文章总结： 消失十年的APT组织Careto重出江湖，针对关键基础设施发动攻击。其利用MDaemon邮件服务器的WorldClient组件漏洞修改配置加载恶意DLL实现持久化，并借助合法系统驱动注入FakeHMP植入体进行监控。该攻击手段隐蔽性极高，建议重点排查邮件服务器组件及异常进程注入行为以防范风险。 综合评分： 85 文章分类： 威胁情报,漏洞分析,恶意软件

沉寂十年的黑客组织卷土重来

铸盾安全

河南等级保护测评

2026年1月3日 00:00 河南

在网络安全领域消失十年之后，又被称为“面具”的 Careto 威胁组织再次出现，并采用了复杂的新攻击方法，目标是知名组织。

安全研究人员发现了 Careto 活动的最新证据，揭示了该组织如何不断改进其策略，以破坏关键基础设施并持续访问敏感网络。

Careto组织至少从2007年起就开始进行高级网络攻击，其主要目标通常是政府机构、外交实体和研究机构。Careto，又名“面具”（The Mask），在沉寂十年后再次出现，对一些备受瞩目的目标和关键基础设施发动了高级攻击。

Careto 以利用零日漏洞植入复杂程序而闻名，在 2014 年初之后一直保持沉默，这让安全专家们对该组织的未来活动感到不确定。

然而，对近期有针对性的攻击集群的详细调查证实，该组织正在再次积极开展行动，这表明该组织令人担忧地重新崛起。

Securelist 的分析师和研究人员发现了该组织最近的攻击活动，有明显的证据表明，该组织在 2022 年对拉丁美洲的一个组织发动了攻击。

此次卷土重来尤其令人担忧的是，该组织采取了更为精细的手段来获取和维持对受损网络的控制。

MDaemon邮件服务器漏洞利用和WorldClient持久化

该组织的新感染方法表明其攻击目标已转向电子邮件基础设施。攻击者一旦入侵受害者的网络，便可访问MDaemon邮件服务器——一个关键的通信枢纽。

WorldClient 组件的身份验证面板（来源 – Securelist）

Careto没有部署明显的恶意软件，而是利用 MDaemon 的 WorldClient 网络邮件组件，采用了一种巧妙的持久化技术，该组件允许加载自定义扩展。

攻击者编译了一个恶意扩展程序，并修改了 WorldClient.ini 配置文件，添加了将 HTTP 请求重定向到其自定义代码的条目。

具体来说，他们将 CgiBase6 参数配置为指向“/WorldClient/mailbox”，并将 CgiFile6 设置为他们的恶意 DLL，从而允许他们通过正常的网络邮件流量与扩展程序进行交互。

事实证明，这种技术非常有效，因为它与合法的电子邮件操作完美融合。

以此为立足点，Careto 利用复杂的横向移动策略，在整个网络中部署了此前未知的 FakeHMP 植入体。该组织利用合法的系统驱动程序，特别是HitmanPro Alert驱动程序 (hmpalert.sys)，将恶意代码注入到 winlogon.exe 和 dwm.exe 等具有特权的 Windows 进程中。

FakeHMP植入程序为攻击者提供了全面的监控能力，包括键盘记录、屏幕截图捕获、文件检索和额外的有效载荷部署。

此次卷土重来表明 Careto 仍然是一个强大的威胁，它将数十年的运营经验与创新的感染方法相结合，利用合法的软件组件实现最大的隐蔽性和持久性。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全《沉寂十年的黑客组织卷土重来》