的中国建筑工程软件；以及或许最为重要的物理模拟软件 LS-DYNA，该应用程序最初由曾在美国劳伦斯利弗莫尔国家实验室工作的科学家创建，现在用于模拟从鸟类和飞机之间的碰撞到起重机部件的抗拉强度等各种情况。

在所有这些可能性中，卡姆卢克和格雷罗-萨德特别指出了一种理论的证据：据科学与国际安全研究所称，伊朗科学家也曾使用LS-DYNA进行研究，而这些研究可能对其核武器计划有所贡献。

该研究所还指出，该软件可用于模拟与核武器研究相关的物理问题，例如核武器中金属的相互作用以及弹道导弹重返地球大气层时对核弹头的影响。

所有这些都表明，Fast16 可能在 2000 年代中期被专门用于破坏伊朗获取核武器的企图，甚至可能在 Stuxnet 被部署以通过更直接的破坏形式达到相同目的的数年前就被部署，作为美国国家安全局和以色列 8200 部队黑客组织开展的名为“奥林匹克运动会”的联合计划的一部分。

Fast16 的谜团最早于 2017 年 4 月浮出水面。当时，一个名为“影子经纪人”（Shadow Brokers）的黑客组织（至今身份不明）不知何故获取并泄露了大量美国国家安全局（NSA）的工具到公开互联网上。

其中一款名为“领土争端”（Territorial Dispute ）的工具，似乎旨在帮助 NSA 特工在全球范围内入侵网络时避免与其他黑客行动发生冲突。

匈牙利研究员博尔迪扎尔·本恰特（Boldizsár Bencsáth）率先对该工具进行了深入分析，发现其中包含大量恶意软件样本，包括一些 NSA 和其他“友好”机构使用的恶意软件，以及关于何时“撤回”以避免被敌方入侵行动发现的指令。

在列出的样本中，有一个样本的标签完全不同。对于名为“fast16”的恶意软件，研究人员推测，这条奇怪的指令可能意味着fast16是美国国家安全局、美国情报界的其他机构或承包商，或是盟国情报机构的作品——并且NSA的黑客不应该干预它。

然而，由于ShadowBrokers泄露的恶意软件中似乎并未包含任何名为Fast16的程序，因此关于该恶意软件的其他信息仍然未知。

直到2019年，Guerrero-Saade才在VirusTotal（谷歌旗下的恶意软件代码库）的存档中发现了Fast16的样本。

Guerrero-Saade搜索了代码中包含用于运行Lua编程语言的特定引擎的恶意软件样本——这一特征此前曾在多个高度复杂的国家支持的恶意软件中出现过——最终发现了一个名为svcmgmt.exe的看似无害的应用程序。

经过仔细检查，格雷罗-萨德发现其中包含一个名为 Fast16.sys 的内核驱动程序——一段旨在操作系统最深层、权限最高的代码——该驱动程序似乎是在 2005 年编译的。

尽管格雷罗-萨德发现了Fast16，但又过了七年，人们才最终确定Fast16的实际作用。

在对14年前的恶意软件样本感兴趣的网络安全研究人员这个相对较小的群体中，大多数人第一眼就认为它是一种名为rootkit的恶意软件，这种恶意软件伪装成内核驱动程序，以便更好地隐藏自身，通常用于隐蔽的间谍活动。

仅仅三个月前，Guerrero-Saade 在 SentinelOne 的同事 Kamluk 决定尝试对 Fast16 恶意软件进行逆向工程，以此作为一项实验，比较他自身技能与人工智能工具的水平。就在两周前，他有了一个惊人的发现：Fast16 并非rootkit。（五款顶级人工智能工具都错误地将其判定为 rootkit。）

然而，Kamluk 发现这实际上是一段具有完全不同意图的自我传播代码。Fast16 利用代码中所谓的“蠕虫”功能，通过 Windows 的网络共享功能将自身复制到网络上的其他计算机。它会检查一系列安全应用程序，如果没有，则会在目标计算机上安装 Fast16.sys 内核驱动程序。

该内核驱动程序会在应用程序加载到计算机内存时读取其代码，并监控一系列特定的模式——即“规则”，这些规则使其能够识别目标应用程序何时运行。一旦检测到目标软件，它就会执行其既定目标：悄无声息地篡改软件正在运行的计算，从而在不易察觉的情况下破坏其结果。

