文章总结： 文章深度剖析Lazarus组织新型恶意软件OtterCookie，指出其针对加密货币从业者具备键盘记录与钱包窃取等强窃密能力。重点揭示其背后的C2服务器存在零漏洞与主动泄密等异常，判定极大概率为反向追踪研究者的蜜罐陷阱。文末提供终端检查、网络阻断及人员防护等具体安全建议，警示攻防边界模糊化风险。 综合评分： 88 文章分类： 威胁情报,恶意软件,漏洞分析,安全建设

---

猎捕Lazarus反遭埋伏？OtterCookie背后的20台“完美蜜罐”迷局

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年2月26日 11:59 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2026年2月，网络安全研究团队Red Asgard发布了一份令人脊背发凉的报告：他们追踪朝鲜 Lazarus 组织的“Contagious Interview”攻击 campaign 时，意外发现了一款名为OtterCookie的新型恶意软件——更可怕的是，支撑这款 malware 的20台C2服务器，竟然是一个“无懈可击”的陷阱。

11类攻击手法全被拦截，服务器零漏洞可钻，甚至主动暴露私钥“诱敌深入”……这场始于“狩猎黑客”的调查，最终变成了一个致命疑问：到底是我们在追踪Lazarus，还是Lazarus在反向收割研究者？

结合Red Asgard的深度复盘与MITRE ATT&CK框架分析，我们拆解这场“黑客狩猎者 vs 国家级APT”的攻防反转，揭秘OtterCookie的窃密绝技与“完美基础设施”的蜜罐真相。

核心结论先行：OtterCookie是Lazarus团队推出的进阶版间谍工具，主打“加密货币钱包窃密+全维度监控”，与老款BeaverTail恶意软件共用20台标准化服务器。但这些服务器的“零漏洞”特性、虚假响应机制等6大异常特征，指向其70%概率是蜜罐——可能是Lazarus的反情报陷阱，也可能是执法机构的钓鱼执法平台。无论真相如何，其背后针对开发者、加密从业者的攻击意图，真实且致命。

一、OtterCookie：Lazarus的“窃密全能王”

相较于依赖VSCode启动、无持久化能力的BeaverTail，OtterCookie堪称“全面升级款”——它以Node.js为载体，针对性瞄准加密货币从业者，集成了四大核心窃密能力，堪称“间谍工具箱的终极形态”。

1. 无死角监控：键盘+屏幕+剪贴板全捕获

OtterCookie的监控能力覆盖工作场景全维度，让受害者毫无隐私可言：

系统级键盘记录：通过“GlobalKeyboardListener”挂钩全局键盘，不仅捕获浏览器输入，连桌面软件密码、终端命令、聊天内容都能精准抓取，按下回车键就自动上传至C2的/clip接口；

5秒一次截屏：自动捕获所有连接的显示器（支持多屏），用0x5A密钥XOR加密后，持续上传至/total接口，完整还原受害者操作轨迹；

剪贴板实时同步：每5秒读取一次剪贴板数据，无论是钱包助记词、API密钥还是敏感文档片段，都能被即时窃取。

2. 死缠烂打的持久化：重启也删不掉

BeaverTail的致命缺陷是“重启即失效”，而OtterCookie补上了这个漏洞，设置了双重持久化机制：

注册表植入：在HKCU\Software\Microsoft\Windows\CurrentVersion\Run添加“NodeHelper”项，指向恶意脚本；

计划任务备份：创建“NodeUpdate”任务，开机自动以最高权限运行，哪怕注册表项被清理，也能重新激活。

这意味着一旦感染，除非彻底重装系统，否则恶意软件会像“牛皮糖”一样死死粘住设备。

3. 精准猎杀：27款加密钱包一锅端

OtterCookie的核心攻击目标，是加密货币从业者——它专门针对27款主流浏览器钱包插件，实施“毁灭性窃取”：

覆盖MetaMask、Phantom、Binance Chain、Coinbase等热门钱包，提取加密私钥、助记词备份；

深挖IndexedDB、Secure Preferences等存储数据，哪怕钱包设置了密码，也能通过离线破解获取资产控制权；

对比BeaverTail仅支持2-3款钱包的短板，OtterCookie的攻击范围扩大10倍，精准瞄准Web3开发者、加密投资者。

4. 沙箱逃逸：虚拟机里自动“装死”

