文章总结： ESET监测到CloudEyEMaaS恶意软件半年内感染超10万用户，其利用多阶段架构和混淆技术通过钓鱼邮件投递窃密木马。该威胁集中于中欧及东欧，传统特征码检测难以应对。建议组织部署基于行为的检测系统、加强邮件附件过滤、采用具备机器学习功能的EDR并提升员工安全意识，以防御此类模块化恶意软件即服务攻击。 综合评分： 91 文章分类： 恶意软件,威胁情报,安全运营,免杀,安全意识

CloudEyE MaaS 下载器和 Cryptor 感染全球超过 10 万用户

原创

网络安全9527

安全圈的那点事儿

2026年1月8日 08:02 北京

ESET 研究发现 CloudEye 恶意软件检测数量大幅激增，预计 2025 年下半年将增长 30 倍。

这家安全公司在六个月内检测到超过 10 万次感染尝试，这表明一种广泛的威胁正在影响全球各地的组织。

CloudEyE 是一款恶意软件即服务 (MaaS) 下载器和加密器，旨在隐藏和部署二级有效载荷，包括 Rescoms、Formbook 和 Agent Tesla 等已知的信息窃取程序和远程访问木马。

CloudEyE 的扩散代表着恶意软件分发策略的显著转变，它利用了不断增长的勒索软件即服务和恶意软件即服务平台生态系统。

CloudEyE 作为一种隐蔽的传播机制，使威胁行为者能够在保持操作灵活性和匿名性的同时，分发各种恶意软件家族。

这种模块化方法允许攻击者根据目标环境定制有效载荷，从而提高攻击活动的有效性。

多阶段感染链

CloudEyE 的感染方法论采用了一种复杂的多阶段架构，最大限度地提高了规避能力。

初始下载阶段通过 PowerShell 脚本、JavaScript 文件和 NSIS（Nullsoft Scriptable Install System）可执行文件进行传播。

这些攻击入口通常通过鱼叉式网络钓鱼邮件、恶意下载和被入侵的网站传播。一旦攻击成功，下载器会获取包含最终有效载荷的第二阶段加密组件。

CloudEyE 的一个关键特征是其在所有感染阶段都采用了高度混淆技术。这种加密和代码混淆技术能够有效防御端点检测与响应 (EDR) 解决方案、静态分析和威胁情报数据库的攻击。

分层混淆方法使得安全研究人员和事件响应人员的取证分析变得更加困难，从而使恶意软件能够在目标环境中持续存在更长时间。

对 CloudEyE 攻击分布的地理分析显示，其攻击目标集中在中欧和东欧，占 2025 年下半年登记感染尝试的 32%。

ESET 在 2025 年 9 月和 10 月观察到协调的电子邮件攻击浪潮，这表明老练的威胁行为者进行了有组织的传播活动。

地理上的集中性表明行动是有针对性的，而不是无差别的分布，这指向了这些地区内的特定行业部门或组织漏洞。

CloudEyE 的激增凸显了不断变化的威胁形势，其中模块化恶意软件架构和MaaS 平台使恶意软件分发更加普及。

各组织必须认识到，传统的基于特征码的检测机制不足以应对高度混淆的有效载荷。

该感染链对PowerShell和 JavaScript 等合法系统工具的依赖，凸显了区分恶意活动与正常管理操作的挑战。

组织应实施基于行为的检测系统，以识别可疑的 PowerShell 和 JavaScript 执行模式。

电子邮件安全过滤应优先阻止 NSIS 可执行文件和可疑脚本附件。

此外，具备先进启发式算法和机器学习功能的端点检测和响应解决方案能够更好地洞察混淆的威胁活动。

用户安全意识培训仍然至关重要，因为鱼叉式网络钓鱼仍然是 CloudEyE 传播的主要感染途径。

感染人数超过 10 万的里程碑标志着恶意软件流行程度的一个分水岭，证明了 CloudEyE 基础设施的运营成熟度和覆盖范围。

持续监测这一威胁仍然至关重要，因为它的模块化设计使其能够快速演变和适应。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527《CloudEyE MaaS 下载器和 Cryptor 感染全球超过 10 万用户》