文章总结： 与伊朗有关联的APT组织DustSpecter利用AI辅助的定制.NET恶意软件攻击伊拉克政府官员，通过冒充外交部实施钓鱼攻击。报告揭示了SPLITDROP、TWINTASK及GHOSTFORM等新型组件，攻击链融合DLL侧加载与内存执行技术。分析指出代码中存在AI生成特征，且基础设施与既往行动重叠，具有高置信度伊朗背景。文中提供了详细的IOC指标供防御方参考。 综合评分： 86 文章分类： 威胁情报,恶意软件,AI安全

与伊朗有关联的“Dust Specter”APT组织利用人工智能辅助恶意软件攻击伊拉克官员

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月5日 12:18 北京

与伊朗有关联的APT组织“Dust Specter”正利用人工智能辅助的定制.NET恶意软件攻击伊拉克政府官员，采用融合了DLL侧加载、内存PowerShell和ClickFix式诱饵的双重攻击链。

2026 年 1 月，Zscaler ThreatLabz 追踪到一项针对伊拉克官员的新活动，该活动参与者冒充伊拉克外交部，并滥用被入侵的政府基础设施来托管有效载荷。

ThreatLabz 发现了四个以前未记录的 .NET 组件：SPLITDROP、TWINTASK、TWINTALK 和 GHOSTFORM，它们被用于两条相关的攻击链中。

基础设施的重复利用也使该组织与 2025 年 7 月的 ClickFix 行动联系起来，该行动通过域名 meetingapp[.]site 将 Webex 主题的诱饵武器化。

ThreatLabz内部将其命名为 Dust Specter，根据其工具、受害者情况和 TTP 与之前伊朗 APT 对伊拉克的活动（包括与 APT34 有关的行动）的重叠情况，评估认为其与伊朗有关联，置信度为中等到高。

SPLITDROP、TWINTASK、TWINTALK

第一条链始于一个名为“mofa‑Network‑code.rar”的受密码保护的 RAR 压缩文件，该文件伪装成外交部的内容。

在内部，一个伪装成 WinRAR 的32 位.NET 二进制文件充当 SPLITDROP 投放器，提示用户输入密码，然后使用 PBKDF2 派生的密钥将嵌入的 AES-256 加密资源解密到 C:\ProgramData\PolGuid.zip 中。

该压缩包展开后会生成一个 PolGuid 目录，其中包含一个合法的 VLC.exe 文件，用于将 DLL 文件侧加载到 TWINTASK 工作模块中。

TWINTASK 通过恶意 libvlc.dll 加载，每 15 秒持续轮询 C:\ProgramData\PolGuid\in.txt，对命令进行 base64 解码（跳过前导垃圾字符），并通过 PowerShell 执行它们，并将结果记录到 out.txt。

初始命令通过创建 VLC.exe 和捆绑的 WingetUI.exe 的运行键条目来建立持久性，而 WingetUI.exe 又会侧载 hostfxr.dll，即 TWINTALK C2 编排器。

TWINTALK 使用随机生成的十六进制 URI 路径和自定义的 6 个字符校验和向其 C2 服务器发送信标，以区分真正的机器人和沙箱流量，并将机器人 ID 和版本包装在授权标头中发送的弱签名 HS256 JWT 中。

命令处理有意做到极简：类型 0 通过 in.txt/out.txt 通道执行 PowerShell，类型 1 下载文件，类型 2 上传本地数据，JSON 响应按位置解析，以规避基于键的检测。

GHOSTFORM整合 RAT

第二条链用 GHOSTFORM 取代了分离式架构，GHOSTFORM 是一个单一的 .NET RAT，它整合了 SPLITDROP、TWINTASK 和 TWINTALK 的功能，同时更加注重隐蔽性和社会工程。

有些样本嵌入了硬编码的 Google 表单URL，该 URL 会打开一个虚假的阿拉伯语调查，假装是外交部为政府工作人员准备的官方问卷。

GHOSTFORM 仍然使用抖动信标延迟，但它不是使用 Windows 等待 API，而是生成一个几乎透明的 10×15 Windows 窗体，其不透明度接近于零，从任务栏中隐藏，并使用计时器来暂停执行，然后再返回到其主循环。

这种对基础设施和社交工程方式的再利用，进一步加强了 2025 年 7 月 Webex 行动与 Dust Specter 2026 年以伊拉克为重点的行动之间的联系。

它还会创建一个全局互斥锁来强制执行单实例化，并从程序集创建时间而非随机值中派生机器人 ID，同时使用看似随机生成的非零机器人版本字符串。

ThreatLabz 分析师注意到 TWINTALK 和 GHOSTFORM 代码中存在表情符号、不寻常的 Unicode 字符和类似占位符的魔法常量（例如校验和例程中的 0xABCDEF），这与之前在其他与伊朗有关的攻击活动中，由生成式人工智能编写的代码片段的模式相一致。

这表明该组织正在尝试利用人工智能进行恶意软件开发，这与更广泛的报道相呼应，即伊朗高级持续性威胁组织正在将人工智能融入工具和技术中。

同一个 C2 域 meetingapp[.]site 此前曾托管过一个以 Webex 为主题的 ClickFix 诱饵，指示受害者复制粘贴 PowerShell 命令，该命令会下载 WinWebex.exe 有效载荷并注册一个长期运行的计划任务。

妥协指标（IOC）

网络指标

| Type | Indicator | | — | — | | C2 domain | lecturegenieltd[.]pro | | C2 domain | meetingapp[.]site | | C2 domain | afterworld[.]store | | C2 domain | girlsbags[.]shop | | C2 domain | onlinepettools[.]shop | | C2 domain | web14[.]info | | C2 domain | web27[.]info | | URL hosting ZIP archive containing Attack Chain 2 | hxxps://ca[.]iq/packages/mofaSurvey_20_30_oct.zip |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《与伊朗有关联的“Dust Specter”APT组织利用人工智能辅助恶意软件攻击伊拉克官员》