OtterCookie内置了跨平台虚拟机检测功能，能识别VMware、VirtualBox、Hyper-V等7种常见虚拟化环境：

一旦检测到运行在沙箱或虚拟机中，它会立刻降低行为活跃度——不启动键盘记录、不执行截屏，只保留基础通信，让安全研究者难以捕获完整恶意行为，大大增加了检测难度。

二、20台“完美服务器”：漏洞为零的蜜罐陷阱

如果说OtterCookie的恶意功能令人警惕，那么支撑它的C2基础设施，则彻底颠覆了安全研究者的认知——20台服务器采用完全相同的端口配置（13个固定端口），通过代码模板批量部署，堪称“基础设施即代码”的典范。但越完美，越诡异。

1. 11类攻击全失效：零漏洞的“铜墙铁壁”

Red Asgard团队针对服务器发起了全面渗透测试，覆盖SSTI、命令注入、SSRF等11类主流攻击手法，甚至测试了3个已知的Express.js漏洞，但结果全是“NOT VULNERABLE”：

模板注入、原型污染、HTTP走私等 payload 全被安全解析，无任何执行漏洞；

文件上传、CRLF注入、FTP暴力破解均被直接拦截，连接甚至会被主动重置；

连最经典的“永恒之蓝”类漏洞利用，都无法突破服务器防御。

要知道，即便是国家级APT的基础设施，也难免存在配置疏漏或未修复漏洞——这种“零攻击面”的特性，在真实恶意服务器中几乎不可能存在。

2. 6大异常特征：暴露蜜罐本质

深入分析后，研究团队发现了更多“不合常理”的细节，直指这些服务器是刻意设计的陷阱：

1. 主动泄露私钥：访问服务器的/cert/private.pem路径，竟然能直接下载3397字节的私钥文件——真实APT绝不会犯这种低级安全错误，更可能是诱捕研究者的“诱饵”；

2. 万能“DONE”响应：向任何上传接口提交 Webshell、恶意二进制文件、畸形数据，服务器都只返回“DONE”，不做任何验证或处理，明显是“数据收集器”而非真实C2；

3. 形同虚设的限流：看似有访问频率限制，但换个VPN节点就能轻松绕过，更像是“过滤小白，留住高手”的筛选机制；

4. 无真实受害者流量：用伪造的UID查询/command接口，无论是否存在该受害者，响应超时行为完全一致，说明没有真实的受害者管理机制；

5. 部署时机诡异：20台服务器集中部署于2025年1月，恰好是Red Asgard发布前两期追踪报告、引发社区关注之后；

6. 俄朝APT共用IP：部分服务器IP曾被俄罗斯Gamaredon组织使用，而俄朝APT通常不会共享基础设施，更可能是第三方伪造的“混淆身份”。

7. 双恶意软件共用：端口区分的“分工陷阱”

这些服务器并非只服务于OtterCookie，而是采用“端口分区”策略，与老款BeaverTail恶意软件共用基础设施：

端口1244：BeaverTail的主C2通道，负责初始渗透和简单数据窃取；

端口5918：OtterCookie的主C2通道，搭配5934、5961等备用端口，负责深度窃密和持续控制；

共性端口：21（FTP数据渗出）、3389（远程控制）、5985（WinRM管理）等13个端口固定开放，形成独特的“端口指纹”。

这种“新旧搭配”的部署方式，既降低了运营成本，又能通过不同恶意软件覆盖更多目标——但从蜜罐角度看，也能收集更多不同类型的攻击样本和研究者手法。

三、蜜罐背后的三种真相：谁在操纵这场“反向狩猎”？

Red Asgard团队最终给出70%概率的蜜罐判定，背后隐藏着三种可能的真相，每一种都关乎网络空间的攻防格局：

1. Lazarus的反情报陷阱

作为朝鲜最知名的国家级APT组织，Lazarus擅长通过钓鱼、供应链攻击实施跨国窃密（曾参与索尼影业攻击、WannaCry变种传播）。部署蜜罐基础设施，可能是为了：