“这实际上包含一个非常强大的有效载荷，之前几乎所有研究过它的人都忽略了这一点。”安全研究员Costin Raiu说道。他此前曾领导过一个团队，该团队包括Kamluk和Guerrero-Saade，在俄罗斯安全公司卡巴斯基工作，早期曾对Stuxnet及相关恶意软件进行过分析。“这是一种长期、非常隐蔽的破坏活动，可能很难被察觉。”

Kamluk 和 Guerrero-Saade 寻找符合 Fast16 针对特定破坏目标制定的“规则”的软件，最终找到了三个候选软件：MOHID、PKPM 和 LS-DYNA。

至于“蠕虫”功能，他们认为传播机制的设计使得当受害者在同一实验室的不同计算机上再次检查其计算或模拟结果时，该计算机也会确认错误结果，从而使欺骗行为更难被发现或理解。

就其他网络破坏行动而言，格雷罗-萨德认为，只有Stuxnet勉强能与Fast16相提并论。该恶意软件的复杂性和精密性也使其与Stuxnet一样，属于高优先级、高资源投入的国家支持型黑客攻击。

“很少有情况会为了秘密行动而投入如此巨大的研发精力，”格雷罗-萨德说道，“有人为了减缓、破坏或干扰他们认为至关重要的进程，而改变了既有的模式。”

伊朗假说

所有这些都符合这样一种假设：Fast16 可能像 Stuxnet 一样，旨在破坏伊朗研制核武器的计划。

一个“中高置信度”的理论，即 Fast16 被设计成一个网络打击程序，目标是伊朗的 AMAD 核项目。AMAD 是阿亚图拉·哈梅内伊政权在 21 世纪初为获取核武器而制定的计划。

“这是网络攻击的另一个层面，是针对伊朗核计划发动网络战的另一种方式。”赖乌说。

事实上，格雷罗-萨德和卡姆卢克指出，科学与国际安全研究所发表的一篇论文收集了伊朗科学家进行可能有助于核武器研发的公开证据。在几个有记录的案例中，这些科学家的研究使用了LS-DYNA软件，而格雷罗-萨德和卡姆卢克发现该软件可能是Fast16导弹的潜在攻击目标。

ISIS 的论文指出，一项研究利用 LS-DYNA 软件比较了两种可用于引爆核弹头的炸药 PBXN-110 和 Octol 的特性。论文还指出，Octol 是伊朗 AMAD 项目的关键组成部分。

尽管这篇比较炸药特性的研究论文发表于 2018 年，但 Guerrero-Saade 和 Kamluk 指出，LS-DYNA 软件已经使用了几十年，包括 AMAD 项目实施期间。

研究人员还指出，Fast16很可能被多次用于攻击不同的目标，甚至在不同的国家。该恶意软件的代码中包含“版本控制”系统的证据，以及一些线索表明，Guerrero-Saade和Kamluk分析的样本并非该工具的第一个或唯一版本。

他们和Raiu都指出（但并未得出任何结论），朝鲜的核武器研发计划在同一时期也经历了多次无法解释的失败。“以这样的研发水平，他们不可能只开发一次就停止使用。”Guerrero-Saade说道。

总部位于加利福尼亚州的 Synopsys 公司目前负责维护和销售 LS-DYNA 软件，该公司拒绝了 WIRED 的置评请求。WIRED 还联系了 MOHID 的开发商以及 PKPM 的开发商中国建筑科学研究院，但均未收到回复。

美国国家安全局和国家情报总监办公室均未回应 WIRED 的置评请求。

暂且不论其目标是什么，卡姆卢克表示，一个已有 21 年历史的恶意软件样本能够以几乎无法察觉的方式篡改安全关键的研究和工程，这一发现令人深感不安，甚至引发了妄想——这让他开始质疑自己对计算机的信任，而计算机一直以来都在保障从火车到飞机等一切事物的安全。

“对于任何造成人员伤亡的灾难或事故。”卡姆卢克说，“你不想助长这些恐惧，但它自然而然地就会出现：是否存在网络攻击因素？”

约翰·霍普金斯大学的里德表示，Fast16之所以能长期未被发现，表明它很可能只针对少数目标进行攻击，以保持其隐蔽性。他说，这应该能让那些因Fast16的发现而感到不安的人安心，让他们相信自己的电脑仍然值得信赖——当然，除非他们真的成为了罕见且高度复杂的国家支持的黑客行动的目标。

