文章总结： 文章剖析了伊朗APT组织“浑水”的最新攻击链，核心在于利用Rust编写的CHAR后门及TelegramC2通信。攻击者通过钓鱼邮件投放宏病毒，结合GhostFetch下载器与AnyDesk白利用技术，展现了强反溯源与无文件攻击特征。报告指出攻击者已使用AI辅助开发恶意软件。建议企业采用EDR监控终端行为、管控非业务流量并强化安全意识培训。 综合评分： 85 文章分类： 威胁情报,恶意软件,实战经验,逆向分析,红队

Rust后门+Telegram C2，带你扒一扒“浑水”组织的最新攻击链

原创

Kit Chung Kit Chung

安全圈动向

2026年2月26日 07:51 广东

最近安全圈又吃了个大瓜。大名鼎鼎的伊朗APT黑客组织 MuddyWater（圈内老哥们喜欢叫它“浑水”，或者Earth Vetala、Mango Sandstorm）最近又出来搞事情了。

根据Group-IB在今年初最新发布的报告，这帮家伙正在中东和北非（MENA）地区疯狂“撒网”，搞了一个代号叫 “Operation Olalampo” 的新行动。

讲真，作为一个在IT圈摸爬滚打了好几年的老兵，我看完他们这次的攻击手法，第一反应是：这帮黑客现在也太“卷”了吧？不仅武器库全面升级，甚至连AI辅助编程都用上了。

今天咱们就来硬核拆解一下，看看“浑水”这次到底用了什么黑科技，咱们平时在企业防守时又能学到点啥。

🎣 老套路玩出新花样：三管齐下的“钓鱼”攻击链

老规矩，咱们先看入口。这次“浑水”依然采用了极其经典的 鱼叉式钓鱼邮件 + Office宏病毒 的起手式。

你可能会说：“这都什么年代了，怎么还在玩宏代码这一套？” 别急，虽然套路老，但人家包装得好啊。他们利用“机票行程单”、“公司业务报告”，甚至是伪装成中东某知名能源海事公司的名义发邮件。

只要受害者一不小心点了“启用宏”，潘多拉魔盒就打开了。根据目前抓到的样本，他们至少准备了三套不同的攻击连招：

1. 连招A：

   恶意Excel宏 -> 释放并执行 CHAR 后门。

2. 连招B：

   恶意Excel宏 -> 部署 GhostFetch 下载器 -> 拉取 GhostBackDoor 后门。

3. 连招C：

   恶意文档 -> 部署 HTTP_VIP 下载器 -> 利用合法远控工具 AnyDesk 建立据点。

🛠️ 核心武器库深度解析：这四款恶意软件有点东西

这才是今天咱们要聊的重头戏。这次行动中曝光了四个全新的/升级版的恶意软件家族，技术含量相当不错。咱们一个个来看：

1. GhostFetch：极度敏感的“前哨侦察兵”

这玩意儿是个一阶段下载器，但它的反侦察能力做得非常细致。在它真正开始干活之前，它会做一系列的“环境探查”（Environmental Keying）：

• 反沙箱/反分析：

  检查鼠标移动轨迹、校验屏幕分辨率。

• 反调试/反编译：

  探测系统中是否存在调试器、虚拟机特征（VM artifacts）以及杀毒软件。

• 内存加载：

  确认环境绝对安全后，它才会去拉取二阶段的Payload，并且直接在内存中执行（无文件落地）。这就让很多传统的基于文件特征扫描的杀软直接成了“瞎子”。

2. GhostBackDoor：纯粹的远控木马

这是由GhostFetch拉取下来的二阶段后门。功能很纯粹，但也极其致命：提供交互式Shell、支持任意文件读写，并且在必要时还能重新拉起GhostFetch来维持权限。

3. HTTP_VIP：玩转“白利用”的高手

这是一款原生下载器，C2服务器域名藏在 codefusiontech[.]org 下。

它最大的特点就是喜欢搞 “白利用”。它在完成系统信息收集后，不会去下载什么奇奇怪怪的黑客工具，而是直接静默部署 AnyDesk 这种合法的商业远程桌面软件。这招非常贼，因为很多企业的防火墙默认是对AnyDesk放行的。

它的最新变种甚至还能抓取剪贴板内容、动态调整心跳包（Beaconing）的休眠时间，反溯源意识极强。

4. CHAR：AI加持的Rust后门 (🌟 重点来了)

这绝对是本次行动中最引人注目的“明星”木马。

首先，它是由Rust语言编写的。做逆向的兄弟们都知道，Rust编译出来的二进制文件结构复杂，逆向分析的门槛比C/C++高得多，而且天然跨平台，这也是近年来APT组织越来越偏爱Rust的原因（比如之前的BlackBeard/Archer RAT也是如此）。

其次，它的C2通信机制非常潮，直接通过Telegram Bot来控制（Bot的firstname叫”Olalampo”，username叫”stager_51_bot”）。通过TG来下发指令不仅隐蔽，而且天然穿透很多企业的防火墙。

CHAR接收到指令后，可以执行cmd或PowerShell命令，甚至能拉起一个 SOCKS5反向代理，或者部署另一个叫Kalim的后门，专门用来窃取受害者Web浏览器里的敏感数据。

💡 最有意思的细节：黑客的AI辅助编程实锤！

Group-IB的安全研究员在逆向CHAR的源代码时，发现它的调试字符串（Debug strings）里居然包含大量的Emoji表情包！这跟Google披露的情报不谋而合：“浑水”组织正在大量使用生成式AI工具（比如各种大语言模型）来辅助他们开发定制化的恶意软件。

连APT老哥们写木马都开始用AI做Copilot了，咱们防守方还有什么理由不拥抱AI技术呢？

🛡️ 攻防博弈，永不停歇

看完了“浑水”组织的这波操作，相信大家都有所感触。

现在的APT攻击，早就不是粗制滥造的脚本乱飞了。他们在使用更难逆向的语言（Rust），利用更隐蔽的通道（Telegram / AnyDesk白利用），甚至借助AI来提升研发效率。而且，除了传统的钓鱼，他们也开始疯狂扫描并利用企业公网服务器上的 1day/Nday 漏洞来获取初始访问权限。

对于咱们广大的企业IT和安全工程师来说，传统的“打补丁+装杀软”已经很难防住这种级别的定向攻击了。强化终端行为监控（EDR）、加强网络流量异常分析（尤其是对Telegram API、AnyDesk等非核心业务流量的管控），以及持续开展员工安全意识培训，才是王道。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《Rust后门+Telegram C2，带你扒一扒“浑水”组织的最新攻击链》