文章总结： Darktrace发现攻击者利用马杜罗被捕的地缘政治新闻传播后门恶意软件。攻击通过鱼叉式钓鱼邮件投递含恶意DLL的ZIP文件，利用DLL侧载技术加载载荷，修改注册表实现持久化并连接C2服务器。虽然攻击手法类似野马熊猫，但尚无确凿归因。建议用户警惕涉及时事的邮件附件。 综合评分： 80 文章分类： 威胁情报,恶意软件,社会工程学

网络犯罪分子利用马杜罗被捕的消息传播后门恶意软件

原创

网络安全9527

安全圈的那点事儿

2026年1月13日 09:03 北京

网络犯罪分子利用委内瑞拉总统尼古拉斯·马杜罗将于 2025 年 1 月 3 日被捕的报道，通过复杂的社会工程活动传播后门恶意软件。

Darktrace的安全研究人员发现了一种恶意操作，该操作利用这一备受瞩目的地缘政治事件来攻击毫无戒心的受害者。

攻击方法

威胁行为者很可能使用了包含名为“美国正在决定委内瑞拉的下一步行动.zip”的ZIP 压缩文件的鱼叉式网络钓鱼电子邮件。

在存档中，受害者会发现一个名为“Maduro to be taken to New York.exe”的可执行文件，以及一个名为“kugou.dll”的恶意动态链接库（DLL）。

该可执行文件实际上是酷狗的合法二进制文件，已被武器化，通过 DLL 搜索顺序劫持来加载恶意 DLL。

恶意软件执行后，会在 C:\ProgramData\Technology360NB 创建一个目录，并将自身复制到该目录中。

该可执行文件被重命名为“DataTechnology.exe”，并通过 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Lite360 处的注册表项配置为在系统启动时自动运行。

然后，一个欺骗性的对话框会提示用户重启计算机，如果用户不照做，恶意软件就会强制系统重启。

重启后，恶意软件会通过 172.81.60[.]97 的 443 端口与其命令和控制服务器建立加密的 TLS 连接，定期发送信标以接收来自攻击者的指令和配置更新。

此次行动遵循了利用重大世界事件达到恶意目的的惯用伎俩。

在与乌克兰战争相关的攻击活动中也观察到了类似的策略，威胁行为者在网络钓鱼邮件中使用了战俘相关信息。

中国威胁组织野马熊猫曾多次使用类似手段，以乌克兰、西藏公约、南海和台湾等为诱饵，部署后门程序。

虽然其战术、技术和程序与野马熊猫行动有相似之处，但研究人员强调，没有足够的证据将此次行动明确归因于某个特定的威胁组织。

强烈建议各组织和用户在打开电子邮件附件时务必谨慎，尤其是那些涉及时事的附件。

入侵指标（IoC）

• 172.81.60[.]97
• 8f81ce8ca6cdbc7d7eb10f4da5f470c6 – US now deciding what’s next for Venezuela.zip
• 722bcd4b14aac3395f8a073050b9a578 – Maduro to be taken to New York.exe
• aea6f6edbbbb0ab0f22568dcb503d731  – kugou.dll

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527《网络犯罪分子利用马杜罗被捕的消息传播后门恶意软件》