他表示，对于少数潜在受害者而言，Fast16 事件理应引发人们对计算机乃至所有计算机计算结果的不信任，这些计算结果可能可以追溯到几十年前。“如果你是一个拥有强大对手的国家，并且拥有核计划，那么你可能就无法信任你的计算机。”里德说道。“更糟糕的是：你永远都无法信任它们。”

新闻链接：

https://www.wired.com/story/fast16-malware-stuxnet-precursor-iran-nuclear-attack/

1. 黑客利用 Outlook 邮箱隐藏 Linux GoGra 后门通信

一个与国家支持的黑客组织发现了一种巧妙的方法，将其恶意活动隐藏在微软Outlook邮箱中，使得其攻击更难被标准安全工具检测到。据信自2021年以来一直活跃的Harvester APT组织，已开发出其GoGra后门的新Linux版本。

🔗https://cybersecuritynews.com/hackers-use-outlook-mailboxes/

2. AI辅助的 Lazarus 活动针对开发者，通过植入后门的编程挑战进行攻击

一个受朝鲜政府支持的威胁组织正在开展一项活跃的行动，通过虚假的职位面试和被篡改的编程测试，诱使软件开发人员安装恶意软件。该组织被网络安全公司Expel追踪为HexagonalRodent（也称为Expel-TA-0001），是Lazarus黑客生态系统中的一个分支。

🔗https://cybersecuritynews.com/ai-assisted-lazarus-campaign-targets/

3. 英美两国网络安全机构联合取证分析FIRESTARTER恶意软件

CISA与NCSC评估，高级持续性威胁（APT）行为者正在使用FIRESTARTER恶意软件实现持久化，特别针对可访问的思科Firepower和Secure Firewall设备。

🔗https://www.cisa.gov/news-events/analysis-reports/ar26-113a

4. 新解密的破坏性恶意软件针对伊朗核计划，并早于Stuxnet

研究人员终于破解了 Fast16，这是一种能够无声地篡改计算和仿真软件的神秘代码。该代码创建于2005年，很可能由美国或其盟友部署。

🔗https://www.wired.com/story/fast16-malware-stuxnet-precursor-iran-nuclear-attack/

5. Harvester APT 使用新型 GoGra Linux 恶意软件扩展间谍活动

新的 GoGra Linux 恶意软件被发现与 Harvester APT 有关，针对南亚的系统，使用伪造的 PDF 文件和 Microsoft API 进行隐蔽的命令与控制。

🔗https://hackread.com/harvester-apt-spying-new-gogra-linux-malware/

6. GopherWhisper 通过 Go 后门感染了12个蒙古政府系统

GopherWhisper组织使用大量主要用Go语言编写的工具，通过注入器和加载器在其武器库中部署和执行各种后门。

🔗https://thehackernews.com/2026/04/china-linked-gopherwhisper-infects-12.html

1. 暗网论坛RAMP泄露的数据揭示了俄罗斯勒索软件生态系统

从RAMP泄露的数据揭示了俄罗斯的勒索软件生态系统，分析了1732个主题、7707名用户和34万条IP记录。RAMP不仅仅是一个普通的暗网论坛，它是勒索软件如何成为有组织市场的最清晰例子之一，卖家、买家、经纪人和招聘人员在同一犯罪生态系统中扮演着不同角色。

🔗https://securityaffairs.com/191171/cyber-crime/ramp-uncovered-anatomy-of-russias-ransomware-marketplace.html

2. SystemBC 基础设施泄露揭示了Gentlemen勒索软件网络

与此同时，运营商似乎正在利用公开渠道加强胁迫，选择性地披露受害者信息，以增加压力并加快付款，这表明其采用了一种结合技术复杂性与精心计算的心理优势的混合策略。

🔗https://www.cysecurity.news/2026/04/systembc-infrastructure-breach-sheds.html

3. Trigona 网络勒索软件使用自定义数据泄露工具

勒索软件组织Trigona在最近的攻击中采用了一种新策略，他们使用了自行开发的工具进行数据泄露。

🔗https://www.cybermaterial.com/p/trigona-ransomware-uses-custom-exfiltration

4. 高端化妆品巨头 Rituals 公布数据泄露事件

化妆品巨头Rituals披露了一起数据泄露事件，黑客访问并下载了部分My Rituals会员的数据，包括姓名和地址。

🔗https://securityaffairs.com/191192/data-breach/rituals-discloses-a-data-breach-impacting-member-personal-details.html

