文章总结： 疑似伊朗关联组织DustSpecter冒充伊拉克外交部，针对伊官员发动攻击，投放SPLITDROP等新型恶意软件。攻击利用DLL侧加载、内存执行PowerShell等技术规避检测，源码迹象显示其可能利用生成式AI辅助开发。此外，攻击者攻陷政府基础设施投放载荷，结合ClickFix手法实施社会工程欺骗，具备高隐蔽性与实战威胁。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学,AI安全

与伊朗有关的黑客组织利用全新恶意软件针对伊拉克官员发动攻击

HackerNews HackerNews

安全威胁纵横

2026年3月6日 18:06 湖北

高危漏洞

紧急修复指南

RCE Patch

一个疑似与伊朗相关的威胁组织，通过冒充伊拉克外交部，针对伊拉克政府官员发动攻击并投放多款全新恶意软件。

推测e

Zscaler ThreatLabz 于 2026 年 1 月监测到该活动，并将其命名为 Dust Specter 进行追踪。攻击通过两条不同的感染链展开，最终投放 SPLITDROP、TWINTASK、TWINTALK 和 GHOSTFORM 恶意软件。

安全研究员 Sudeep Singh 表示：“Dust Specter 使用随机生成的 URI 路径与 C2 服务器通信，并在路径后附加校验值，确保请求来自真实受感染系统。C2 服务器还使用了地理围栏与 User‑Agent 校验。”

此次攻击的一个显著特点是：攻击者攻陷伊拉克政府相关基础设施，用于投放恶意载荷，同时还使用规避技术延迟执行，以躲避检测。

第一条攻击链以加密 RAR 压缩包开始，其中包含名为 SPLITDROP 的 .NET 加载器，它负责加载工作模块 TWINTASK 与 C2 协调模块 TWINTALK。

TWINTASK 是恶意 DLL（libvlc.dll），通过合法 vlc.exe 进行 DLL 侧加载。它每 15 秒轮询 C:\ProgramData\PolGuid\in.txt 获取新指令，并通过 PowerShell 执行，还包含通过修改注册表实现持久化的指令。脚本输出与错误信息记录在 out.txt 中。

TWINTASK 首次运行时会执行压缩包内合法程序 WingetUI.exe，使其侧加载 TWINTALK 的 DLL（hostfxr.dll）。其主要功能是与 C2 通信获取指令、与 TWINTASK 协同，并回传执行结果。支持将 C2 指令写入 in.txt，并支持文件上传与下载。

Singh 表示：“C2 协调模块与工作模块并行运行，通过文件轮询机制执行指令。TWINTALK 运行后进入心跳循环，随机延迟后再轮询 C2 获取指令。”

第二条攻击链是第一条的升级版，将 TWINTASK 与 TWINTALK 全部功能整合为单一程序 GHOSTFORM。它使用内存中直接执行 PowerShell 的方式运行来自 C2 的指令，从而避免在磁盘上留下痕迹。

这并非两条攻击链的唯一区别。部分 GHOSTFORM 样本内置硬编码 Google 表单地址，运行后会自动用默认浏览器打开。表单为阿拉伯语内容，伪装成伊拉克外交部官方调查问卷。

Zscaler 对 TWINTALK 与 GHOSTFORM 源码分析发现，其中存在占位符、表情符号与 Unicode 文本，表明攻击者可能使用生成式 AI辅助开发恶意软件。

此外，与 TWINTALK 关联的 C2 域名 meetingapp[.]site，已被 Dust Specter 在 2025 年 7 月攻击中用于搭建伪造的 Webex 会议邀请页面，诱导用户复制粘贴并运行 PowerShell 脚本 “加入会议”。该手法与 ClickFix 式社会工程攻击高度一致。

该 PowerShell 脚本会创建目录，从同一域名下载载荷并保存为可执行文件，同时创建计划任务每两小时运行该恶意程序。

Dust Specter 与伊朗关联的依据是：伊朗黑客组织长期使用轻量级自定义 .NET 后门。攻陷伊拉克政府基础设施的手法，也与 OilRig（APT34）等伊朗系组织过往攻击一致。

Zscaler 表示：“本次活动中高置信度归属 Dust Specter，通过高度仿真的社会工程诱饵冒充伊拉克外交部攻击政府官员。该活动也反映出主流趋势：ClickFix 式攻击手法与生成式 AI 在恶意软件开发中的广泛使用。”

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://thehackernews.com/2026/03/dust-specter-targets-iraqi-officials.html

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《与伊朗有关的黑客组织利用全新恶意软件针对伊拉克官员发动攻击》