2025-12-22 04:16:32 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 伊朗APT组织MuddyWater利用伪装成贪吃蛇游戏的恶意软件进行攻击，通过钓鱼邮件传播压缩包，内含恶意加载器和后门程序。该组织使用延迟执行、WebSocket通信等技术规避检测，窃取敏感数据。防御建议包括不随意打开未知压缩包、监控异常WebSocket连接、识别假登录窗等。企业应部署能检测游戏伪装恶意程序的防御系统，个人应提高安全意识。 综合评分： 91 文章分类： 威胁情报,恶意软件,社会工程学,应急响应,安全意识

cover_image

伊朗APT组织MuddyWater（污水）玩怀旧杀！伪装贪吃蛇藏木马，新套路把电脑偷成空壳

原创

紫队

AI紫队安全研究

2025年12月16日 11:59 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

“刚点开‘复古小游戏’，电脑就被装了窃听器？” 以色列某工程公司员工阿维的遭遇，让不少职场人惊出冷汗。伊朗背景的 APT 组织MuddyWater（浑水）最近玩起了 “情怀诈骗”，把恶意加载器伪装成经典的贪吃蛇游戏，藏在压缩包里诱骗用户点击。更绝的是，这 “游戏” 还会用游戏逻辑拖延执行，用 WebSocket 传指令，连杀软都差点被它的 “怀旧外衣” 骗过去。

从 “贪吃蛇开局” 到 “全文件被偷”，这场攻击的每一步都透着黑客的 “小心机”，连 ESET 研究员都吐槽：“现在连童年游戏都不能随便玩了！”

一、打工人踩坑实录：玩个贪吃蛇，电脑变黑客情报站

阿维的踩坑过程，像极了 “职场版谍战片”，每一步都在黑客的算计里：

第一步：诱饵太逼真，谁能拒绝怀旧游戏？

阿维收到一封 “内部资料” 邮件，附件是名为 “OPS-VII-SIR.zip” 的压缩包，里面躺着两个真 PDF（比如 “工程进度表.pdf”）和一个 “SnakeGame.exe”—— 图标是熟悉的像素蛇，双击后弹出 “欢迎来到贪吃蛇游戏” 的界面，背景音还是 8-bit 复古音效。

阿维心想 “摸鱼玩会儿老游戏不过分吧”，刚操控蛇吃了两个 “食物”，屏幕突然闪了一下，游戏没了。他以为是程序崩溃，没当回事。殊不知，木马已经悄悄 “潜入” 系统，开始了后续操作。

第二步：贪吃蛇逻辑当 “拖延术”，骗过人眼和杀软

这 “游戏” 根本不是来怀旧的！它的核心代码里藏着 “贪吃蛇延迟函数”—— 每 “吃” 一个虚拟食物，就调用一次 Sleep API，故意放慢执行速度。就像 “小偷进门后先跳段舞，趁你看入迷时偷东西”，既能躲开沙箱的快速分析，又让用户以为是 “游戏加载慢”，毫无防备。

等 “游戏” 拖延够了，就会悄悄解密并加载真正的恶意 payload——MuddyViper 后门，相当于 “舞跳完了，小偷开始搬东西”。

第三步：WebSocket 当 “秘密对讲机”，偷数据不手软

MuddyViper 后门启动后，立马干两件大事：

疯狂收集信息：扒主机名、用户名、系统版本，甚至通过 WMI 查主板序列号，生成专属 “设备身份证”；

建 “双通信通道”：用 HTTP 传大文件（比如偷的工程图纸），用 WebSocket 当 “加密对讲机”—— 黑客发 “getCommand” 要指令，木马执行完回 “ack_command”，全程加密，普通防火墙根本看不懂。

等阿维发现电脑变慢时，他的 “项目方案”“客户清单” 已经通过 “对讲机” 传给了黑客，活像 “人在摸鱼，机密在跑路”。

二、拆解 MuddyWater 的 “骚操作”：5 套工具组，把电脑玩成玩具

MuddyWater 这次带了 “全家桶” 工具，从 “开门” 到 “搬空” 分工明确，堪称 “黑客界的流水线作业”：

Fooder 加载器：贪吃蛇伪装大师

这是整个攻击的 “敲门砖”，除了伪装成贪吃蛇，还有两个阴招：

延迟执行：用贪吃蛇的循环逻辑拖延时间，比如 “蛇每移动一次，休眠 1 秒”，最多能拖 5 分钟，躲过沙箱的快速检测；

内存加载：不写磁盘直接在内存运行后门，相当于 “小偷不撬锁，直接穿墙进房间”，不留痕迹。

更搞笑的是，有版本的贪吃蛇还会显示 “游戏结束” 弹窗，实则是在后台上传数据，堪称 “演技派木马”。

MuddyViper 后门：20 种指令的 “电脑遥控器”

这是攻击的 “主力”，黑客发个指令就能让它干各种坏事，活像 “给电脑装了远程手柄”：

远程开 shell：发个 “302” 指令，就能在阿维的电脑开 PowerShell，想删文件就删文件，想偷数据就偷数据；

伪装登录窗：发 “805” 指令，弹出假 Windows 安全对话框，骗阿维输入账号密码，输完直接传到黑客服务器；

文件搬家：“401” 指令能把阿维的 D 盘 “工程资料” 文件夹打包，分块传到 C&C 服务器，比网盘还贴心，就是用错了地方。

最绝的是 “900” 指令 —— 号称 “卸载自身”，却故意留下计划任务，相当于 “小偷走前留了备用钥匙”，下次还能来。

窃密三兄弟：CE-Notes/LP-Notes/Blub

这仨工具是 “数据搬运工”，分工明确：

CE-Notes：专偷浏览器数据，Chrome、Edge 的密码、Cookie 全扒光，存成 “ce-notes.txt” 等黑客来取；

LP-Notes：循环弹假登录窗，直到骗到密码，加密存进 “lp-notes.txt”，像 “执着的诈骗电话”；

Blub：更狠，直接杀 Chrome 进程，解密 Local State 文件偷密钥，连 Firefox 的登录数据都不放过，还会把偷到的内容明文打在控制台，生怕黑客漏看。

三、MuddyWater 的 “祖传手艺”：和同伙共享工具，黑客也搞拼团

MuddyWater 这组织可不简单，江湖外号一堆：Mango Sandstorm、TA450，2017 年就开始搞网络间谍，专盯中东国家的政府、军工、电力等要害部门。这次的 “贪吃蛇攻击”，还暴露了它的 “黑产合作” 套路：

与 Lyceum 组织：共享 RMM 工具，像 “小偷合租”

ESET 研究员发现，MuddyWater 先通过钓鱼邮件投 “贪吃蛇” 拿到初始权限，再把账号密码共享给伊朗另一 APT 组织 Lyceum（OilRig subgroup），让后者接手后续攻击。相当于 “小偷 A 开门，小偷 B 搬东西”，分工明确效率高，网友调侃：“黑客都开始搞‘资源整合’了，这是要组窃密联盟？”