5. 黑客因特别关注入侵体育机构而入狱

法国警方逮捕了一名涉嫌参与一系列数据泄露事件的黑客，这些事件影响了该国的多家组织。

🔗https://www.helpnetsecurity.com/2026/04/23/france-hacker-arrested-data-breaches-sports-federations/

6. Vercel 称其部分客户数据在其最近的黑客攻击前已被窃取

该应用和网站托管公司在其最初调查之后，于4月初发生泄露事件后，扩大调查范围，发现了客户账户第二次被入侵的证据。

🔗https://techcrunch.com/2026/04/23/vercel-says-some-of-its-customers-data-was-stolen-prior-to-its-recent-hack/

7. 黑客利用虚假壁纸应用和YouTube频道传播notnullOSX恶意软件

一种名为notnullOSX的新macOS恶意软件于2026年初出现，专门针对持有价值超过1万美元数字资产的Mac用户窃取加密货币。

🔗https://cybersecuritynews.com/hackers-abuse-fake-wallpaper-app/

8. 恶意 npm 包将 Hugging Face 变为恶意软件 CDN 和数据泄露后端

一个名为js-logger-pack的恶意npm包被发现正在悄然将Hugging Face——一个广受信任的人工智能模型托管平台——转变为恶意软件分发网络和被盗数据存储后端。这次活动标志着攻击者如何滥用合法云服务以执行供应链攻击并保持隐蔽的明显转变。

🔗https://cybersecuritynews.com/malicious-npm-package-turns-hugging-face/

9. Checkmarx 供应链攻击利用 Docker 镜像和 CI/CD 流水线

一个Checkmarx供应链攻击使用了恶意Docker镜像和扩展程序来窃取凭据并通过CI/CD流水线传播。

🔗https://www.esecurityplanet.com/threats/checkmarx-supply-chain-attack-exploits-docker-images-and-ci-cd-pipelines/

10. Bitwarden CLI 在通过 GitHub Actions 的供应链攻击中被入侵

Socket 确认，Bitwarden CLI 版本 2026.4.0 是近期 Checkmarx 供应链攻击活动的一部分而遭到破坏，导致数百万用户和数千家企业面临凭证窃取和 CI/CD 流水线入侵的风险。

🔗https://cybersecuritynews.com/bitwarden-cli-compromised/

11. Xinference PyPI 泄漏导致开发者云凭证被盗

一个严重的供应链攻击已破坏了流行的 Python 包 Xinference，使开发者面临大规模数据盗窃的风险。威胁行为者将包含高度混淆的信息窃取器的恶意版本上传至 Python 包索引（PyPI）。

🔗https://gbhackers.com/xinference-pypi-breach-exposes-developers/

1. 最近 Microsoft Defender 漏洞被作为0day漏洞利用

该漏洞允许攻击者访问SAM数据库，提取NTLM哈希，并获得系统权限。

🔗https://www.securityweek.com/recent-microsoft-defender-vulnerability-exploited-as-zero-day/

2. 关键 Pack2TheRoot 漏洞允许攻击者获取根访问权限或破坏系统

德意志电信的红队公开披露了一个高严重性权限提升漏洞，代号为Pack2TheRoot（CVE-2026-41651，CVSS 3.1：8.8），该漏洞影响多个主要Linux发行版的默认安装。

🔗https://cybersecuritynews.com/pack2theroot-vulnerability/

3. 黑客在针对人工智能助手的新攻击中使用隐藏网站指令

Forcepoint的安全研究人员发现新的间接提示注入攻击，这些攻击利用隐藏的网站代码来利用GitHub Copilot等AI助手。

🔗https://hackread.com/hackers-hidden-site-instruction-attack-ai-assistants/

4. 攻击者在公告发布12小时内于野外利用LMDeploy漏洞

在 LMDeploy 的视觉语言模块中存在一个关键的服务器端请求伪造（SSRF）漏洞，该漏洞在公开披露后仅12小时31分钟就被用于主动攻击，且无需利用代码。CVE-2026-33626是 LMDeploy 中的一个高严重性 SSRF 漏洞（CVSS 7.5）。

🔗https://gbhackers.com/attackers-exploit-lmdeploy-flaw/

5. Claude Mythos 暴露 Firefox 中的 271 个0day安全漏洞

Mozilla 已发布 Firefox 150，修复了惊人的 271 个0day漏洞。安全团队使用 Anthropic 的早期阶段 Claude Mythos Preview AI 模型发现了这些潜在缺陷。

🔗https://gbhackers.com/claude-mythos-exposes-271-zero-day-firefox/