识别追踪者：记录哪些研究者、机构在探测其基础设施，收集对方的IP、工具、攻击手法；

误导调查方向：用虚假的服务器数据、恶意软件变种，干扰对真实攻击 campaign 的追踪；

保护核心资产：将蜜罐作为“诱饵”，掩护真正用于窃密的C2服务器不被发现。

2. 执法机构的钓鱼执法

FBI、NSA等机构曾多次通过搭建虚假C2服务器，诱捕网络犯罪者。这套基础设施也可能是：

复刻攻击环境：模拟Lazarus的攻击手法，吸引其成员接入或下载恶意软件；

收集犯罪证据：记录接入者的操作行为、身份信息，为后续抓捕提供依据；

切断攻击链条：通过蜜罐截获恶意软件样本，提前发布防御规则，保护潜在受害者。

3. 第三方的情报收集平台

不排除是其他国家的情报机构，搭建了这套高度仿真的基础设施：

研究APT技术：通过模拟Lazarus的攻击模式，学习国家级黑客的战术、技术和流程；

测试防御能力：用这套“完美服务器”检验自家防御体系能否抵御高级攻击；

混淆 attribution：故意让俄、朝APT的痕迹出现在同一IP，制造溯源混乱。

四、防御建议：无论是否蜜罐，这些风险必须防

无论20台服务器是蜜罐还是真实C2，OtterCookie的恶意代码、攻击手法都是真实存在的威胁——尤其是加密货币从业者、远程开发者，更是Lazarus的重点目标。结合Red Asgard的建议，可从三层面构建防御：

1. 终端防御：精准识别恶意痕迹

检查注册表：排查HKCU\Software\Microsoft\Windows\CurrentVersion\Run中的“NodeHelper”项，发现即删除；

清理计划任务：删除名为“NodeUpdate”、执行路径包含“node.exe”的可疑任务；

监控进程：用任务管理器排查node进程是否加载“module-listener”“node-screenshots”等可疑模块。

2. 网络防护：拦截特征端口与域名

阻断端口指纹：禁止服务器同时开放1224、1244、5918、5934、5961、5974端口，这是该组织基础设施的核心特征；

屏蔽恶意域名：重点拦截tetrismic.vercel.app（OtterCookie投递域名）及*.vercel.app的异常连接；

监控IP段：对147.124.208.0/20网段（集中C2所在）的访问行为进行告警。

3. 人员防护：加密从业者必看

避免浏览器钱包存大额资产：用硬件钱包（Ledger、Trezor）存储加密货币，浏览器钱包仅用于小额测试；

隔离工作环境：为加密操作单独创建浏览器 profile，禁用不必要的插件；

警惕远程招聘陷阱：Lazarus常通过Upwork、Fiverr等平台伪装招聘， vet 远程项目时，需检查代码仓库是否有可疑脚本、VSCode任务是否包含恶意命令。

五、终极思考：网络狩猎的边界在哪里？

这场“反遭埋伏”的调查，给所有网络安全研究者敲响了警钟：当APT组织开始主动设置陷阱，当恶意基础设施变得“过于完美”，狩猎者与猎物的身份边界正在模糊。

Lazarus组织的技术演进也值得警惕：从BeaverTail到OtterCookie，其攻击目标从泛化的政府、企业，收缩到精准的加密从业者、开发者；攻击手法从简单的脚本注入，升级为“监控+窃密+反侦察”的全链条作战。这背后，是国家级APT对高价值目标的持续聚焦，也是网络空间攻防对抗的不断升级。

或许正如Red Asgard在报告中所言：“我们可能永远无法确定这些服务器的真实用途，但有一点可以肯定——在网络空间，最危险的从来不是已知的攻击，而是那些故意让你发现的‘陷阱’。”

对个人而言，守住终端安全、警惕陌生文件、隔离高价值操作，才是应对所有未知威胁的终极防线。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《猎捕Lazarus反遭埋伏？OtterCookie背后的20台“完美蜜罐”迷局》