伊朗駭客組織 MuddyWater 已被證實參與一項新的攻擊活動,該活動在 2026 年第一季影響了四大洲至少九個國家的九個組織。
根據 Symantec 和 Carbon Black 的 Threat Hunter Team 的報告,此次活動的目標包括工業和電子製造業、教育和公共部門機構、金融服務以及專業服務業。受害者之一是一家主要的韓國電子製造商,駭客在 2026 年 2 月份潛伏在其網路中長達一週。
在中東的一座國際機場、東南亞的工業製造商以及拉丁美洲的一家金融服務提供商,也被列為這次大規模間諜行動的一部分。
Broadcom 的網路安全團隊表示:「攻擊者嚴重依賴 DLL 側載技術,利用合法簽署的 Fortemedia (fmapp.exe) 和 SentinelOne (sentinelmemoryscanner.exe) 二進位檔來執行惡意 DLL,同時偽裝成無害軟體。」
Group-IB 曾記錄過 MuddyWater 在另一項代號為 Operation Olalampo 的活動中,使用 "fmapp.exe" 來側載 "fmapp.dll"。根據 Huntress 的說法,該 DLL 包含連接到攻擊者控制 IP 位址 ("157.20.182[.]49") 的程式碼。
另一方面,濫用與安全產品相關的二進位檔 "sentinelmemoryscanner.exe" 被認為是刻意為之,因為它可以規避基於簽章的偵測。它被設計用來側載一個名為 "sentinelagentcore.dll" 的惡意 DLL。
此次攻擊的一個值得注意的方面是,攻擊者使用 Node.js 腳本來啟動 PowerShell 程式碼,負責執行偵察和資訊收集操作。在至少一個案例中,攻擊者被發現將竊取的資料暫存於 sendit[.]sh,一個公開的檔案傳輸服務上。
Symantec 和 Carbon Black 表示:「使用基於 node.exe 的植入程式鏈來投放 PowerShell 腳本,執行了偵察、螢幕截圖、SAM 登錄檔竊取、權限提升以及 SOCKS5 反向代理隧道等操作。」
此外,還部署了上述兩個 DLL 側載對,為攻擊者提供隱蔽的通道來轉送流量並啟動 ChromElevator。此次攻擊的特點還包括試圖傾印憑證,以便在網路中進行橫向移動。
在針對韓國電子製造商的入侵行動中,MuddyWater 被認為多次執行了基於 PowerShell 的偵察,並重新執行了兩個二進位檔,以確保其對受感染主機的存取權限。該組織最初的入侵途徑尚不清楚。
研究人員表示:「其活動的節奏再次與植入程式驅動的活動一致,而不是持續的操作員存在。其活動歷史顯示,它明顯朝著更安靜、更嚴謹的操作方向發展。這些技術本身並不新穎,但結合起來,為我們所知的、在兩三年前的 Seedworm 基礎上,其操作衛生水平顯著提升提供了更多證據。」
根據美國國務院的說法,該公司名為 Shahid Shushtari,隸屬於伊朗伊斯蘭革命衛隊網路電子司令部 (IRGC-CEC)。它以 Cobalt Obelisk、Cotton Sandstorm、Haywire Kitten (前稱 ChaoticOrchestra)、Marnanbridge 和 UNC5866 等代號進行追蹤。
美國國務院在 2025 年 12 月指出:「Shahid Shushtari 成員透過協調的網路和網路支援的資訊行動,對美國企業和政府機構造成了重大的財務損害和干擾。這些行動針對美國、歐洲和中東地區的新聞、航運、旅遊、能源、金融和電信等多個關鍵基礎設施部門。」
伊朗支持的駭客還被發現於 2026 年 3 月下旬至 4 月初之間,針對美國、以色列、沙烏地阿拉伯和土耳其的組織進行了資料外洩活動,其中至少有兩家美國受害者也遭受了破壞性操作,例如刪除磁碟分區和備份。
儘管這些事件是由一個名為 Ababil of Minab 的親伊朗個人聲稱負責,但 Gambit Security 的一項新分析將該活動基礎設施與伊朗情報和安全部 (MOIS) 聯繫了起來。
其他目標包括以色列媒體行業的一家組織、以色列的一所高等教育機構、一家土耳其保險經紀公司,以及餐飲、文化、數位服務和新聞行業的幾家其他網站。
目前尚未觀察到針對這些受害者的破壞性活動。在這些案例中,攻擊者被發現使用了一個內部代號為 FileFiend 的客製化 C++ 檔案收集和外洩工具。
Gambit Security 研究人員 Eyal Sela 和 Nir Varon 在今天發布的一份報告中表示:「該二進位檔可以枚舉本地磁碟和 SMB 共用,遍歷檔案系統,並將檔案發送到硬編碼的 C2 [命令與控制] 伺服器。」
或者,感興趣的資料會被壓縮成 RAR 封存檔,儲存在受害者環境內的伺服器上,並上傳到該組織的公開網站的網頁根目錄,然後透過 Axel 命令列下載加速器提取,並透過 proxychains 進行隧道傳輸。
Dataminr 全球現場技術長兼首席網路安全策略師 Tim Miller 在分享給 The Hacker News 的一份聲明中表示:「原本以為是另一個喧鬧的親伊朗個人在誇大其詞,結果卻是一項與伊朗情報和安全部 (MOIS) 有關的行動,並證實對美國及區域多個目標造成了破壞性影響。」
「答案不是將每一次駭客活動都視為緊急情況——而是要保持持續的可見性,以便在為時已晚之前就能分辨出差異。」


