文章总结： 伊朗APT组织MuddyWater伪装贪吃蛇游戏Fooder，2024-9至2025-3对以色列多行业实施低可见度攻击，植入C/C++后门MuddyViper及凭证、浏览器窃取工具与go-socks5隧道，利用WindowsCNG加密与伪造安全弹窗窃密，战术趋于隐蔽且与OilRig目标重叠暗示协作；企业应禁不明游戏、限PowerShell、开MFA并监控反向隧道通信。 综合评分： 82 文章分类： 威胁情报,恶意软件,漏洞分析,安全运营,红队

伪装成贪吃蛇游戏！伊朗APT组织MuddyWater携新恶意软件突袭以色列，多行业遭精准攻击

原创

紫队

AI紫队安全研究

2026年1月10日 11:59 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

近期，ESET安全研究人员披露了一起针对性极强的网络攻击事件：与伊朗关联的知名APT组织MuddyWater（又名SeedWorm、TA450等），向以色列多个关键行业发起猛烈攻击，还波及埃及一家机构。此次攻击最令人防不胜防的是，攻击者将恶意载荷伪装成经典的“贪吃蛇”游戏，通过定制化工具链实现隐身渗透，窃取敏感数据与凭证，其技术手段的精进程度引发行业警惕。

攻击始末：伪装游戏的“致命载荷”

这场攻击始于2024年9月30日，持续至2025年3月18日，目标覆盖以色列的工程、地方政府、制造业、科技、交通、公用事业及高校等多个核心领域，甚至在2025年2月成功突破一家公用事业机构的防御——这一目标与伊朗另一APT组织OilRig的攻击范围存在重叠，暗示可能存在运营协作。

攻击的核心诱饵是一款名为“Fooder”的64位加载器，表面上是家喻户晓的贪吃蛇游戏，实则藏有玄机。当用户运行这款“游戏”时，Fooder会悄悄解密并加载后续恶意载荷，其中最关键的是名为“MuddyViper”的全新后门程序。这款C/C++编写的后门功能强大，不仅能窃取系统信息、用户凭证、浏览器数据，还支持文件执行与数据外渗，成为攻击者长期控制目标设备的“钥匙”。

除此之外，攻击者还搭配了CE-Notes、LP-Notes凭证窃取器、Blub浏览器数据窃取工具，以及多个go-socks5反向隧道，构建了一套完整的攻击工具链。值得注意的是，所有核心工具均采用Windows加密API（CNG）进行数据加解密，还会弹出伪造的Windows安全对话框诱导用户输入密码——这一特征被证实是伊朗关联黑客组织的“独门绝技”，成为溯源的关键线索。

战术升级：从“喧闹”到“隐身”的进化

与MuddyWater以往“大张旗鼓”的攻击风格不同，此次行动堪称“低调潜行”的典范。攻击者刻意避免交互会话，全程保持低存在感，通过反向隧道技术隐藏通信痕迹，大幅降低了被检测的概率。这种战术转变，加上定制化工具的使用，让攻击更具隐蔽性和针对性。

研究人员发现，此次攻击工具与该组织历史武器库存在明显传承关系：LP-Notes与早期的CE-Notes功能高度相似，一款Mimikatz加载器也延续了此前的设计思路；而新增的go-socks5反向隧道则被巧妙嵌入Fooder加载器中，成为部署MuddyViper后门的重要通道。同时，攻击者依然依赖PowerShell和Go语言编写的后门程序，但在加密、伪装、持久化等环节进行了显著优化。

值得一提的是，MuddyWater还扮演着“初始访问中介”的角色：通过鱼叉式钓鱼邮件推送Syncro、PDQ等远程管理软件链接，诱骗用户点击后植入恶意程序。这种“借合法工具做非法勾当”的手段，进一步增加了攻击的迷惑性。

组织背景：伊朗支持的“老牌劲旅”

MuddyWater并非新兴黑客组织，自2017年末首次被发现以来，其攻击足迹已遍布中东、欧亚、北美等多个地区，重点瞄准电信、政府、能源等关键基础设施领域。2022年1月，美国网络司令部（USCYBERCOM）正式将其与伊朗情报和安全部（MOIS）绑定，证实其官方支持背景。

多年来，该组织不断扩充攻击手段，从早期的脚本化攻击逐步升级为具备定制化工具、先进加密技术和隐蔽战术的成熟APT势力。研究人员评估，MuddyWater未来仍将是伊朗关联网络攻击的核心力量，且会持续在常规攻击中融入更高级的战术技巧。

防护建议：守住这3道关键防线

面对这类“伪装诱骗+精准窃取”的高级攻击，企业和机构需针对性强化防御：

1. 警惕“童趣诱饵”：切勿运行来源不明的小游戏、工具类程序，即使是看似熟悉的经典游戏，也需通过官方渠道获取，避免被恶意伪装蒙骗；

2. 强化凭证保护：禁用或限制PowerShell的高危操作，部署终端检测工具（EDR），警惕伪造的系统对话框，开启多因素认证（MFA）防范凭证窃取；

3. 监控异常通信：重点监测反向隧道、加密通信等可疑网络行为，结合威胁情报对伊朗关联APT组织的特征码进行拦截，定期开展安全审计。

网络攻击的伪装手段正在不断“下沉”，从复杂的专业工具转向人人熟悉的游戏、办公软件，这也提醒我们：安全防护没有“免检区”，只有筑牢每一道防线，才能抵御高级威胁的渗透。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 紫队《伪装成贪吃蛇游戏！伊朗APT组织MuddyWater携新恶意软件突袭以色列，多行业遭精准攻击》