文章总结： 伊朗APT42组织利用TAMECATPowerShell后门针对军政高官实施间谍攻击。该软件具备无文件运行、内存执行及利用Telegram作为C2通道的特性，能隐蔽窃取数据。文章拆解了其通过VBScript钓鱼投递、多层加密加载的攻击链条，建议企业部署EDR、强化脚本策略及加强安全意识以构建防御体系。 综合评分： 78 文章分类： 威胁情报,恶意软件,应急响应

警惕！伊朗APT42新武器TAMECAT：潜伏PowerShell，专盯军政高官

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年2月25日 11:59 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

2026年初，以色列国家数字局披露一则重磅威胁情报：伊朗国家级黑客组织APT42，正利用一款名为TAMECAT的PowerShell后门，针对全球多国国防高官、政府核心人员发动精准间谍攻击。

这款恶意软件堪称“隐形间谍”——不写硬盘、全内存运行，还能通过Telegram接收指令，悄悄窃取浏览器数据、截屏监控，甚至绕过主流杀毒软件。更可怕的是，它已经迭代多个版本，攻击手法不断升级，成为APT42实施跨国间谍活动的核心武器。

安天CERT结合Pulsedive等机构的技术分析报告，带你拆解TAMECAT的攻击链条、隐藏技巧和防御要点，看懂国家级黑客如何用“脚本武器”实现精准窃密。

核心结论先行： TAMECAT是一款模块化设计的PowerShell后门，主打“隐蔽渗透+精准窃密”，通过VBScript钓鱼投递，针对Windows系统量身定制，攻击目标直指高价值军政人员。其最大威胁在于“无文件特性+多层加密”，传统防护难以检测，而Telegram、Discord等社交平台的C2通道，更让溯源难度陡增。

一、攻击链条拆解：从钓鱼到窃密，仅需4步

TAMECAT的攻击流程高度自动化，从用户点击恶意文件到数据被窃取，全程隐蔽无感知，完整链条可分为4个关键阶段：

1. 投递阶段：VBScript钓鱼，精准识别防御环境

攻击的起点，通常是一封伪装成公务邮件的钓鱼附件——看似普通的文档，实则内嵌VBScript脚本。

这个脚本堪称“侦察兵”，执行后会立刻通过WMI查询目标设备上安装的杀毒软件列表：

如果检测到Windows相关防护软件，就调用conhost启动PowerShell，通过远程下载工具获取核心载荷；

如果未检测到Windows环境，则通过命令行工具和下载工具获取另一款恶意程序（链接已失效，暂未捕获完整样本）。

这种“按需投递”的设计，让TAMECAT能适配不同防御环境，大大提升攻击成功率。

2. 加载阶段：PowerShell隐形运行，多层加密防检测

成功下载的核心载荷是一个看似普通的文本文件，实则是藏着加密攻击代码的PowerShell脚本。

它的反检测技巧堪称“教科书级”：

命令混淆：用模糊表达式替代明文执行命令，躲避脚本检测；

AES双重加密：核心代码先用Base64编码，再通过高强度加密处理，解密后才会释放功能模块；

无文件运行：全程在内存中执行，不向硬盘写入任何恶意文件，传统杀毒软件难以捕获。

3. 窃密阶段：模块化作案，针对性收集敏感数据

解密后的TAMECAT会激活多个功能模块，像“间谍工具箱”一样精准收集信息，重点目标包括：

浏览器数据窃取：通过远程调试提取主流浏览器数据，暂停浏览器进程后读取缓存、密码等敏感信息；

系统信息收集：获取操作系统版本、计算机名、唯一标识令牌，生成受害者专属标识并存储在系统目录中；

屏幕监控：静默截屏，完整记录目标操作轨迹；

指令接收：通过Telegram机器人接收控制命令，可下载额外脚本、执行各类代码，甚至灵活终止攻击进程。

值得注意的是，APT42还会通过社交工程“铺垫”——先与受害者建立信任关系，再伺机投递恶意文件，大幅降低被怀疑的概率。

4. 渗出阶段：加密传输，C2通道藏在社交平台

收集到的敏感数据，会通过加密处理后，以网络请求的形式发送至控制服务器。为了躲避监控，TAMECAT还会：

伪造浏览器标识，伪装成正常网络请求；

将加密关键参数存入特殊请求头，增加解密难度；

除了专用服务器，还会利用Discord、Telegram等社交平台作为备用控制通道，让溯源工作难上加难。

二、异常行为特征：这些信号要重点警惕

想要快速识别TAMECAT攻击，可重点监控以下异常行为，企业安全团队可直接纳入防护规则：

脚本执行程序启动PowerShell或命令行工具，且伴随远程下载操作；

PowerShell进程出现模糊命令调用、异常编码字符串解析等可疑行为；

进程试图访问系统本地应用数据目录，或创建不明配置文件；

向社交平台相关域名发送加密网络请求，且请求头包含特殊自定义字段。

三、防御建议：5个关键动作，阻断攻击链条

针对TAMECAT的攻击特点，结合澳大利亚信号局（ASD）的PowerShell安全指南，建议从“终端防护、网络监控、用户教育”三方面构建防御体系：

1. 部署EDR/AV解决方案：优先选择支持PowerShell脚本监控、内存行为检测的产品，重点拦截“VBScript启动PowerShell”的恶意进程链；

2. 强化PowerShell安全配置：企业环境中启用脚本执行策略（仅允许签名脚本运行），开启脚本块日志，完整记录所有PowerShell执行内容；

3. 监控关键网络行为：在防火墙、入侵防御系统中拦截可疑社交平台控制通道访问，重点审计包含特殊请求头的异常网络请求；

4. 限制敏感目录访问：对系统本地应用数据等关键目录设置访问控制，阻止非信任进程创建可疑文件或目录；

5. 加强用户安全教育：重点提醒军政、涉密单位人员，警惕陌生邮件附件，尤其是后缀为.vbs、.docm的文件，不随意点击来源不明的链接。

四、背后势力：APT42的“国家级窃密”野心

TAMECAT的背后，是伊朗知名的国家资助黑客组织APT42（也被称为“MuddyWater”），该组织长期专注于跨国间谍活动，攻击目标覆盖中东、欧洲、亚洲多个国家的政府、国防、能源等关键领域。

从技术特征来看，APT42的攻击风格高度统一：偏爱使用PowerShell、VBScript等脚本语言，擅长利用公开云平台存储载荷，且频繁更换控制通道以躲避溯源。此次TAMECAT的曝光，再次印证其“模块化、隐蔽化、精准化”的攻击思路——不用复杂漏洞，仅靠脚本武器和社交工程，就能实现对高价值目标的长期监控。

值得警惕的是，TAMECAT的多个变种还共享核心代码逻辑，包括编码数组、字符串替换混淆等技巧，说明APT42正在持续迭代其武器库，未来可能针对更多平台、更多行业发动攻击。

网络安全的本质是攻防对抗，而国家级黑客组织的武器迭代速度，远比我们想象的更快。对于军政机关、涉密企业等核心单位而言，仅靠传统防护已难以应对，必须构建“终端+网络+人员”的立体化防御体系，才能在看不见的战场上守住底线。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《警惕！伊朗APT42新武器TAMECAT：潜伏PowerShell，专盯军政高官》