伊朗黑客瞄准韩国大型电子制造商

伊朗关联 APT 组织 MuddyWater（别名 Seedworm / 种子蠕虫、Static Kitten / 静态小猫）近期发起大规模网络间谍行动，攻击覆盖多国多行业，至少 9 家知名机构中招，目标横跨韩国电子制造、政府部门、中东国际机场、亚洲工业制造及教育领域。
一、攻击概况：韩国电子巨头遭潜伏一周
赛门铁克（Symantec）追踪显示，该组织于2026 年 2 月 20 日 —27 日潜入韩国某大型电子制造商内网，秘密驻留整整一周而未被发现。此次行动带有明确情报驱动属性，核心目标包括窃取工业产权与知识产权、实施政府间谍活动、打通下游客户 / 企业网络入口，并非以勒索获利为目的。
二、核心攻击手法：滥用合法工具 + DLL 侧加载
本次攻击高度依赖DLL 侧加载技术，通过篡改合法签名软件加载恶意组件，规避安全检测，重点滥用两款商用软件：
Fortemedia 音频工具 fmapp.exe：植入恶意fmapp.dll
SentinelOne 组件 sentinelmemoryscanner.exe：植入恶意sentinelagentcore.dll
恶意 DLL 内置ChromeElevator工具，专门窃取 Chrome 浏览器保存的账号密码、Cookie 等敏感数据。同时，该组织延续过往攻击习惯，大量使用 PowerShell 脚本，但通过 Node.js 加载器间接执行，进一步隐蔽痕迹。
PowerShell 主要用于：
系统侦察与安全软件枚举
屏幕截图与敏感信息收集
凭证窃取与内网横向移动
建立 SOCKS5 隧道实现远程控制
配置持久化维持长期驻留
三、韩国目标攻击流程：精密侦察 + 持久潜伏
针对韩国电子制造商的攻击分为两阶段，全程自动化执行，减少人工干预痕迹：
初期渗透与侦察（2 月 20 日起）
主机与域环境扫描，绘制内网拓扑
通过 WMI 接口枚举杀毒软件与安全防护机制
截取系统屏幕截图，收集业务信息
下载后续恶意载荷，构建攻击链路
凭证窃取与持久化驻留（2 月 22 日后）
凭证窃取：伪造 Windows 系统弹窗诱导输入密码、导出 SAM/SECURITY/SYSTEM 注册表 hive、滥用 Kerberos 票据工具窃取身份凭证
持久化控制：修改注册表实现开机自启，设置每 90 秒一次心跳通信，反复重启侧加载程序维持会话，规避连接断开风险
数据外传：利用公共文件共享服务sendit.sh传输窃取数据，伪装成正常网络流量，规避异常流量检测
赛门铁克分析指出：“90 秒固定心跳节奏表明，这是植入程序自主驱动的自动化攻击，而非黑客全程手动操作”，体现该组织攻击流程成熟化、工具链模块化的特点。
四、攻击趋势：范围扩大 + 手段更隐蔽
本次 Seedworm 活动呈现三大新特征：
地域范围扩张：从传统中东目标延伸至东亚（韩国）、东南亚等地区，全球化布局明显
技术手段升级：从直接使用恶意软件转向滥用合法商业工具 + 文件共享服务，规避终端检测与网络审计
攻击模式成熟：采用 “自动化植入 + 定时心跳 + 数据隐蔽外传” 模式，降低被发现概率，延长潜伏时间
截至目前，尚无网络犯罪组织公开宣称对此次攻击负责，MuddyWater（Seedworm）仍保持低调运作风格，专注于长期情报窃取而非短期牟利。