大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

你以为遇到的是要钱的勒索软件?大错特错!
2026 年最新揭秘:臭名昭著的 Chaos 勒索软件 背后,藏着伊朗国家级黑客组织 MuddyWater 的间谍阴谋!他们披着“赎金 30 万美金”的犯罪外衣,却根本不加密文件,全程只干一件事:偷数据、留后门、长期潜伏。
这已经不是网络犯罪,而是打着勒索旗号的国家间谍战。
一、离谱!勒索软件不加密,只偷数据
正常勒索软件的套路:
入侵 → 偷数据 → 加密文件 → 发赎金信 → 泄密威胁
但 MuddyWater 这次玩了个“狸猫换太子”:
用 Chaos 勒索软件的招牌、 onion 泄露站、倒计时恐吓
但!根本不执行任何文件加密!
真实目标:长期控制企业内网、窃取敏感资料、留永久后门
Rapid7 安全专家直接定性:
这是一场典型的“假旗行动”(False Flag),勒索只是掩护,间谍才是真相。
二、入侵手法太嚣张:Teams 直接控屏,骗你输密码+绕开 MFA
最吓人的是,这群伊朗黑客连工具都懒得藏,直接用你每天用的 Microsoft Teams 开搞:
1. 伪装成 IT 客服发起 Teams 私聊
2. 直接屏幕共享,盯着你操作
3. 让你把账号密码明文输入到 `credentials.txt`
4. 诱导你把攻击者设备加入 MFA 可信列表
5. 顺手装上 AnyDesk、DWAgent 远程工具
6. 拿下域控,横向渗透全公司
一套连招下来,你的电脑、账号、权限全送出去了。
三、恶意软件全家桶:Game.exe 伪装成微软官方组件
黑客进入内网后,会丢出一个下载器 ms_upd.exe,然后释放真正的后门:
🧊 Game.exe —— 披着微软皮的 RAT 木马
它直接篡改微软官方 WebView2 示例项目伪装自己,PDB 路径写得像真的一样:
`C:\Users\pc\Downloads\WebView2Samples-main\...`
然后开启全套“反侦察”:
反沙箱、反虚拟机
检测调试器、安全软件
AES-256-GCM 加密配置
每 60 秒回连 C2 接收指令
能干什么?
执行任意 cmd / PowerShell
上传、下载、删除文件
开隐藏交互式 Shell
持久驻留,删不掉
四、真实身份曝光:不是黑客,是伊朗情报机构 MOIS
为什么这么肯定?
一枚数字签名直接卖了它!
在 ms_upd.exe 里查到的证书:
使用者名称:Donald Gay
颁发者:Microsoft ID Verified CS AOC CA 02
指纹:B674578D4BDB24CD58BF2DC884EAA658B7AA250C
这枚证书全球安全圈都认识——
正是伊朗情报部 MOIS 旗下 APT 组织 MuddyWater(Seedworm) 的御用签名!
再加上:
C2 域名 moonzonet[.]com 关联 MuddyWater
惯用 pythonw.exe 驻留进程
Teams 钓鱼 + MFA 操纵 = 标准战术
实锤:Chaos 只是皮, MuddyWater 才是魂。
五、他们到底想干什么?答案细思极恐
专家分析,这波行动的真实目的:
1. 伪装成勒索软件,逃避溯源
2. 长期潜伏欧美企业,为未来网络战做准备
3. 窃取敏感资料,服务国家情报
4. 留下永久后门 DWAgent / AnyDesk
5. 模糊犯罪与国家攻击的边界
最可怕的是:
受害企业 81.1% 在美国,重点盯上建筑、制造、服务行业。
这已经不是求财,是战略布局。
六、企业必看:3 步防御这套“假勒索真间谍”攻击
1)死死守住 Microsoft Teams
禁止外部用户发起屏幕共享
禁用陌生人私聊、远程协助
IT 绝对不会通过 Teams 让你输密码
2)严防这三类远程工具
DWAgent、AnyDesk、RDP 非必需一律禁止
监控异常安装、异常外联
内网不允许随便装远程控制软件
3)勒索病毒≠加密
安全团队记住一个铁律:
出现泄露威胁、却不加密文件 → 100% 是间谍行为!
立刻断后门、查域控、扫 RAT、清除持久化。
结尾唠两句
未来的网络战早已不是明刀明枪。
勒索软件是面具,间谍软件是真相。
MuddyWater 这波操作告诉所有企业:
你以为在和黑客谈判,其实在被情报机构监视。
安全圈越来越像谍战片,
而你我,都在战场里。
加入知识星球,可获取权益
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。


二、为什么加入?
职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?
三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」
✅ 职业发展「精准导航」
1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;
晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;
技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。
✅ 安全方案「对症开方」
实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);
架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。
✅ 圈子资源「直接对接」
大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);
四、适合谁?
想突破职业天花板的安全工程师/架构师;
需快速落地安全项目的企业负责人;
关注行业动态的安全爱好者或IT从业人员。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
夜雨聆风