文章总结： Steaelite是一种新型远程访问木马，通过浏览器控制受感染的Windows计算机，集成了远程代码执行、凭证窃取、文件窃取和勒索软件部署等功能，实现了数据窃取与勒索攻击的融合。其控制面板自动化收集凭证，并计划扩展至Android勒索软件模块，使单一工具即可完成双重勒索攻击。建议安全团队关注此类工具融合趋势，并采用反数据泄露技术进行防御。 综合评分： 78 文章分类： 恶意软件,威胁情报,终端安全,网络安全,解决方案

Stealelite RAT 可从单个面板发起双重勒索攻击

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月26日 10:29 北京

一种名为 Steaelite 的新型远程访问木马正在地下网络犯罪团伙中出售。该工具使操作者能够通过浏览器控制受感染的 Windows 计算机，在一个控制面板上即可完成远程代码执行、凭证窃取、实时监控、文件窃取和勒索软件部署等操作。

Steaelite 的显著特点在于它将数据窃取和勒索软件捆绑在一起：数据窃取和勒索软件，这两个传统上是网络犯罪工具链中独立的部分，被打包到一个 Web 面板中，并且 Android 勒索软件模块已经在开发中。

分销和市场占有率

Steaelite 于 2025 年 11 月首次出现在地下网络犯罪网络中，自称是一款“最佳 Windows 远程访问木马”，具备“完全无法检测”（FUD）的功能。卖家宣称其兼容 Windows 10 和 11，拥有稳定的 HVNC 监控功能，并可绕过银行应用程序。

图 1. Steaelite 论坛列表之一。

截至撰写本文时，该帖子已在多个论坛帖子中持续被顶帖，共有 87 条消息，并且一段展示该工具功能的宣传视频已发布在 YouTube 上，这是商业远程访问木马程序为了接触传统论坛生态系统之外的买家而常用的分发策略。

Stealelite 控制面板内部

Steaelite 的操作界面完全在浏览器中运行。控制面板实时显示已连接的受害者及其计算机名称、硬件 ID、CPU 和内存使用情况以及操作系统版本。

图 2. 宣传即将推出的 Android 勒索软件模块的仪表板。

用户首次登录时弹出的欢迎窗口会宣传一个标记为“开发中”的“Android勒索软件”模块，这表明该公司正在向移动勒索领域扩张。

主工具栏包含用于远程代码执行、文件管理、实时流媒体、网络摄像头和麦克风访问、进程管理、剪贴板监控、密码恢复、已安装程序枚举、位置跟踪、任意文件执行、URL 打开、DDoS 攻击和 VB.NET 有效载荷编译的模块。

在主工具栏下方，操作员可以展开两个附加部分。“高级工具”面板提供勒索软件部署、隐藏远程桌面协议 (RDP)、Windows Defender 禁用和排除管理以及持久化安装等功能。

图 3. 高级工具部分。

“开发者工具”面板增加了键盘记录、客户端与受害者聊天、文件搜索、USB传播、僵尸网络清除（移除竞争性恶意软件）、消息框发送、壁纸修改、UAC绕过以及在复制粘贴操作期间交换加密货币钱包地址的剪贴板功能。

该剪贴板程序会悄悄监视受害者的剪贴板，查找钱包地址，并在粘贴完成之前将其替换为攻击者控制的地址，从而在受害者不知情的情况下转移资金。

图 4. 开发者工具部分。

远程代码执行模块提供了一个命令提示符界面，操作员可以在其中输入命令、执行命令，并直接在浏览器中接收输出。结合 UAC 绕过模块，该模块可以实现以管理员权限执行任意命令。

图 5. 远程代码执行显示“hostname”命令成功执行。

文件管理器提供完整的目录浏览功能，并支持一键下载。操作人员可以遍历受害者的文件系统，无需编写脚本或配置单独的数据泄露通道即可提取任何文件。

图 6. 文件管理器正在浏览 C:\ 驱动器。

实时屏幕串流功能会在受害者的桌面显示“直播”指示。结合网络摄像头和麦克风模块，只要受害者保持连接，Steaelite 就能成为一个持续监控平台。

图 7. 受害者桌面实时画面。

消息框模块会在受害者的屏幕上显示自定义对话框，其内容、标题和类型均可配置。这使得可以直接在终端上进行社会工程攻击：例如，伪造更新提示、捏造安全警告或窃取凭据的对话框，这些对话框都源自受害者自己的计算机，而不是外部电子邮件或网站。

图 8. 消息框模块。

当新的受害者连接时，Steaelite 会在操作员发出任何命令之前自动窃取浏览器中存储的密码、会话 cookie 和应用程序令牌。数据窃取从连接瞬间就开始了。即使操作员从未打开控制面板，初始数据窃取也已经完成。

图 9. 自动凭证转储通知。

Stealelite 对安全团队意味着什么

单个攻击者即可通过同一控制面板浏览文件、窃取文档、收集凭证并部署勒索软件。这使得仅凭一个工具即可实现完整的双重勒索。

以往的双重勒索需要先使用恶意软件进行初始访问和数据窃取，然后再使用单独的勒索软件进行加密，这通常需要初始访问代理和勒索软件关联方之间的协调。Steaelite 将这两项功能集成在同一个界面中，其自动化凭证收集功能意味着数据窃取会在操作员与控制面板交互之前就发生。

路线图上的安卓勒索软件模块将进一步扩展这一功能。如果开发者能够按计划交付，一个 Steaelite 许可证即可覆盖企业 Windows 终端以及员工用于身份验证和消息传递的移动设备。

对于企业而言，数据窃取和勒索软件攻击之间的界限在工具层面正在消失。如果数据已经通过同一工具的窃取模块泄露，那么在加密环节阻止勒索软件攻击就为时已晚。

BlackFog 如何干扰双重勒索

BlackFog 的反数据泄露 (ADX)技术正是为了应对这种融合而开发的。通过实时监控和阻止未经授权的出站数据传输，ADX 可以防止 Steaelite 等工具所依赖的凭证泄露、文件窃取和基于剪贴板的加密货币重定向，从而在勒索软件引爆之前，切断双重勒索攻击中的数据泄露环节。

妥协的迹象

| SHA-256： | b2a8d97da2a653de75d3d1be583910233a81a3794364e19ee4bc352b06b48f36（由 @solostalking 在 X 上分享） | | — | — | | Username： | Steaelite | | 首次发现： | 2025年11月 | | C2： | 1e81ea2a059f.ngrok-free.app（每次会话的变化，在演示中观察到） | | 相关路径： | /dashboard.html，/victim.html |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Stealelite RAT 可从单个面板发起双重勒索攻击》