2026-02-06 01:47:47 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 伊朗APT42组织利用TAMECAT无文件后门锁定国防高官实施间谍活动。该恶意软件基于PowerShell内存驻留，模块化窃取数据，利用Cloudflare和Telegram隐蔽通信。攻击者结合社会工程学渗透，建议防御方重点监控PowerShell行为及审查合法服务流量。 综合评分： 75 文章分类： 威胁情报,恶意软件,安全意识

cover_image

TAMECAT 恶意软件曝光：APT42 无文件后门锁定国防高官

邑安科技邑安科技

邑安全

2026年2月5日 11:17 广东

更多全球网络安全资讯尽在邑安全

一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42（高级持续性威胁组织）有关，该组织隶属于伊朗伊斯兰革命卫队（IRGC）。此次攻击的核心是 TAMECAT——一款采用模块化设计的 PowerShell 后门程序，专门窃取敏感数据且能规避检测。

Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告，揭示了这款”无文件”恶意软件的内部运作机制。

长期潜伏的社会工程攻击

与”打了就跑”的网络攻击不同，APT42 展现出极强的耐心。该组织通过精心设计的社会工程手段与目标建立信任关系——通常伪装成 WhatsApp 等平台上的可信联系人，随后才发起攻击。

“该组织通过长期社会工程与受害者建立信任关系，随后才渗透其系统环境。” —— Pulsedive 威胁研究团队 / 以色列国家数字局

这种人本攻击模式使其能够诱使高价值目标主动点击恶意链接，从而绕过传统边界防御。

内存驻留的模块化恶意框架

攻击者渗透成功后即部署 TAMECAT，这款基于 PowerShell 的恶意框架主要驻留在内存中。分析显示其工具集专为情报收集设计：

“以色列国家数字局披露了 TAMECAT 内存模块的详细功能，包括通过远程调试从 Microsoft Edge 提取数据、屏幕截图以及暂停 Chrome 进程实施数据收集。” —— Pulsedive 威胁研究团队

TAMECAT 功能细节图

该恶意软件采用模块化设计，攻击者可按需启用特定功能，已识别关键模块包括：

浏览器模块

：窃取 Chrome、Edge 和 Firefox 的 cookies 及历史记录
屏幕模块

：捕获受害者桌面截图
文件爬虫模块

：扫描文件系统获取目标文档

多阶段感染链与隐蔽通信

感染链始于对受害者设备执行”健康检查”的 VBScript 文件。它会扫描已安装的杀毒软件以决定后续操作——若存在 Windows Defender 则通过conhost启动 PowerShell，否则使用curl。

加载器nconf.txt（托管于tebi.io）采用多重混淆和加密技术隐藏真实意图，通过 Gorba、Borjol 等自定义函数处理 AES 加密和数据操作：

AES 加密

：使用硬编码的 256 位密钥（kNz0CXiP0wEQnhZXYbvraigXvRVYHk1B）保护配置和窃取数据
C2 基础设施

：通过 Cloudflare Workers、Discord、Telegram 和 WebDAV 服务器等多种渠道与控制端通信，伪装成合法流量