文章总结： 伊朗APT组织DustSpecter利用生成式AI开发恶意软件，针对伊拉克政府官员发起精准攻击。攻击者伪装外交部构建三种钓鱼陷阱，投递SPLITDROP等新型恶意软件，具备无文件执行与持久化能力。建议机构加强邮件验证、限制PowerShell执行并部署EDR终端防护，以应对AI赋能的隐蔽威胁。 综合评分： 78 文章分类： 威胁情报,恶意软件,AI安全,社会工程学,解决方案

伊朗APT组织出手！Dust Specter用AI生成 malware 猎杀伊拉克官员，3套陷阱防不胜防

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年3月13日 11:59 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

    2026年3月，网络安全公司Zscaler抛出重磅预警：与伊朗关联的APT组织Dust Specter，正对伊拉克政府官员发动精准网络攻击！他们伪装成伊拉克外交部，用钓鱼邮件投递4款全新恶意软件，甚至动用生成式AI开发攻击工具，3套诱骗陷阱让目标防不胜防。

这场攻击背后，是中东地缘政治的网络延伸——伊朗与伊拉克的复杂关系，让政府官员成为黑客的重点狩猎目标。而AI赋能的攻击手段，更让这场间谍行动变得愈发隐蔽致命。今天就带大家拆解Dust Specter的“猎杀套路”！

一、伪装外交部：3套陷阱精准钓官

Dust Specter最擅长“角色扮演”，这次全程伪装成伊拉克外交部，针对政府官员的工作场景设计陷阱，每一套都直击痛点：

1. 陷阱1：带密码的“机密压缩包”

黑客发送钓鱼邮件，附件是名为“mofa-Network-code.rar”的加密压缩包，邮件里还附带密码“92,110-135_118-128”，声称是“外交部网络配置机密文件”。

对每天处理涉密文件的官员来说，加密压缩包+专属密码的组合，看起来“正规又安全”。但一旦解压运行里面的程序，就等于打开了潘多拉魔盒——这个伪装成WinRAR应用的32位程序，其实是名为SPLITDROP的恶意投放器，会悄悄释放两个核心模块：

TWINTASK：执行本地文件中的PowerShell命令，悄悄窃取系统信息；

TWINTALK：建立与黑客服务器的秘密通信，接收攻击指令。

2. 陷阱2：仿冒谷歌表单的“官方调查”

这是更具迷惑性的一招：黑客发送“外交部问卷调查”链接，点开后是仿冒的谷歌表单，界面、配色和官方调查别无二致。

官员填写表单时不会察觉异常，但背后的GHOSTFORM恶意软件已在悄悄运行——它把所有功能整合在一个程序里，全程在内存中执行，不留下任何磁盘痕迹，很难被杀毒软件发现。同时，它还会用“隐形窗口”延迟执行，避开实时监控，等官员填完表单，系统早已被黑客控制。

3. 陷阱3：伪装Cisco Webex的“政府会议”

黑客还搭建了仿冒的Cisco Webex会议页面，声称“需通过政府专属模式加入会议”，诱导官员按步骤操作：先下载“Webex for Government”，再打开PowerShell粘贴指定脚本“生成专属会议号”。

看似合规的操作，实则是黑客的圈套——粘贴运行的PowerShell脚本，会自动下载并安装恶意软件，让黑客获得长期控制权限。更可怕的是，这个攻击域名“meetingapp.site”早在2025年7月就被Dust Specter用过，可见其攻击的持续性。

二、AI加持：恶意软件也能“自动化生成”

这次攻击最值得警惕的，是Dust Specter已开始用生成式AI开发恶意软件。

Zscaler的研究人员发现，TWINTALK和GHOSTFORM两款 malware 里藏着明显的AI痕迹：代码中嵌入了奇怪的表情符号和Unicode文本，还出现了“0xABCDEF”这类典型的AI生成占位符。这意味着黑客不再需要手动编写复杂代码，而是用AI快速生成恶意程序，大大提升了攻击效率和隐蔽性。

更狡猾的是，这些 malware 还掌握了“反侦察技巧”：

TWINTALK用随机延迟、自定义URI路径和JWT令牌与控制服务器通信，躲避网络监控；

借助VLC播放器、WingetUI等合法软件实现DLL侧载，伪装成正常程序运行；

通过修改注册表建立持久化，就算官员重启电脑，恶意软件也能自动激活。

三、地缘背景：中东网络战的缩影

为什么Dust Specter要盯着伊拉克官员？这和中东的地缘政治密切相关。

自美国入侵伊拉克后，伊拉克陷入长期动荡，伊朗趁机扩大在伊拉克的影响力，支持当地亲伊朗民兵和政党，形成了复杂的利益交织关系。而APT组织作为“网络间谍”，正是伊朗争夺地区影响力的重要工具——通过攻击伊拉克政府官员，窃取外交、国防等敏感情报，就能在地区博弈中占据主动。

作为具有国家背景的APT组织，Dust Specter的攻击特点是“精准、持续、隐蔽”。和之前的攻击不同，这次它不再依赖传统恶意软件，而是结合AI技术和场景化诱骗，让攻击更难被察觉，也给防御带来了更大挑战。

四、防御指南：政府机构与职场人必看

面对Dust Specter的精准攻击，无论是政府机构还是普通职场人，都要守住这3条防线：

1. 对“官方文件”多三重验证

验证发件人：就算邮件显示来自“外交部”，也要通过官方电话、内部系统二次确认，不轻易相信陌生发件人的附件；

警惕加密压缩包：涉密文件通常有正规传输渠道，不会通过钓鱼邮件发送带密码的压缩包，遇到此类文件直接拒收；

拒绝陌生链接：谷歌表单、会议软件链接要仔细核对域名，仿冒网站往往会篡改域名中的字母（如把“webex”改成“webexx”）。

2. 禁用非必要PowerShell执行

政府机构可通过组策略限制PowerShell脚本执行，只允许特定人员、特定场景使用；

普通用户若收到“要求运行PowerShell脚本”的指令，无论看似多正规，都要先向IT部门核实，切勿直接粘贴执行。

3. 强化终端防护与监控

部署EDR（终端检测与响应）工具，监控内存中的异常执行行为、注册表篡改、可疑网络连接；

定期扫描系统中的可疑进程，重点关注与VLC、Webex等软件相关的异常关联程序；

拉黑恶意IOC：将“meetingapp.site”等恶意域名、相关恶意软件的哈希值加入黑名单，提前拦截攻击。

结语：AI让网络攻击进入“精准猎杀时代”

Dust Specter的这次攻击，标志着APT组织已开始全面拥抱AI技术——用AI生成恶意软件、设计场景化陷阱，让攻击更隐蔽、更精准。而中东地缘政治的加持，更让这类攻击充满针对性和持续性。

对政府机构来说，需要尽快升级防御体系，从“被动杀毒”转向“主动防御”；对职场人而言，保持警惕是最好的防护——在网络战愈发激烈的今天，任何一个疏忽，都可能成为黑客突破防线的缺口。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《伊朗APT组织出手！Dust Specter用AI生成 malware 猎杀伊拉克官员，3套陷阱防不胜防》