2026-02-06 02:04:06 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 2025年底波兰能源设施遭StaticTundra组织协同攻击，黑客利用Fortinet漏洞和缺失2FA入侵，通过域控分发DynoWiper及疑似AI生成的LazyWiper擦除器瘫痪系统，还窃取了OT架构等敏感数据。建议加强补丁管理、强制开启双因子认证并实施异地冷备份以应对此类威胁。 综合评分： 85 文章分类： 威胁情报,恶意软件,红队,漏洞分析,安全建设

cover_image

深度：起底 Static Tundra 组织，如何用 LLM 生成的“擦除器”瘫痪能源网？

原创

Kit Chung Kit Chung

安全圈动向

2026年2月5日 07:55 广东

作为一名长期在运维和安全圈子里猛扎的“老兵”，今天和大家聊聊最近在圈内传疯了的一件大事。

就在上周五，波兰的国家级网安机构 CERT Polska 发布了一份复盘报告，内容极其硬核，也极其令人后怕：就在 2025 年底，超过 30 家风能和太阳能电厂、一家大型热电厂，竟然在同一天遭到了协同网络攻击。

有点像科幻片，但这是真实发生的“赛博战争”。作为技术人，咱们不能只看热闹，得看明白背后的“道道”。

1. 谁在搞鬼？顶级“玩家”的博弈

这次攻击被归由于一个代号为 Static Tundra（静态冻原）的组织。如果你对这个名字陌生，那它的“马甲”你一定听过：Berserk Bear（狂暴熊）、Dragonfly（蜻蜓）、甚至是 Havex。

虽然学术界和安全公司（如 ESET、Dragos）还在争论这到底是俄罗斯 FSB 旗下的“16中心”干的，还是大名鼎鼎的 Sandworm（沙虫） 组织的手笔，但有一点是确定的：这绝对是国家级背景的顶级黑客团队。

他们的目标非常纯粹：Destructive（毁灭性）。不是为了勒索点比特币，而是要让你的系统彻底瘫痪，甚至在物理层面造成能源中断。

2. 深度拆解：这两款“擦除器”恶意软件

这次攻击中最让技术圈关注的，是两款专门用来“毁尸灭迹”的 Wiper（擦除器）软件：DynoWiper 和 LazyWiper。

01. DynoWiper

这款病毒被部署在能源设施的关键节点——Mikronika HMI（人机交互） 电脑上。它的逻辑非常硬核：

数学逻辑：

它使用了 Mersenne Twister（梅森旋转算法） 来生成伪随机数种子。
破坏手段：

它不是简单的删除文件，而是先用生成的伪随机序列覆盖（Corrupt）文件内容，然后再执行删除。这意味着即使用专业的数据恢复软件，你也找不回原来的数据。
暴力美学：

这种病毒甚至没有持久化机制，不连接 C2 服务器，也不执行复杂的 Shell 命令。它就像一颗“死士”炸弹：我进来，我破坏，我撤退。

02. LazyWiper

在针对制造业公司的攻击中，出现了一款基于 PowerShell 的擦除器。CERT Polska 的专家提出了一个极其前卫的观点：这款恶意代码的核心逻辑极有可能是通过大语言模型（LLM）辅助生成的。

它利用简单的脚本逻辑，将系统文件重写为 32 字节的伪随机序列。虽然技术上不算“高端”，但胜在开发成本极低，且能快速绕过一些基于传统特征码的检测。这说明，黑客已经开始利用 AI 大规模生产定制化攻击武器了。

3. 攻防复盘：它是怎么打进去的？

很多兄弟可能会问：“电厂这种地方，物理隔离没做好吗？”实际上，黑客的切入点非常“经典”，甚至可以说是由于低级错误导致的：

关键点一：边界设备的脆弱性 攻击者通过利用 Fortinet 边界设备 的漏洞直接撕开了口子。这再次提醒我们，防火墙是盾，但在补丁没打全的情况下，就另当别论。

关键点二：2FA（双重认证）的缺失 在针对热电厂（CHP）的攻击中，黑客进入内网后，发现多个账号竟然静态定义在配置中，且完全没开 2FA。

敲黑板：

各位运维大佬，别嫌多点一下手机麻烦，2FA 是保护关键基础设施的“救命稻草”。

关键点三：AD 域控成了“分发站” 一旦拿到了域控权限，黑客就玩了一手大的：他们直接在 域控制器（Domain Controller） 上运行 PowerShell 脚本，像下发策略一样，将 Wiper 软件迅速分发到整个 Active Directory 域。几分钟之内，整个企业的电脑全部“变砖”。

4. 攻击者的“胃口”：不只是电力

除了搞破坏，黑客还表现出了极强的“信息饥渴”。在长达数月的潜伏期（从 2025 年 3 月开始），他们利用获取的凭据渗透进了 M365 云服务。

他们疯狂下载 Exchange、Teams 和 SharePoint 里的数据。他们最关心什么？

OT 网络现代化方案
SCADA 系统架构图
组织的内网技术细节

这意味着，这次攻击可能只是更大规模行动的“踩点”或预演。

给我们的启示

作为有几年经验的技术人，我们不仅要会写代码、调系统，更要具备内生安全的意识。

补丁管理：

边界设备（如 VPN、防火墙）的漏洞永远是黑客的第一跳板。
权限收紧：

别让静默账号满地走，2FA 必须强制执行。
异地冷备份：

面对这种“覆盖型”擦除软件，在线同步备份基本是送人头，只有离线冷备才是最后希望。

网络空间的火，往往能烧到现实世界的锅。 波兰这次热电厂幸亏由于技术原因，攻击未达预期，否则 50 万人在寒冬里断供暖气，后果不堪设想。

你对这次“AI 生成的恶意软件”怎么看？欢迎在评论区留言，我们一起讨论交流！

想了解更多硬核网络安全实战案例？记得关注我，我们下期再见！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《深度：起底 Static Tundra 组织，如何用 LLM 生成的“擦除器”瘫痪能源网？》