文章总结： FBI预警伊朗情报与安全部利用Telegram作为C2服务器，自2023年秋季起针对异见人士等投放多阶段恶意软件，实现远程访问与数据窃取。攻击通过社会工程学定制伪装程序实施初始入侵，具备持久化驻留与数据外传能力，并关联汉达拉等代理组织，结合虚假信息进行声誉损害。 综合评分： 86 文章分类： 威胁情报,恶意软件,社会工程学,漏洞预警

FBI通报伊朗情报与安全部的网络攻击者利用电报软件（Telegram）攻击敌对目标

原创

ZM ZM

暗镜

2026年3月24日 06:00 美国

美国联邦调查局（FBI）近期预警，披露伊朗情报与安全部（MOIS）所属网络攻击者实施的恶意网络活动相关信息。伊朗情报与安全部的网络攻击者利用电报软件（Telegram）作为命令与控制（C2）基础设施，向全球范围内的伊朗异见人士、反伊朗记者及其他反对派团体投放恶意软件。该恶意软件已导致目标对象的情报被窃取、数据泄露及声誉受损。

背景信息

联邦调查局经评估确认，自 2023 年秋季起，伊朗情报与安全部的网络攻击者便已投放多个版本的恶意软件，针对运行视窗（Windows）操作系统的设备实施感染。已发现的受害群体包括伊朗异见人士、反伊朗记者、所持理念与伊朗政府宣传口径相悖的组织成员，以及其他被伊朗政府视为对其存在威胁的人员。此外，该恶意软件亦可被用于攻击伊朗政府关注的任意目标人员。

此次网络攻击所使用的恶意软件为多阶段载荷程序，可实现对受感染设备的远程访问。攻击者通过社会工程学手段定制恶意软件第一阶段程序，将其伪装成视窗系统中的常用程序或服务。第二阶段程序会将受感染设备与电报软件的命令与控制机器人建立连接，进而实现远程访问，从受害设备中窃取屏幕截图及文件等数据。

2025 年 7 月，名为 “汉达拉黑客组织” 的网络实体宣称，对多名就伊朗时事发表与伊朗政府官方言论相悖观点的人士实施了黑客入侵并泄露信息的操作。联邦调查局经评估认为，该组织宣称获取并在网上发布的部分信息，正是通过其持续针对异见人士发起的攻击行动中所使用的恶意软件窃取所得。汉达拉黑客组织以钓鱼攻击、数据窃取、敲诈勒索及使用定制擦除型恶意软件实施破坏性攻击著称。此外，联邦调查局经评估确认，该组织与同样由伊朗情报与安全部网络攻击者操控的 “国土正义” 网络实体存在关联。

伊朗情报与安全部的网络攻击者长期利用国家主导的高级持续性威胁组织及代理团伙，开展黑客行动主义式攻击，包括黑客入侵并泄露信息的操作，此类攻击将技术入侵与虚假信息传播相结合。这类攻击行动通常包括窃取敏感数据、对数据进行篡改或选择性泄露，并通过关联媒体渠道进行公开传播，以此最大程度对目标造成声誉及政治损害。伊朗情报与安全部利用电报软件作为命令与控制服务器。

技术细节

恶意软件概述

FBI联邦调查局通过调查获取了该恶意软件的多个样本，并将其分为三类：伪装型恶意软件（第一阶段）、持久化植入程序（第二阶段），以及具备附加或专属功能的相关第二阶段恶意软件（图 1 展示了已发现的恶意软件行为分类）。

第一阶段恶意软件通常伪装成图片编辑工具（Pictory）、密码管理工具（KeePass）、电报软件（Telegram）等常用应用程序，且内置下一阶段恶意软件的二进制文件。在伪装型恶意软件运行后，若受害者与该恶意应用程序产生交互，持久化植入程序便会随之启动。在此阶段，伊朗情报与安全部的网络攻击者通过电报机器人配置命令与控制服务器，实现受入侵设备与电报软件应用程序编程接口的双向通信。

联邦调查局将伪装型恶意软件及持久化植入程序认定为此次恶意软件攻击行动的核心程序，受入侵设备上除核心程序外，通常还会发现相关衍生恶意软件。例如，在 MicDriver 压缩包中发现的恶意软件，可在视频会议软件（Zoom）运行期间实现屏幕及音频录制。

图 1 已发现的恶意软件行为分类

所有恶意软件样本的功能各有不同，但均具备特定用途，可归为上述某一 “可执行程序” 类别。

初始入侵手段

攻击者通过社会工程学手段投放恶意软件，实现对受害设备的感染。伊朗网络攻击者通过社交通讯软件与目标受害者建立联系，伪装成受害者的熟人或该社交平台的技术支持人员，进而诱骗受害者接收包含第一阶段伪装型恶意软件的文件。受害者打开文件后，设备即被感染，第二阶段持久化植入程序随之启动。

经多次监测发现，第一阶段恶意软件会根据受害者的日常使用习惯进行定制，以提高下载成功率，这表明伊朗网络攻击者在与受害者接触前，大概率已对目标开展过侦察活动。

程序执行

经恶意软件分析发现，此次攻击行动中存在多款恶意软件样本的执行行为。攻击者在实现对受害系统的初始入侵后，会通过该恶意软件下载后续恶意程序。

第一阶段伪装型恶意软件包含以下程序：

Telegram_authenticator.exe（电报验证程序）

WhatssApp.exe（仿即时通讯软件程序）

KeePass.exe（仿密码管理程序）

Pictory_premium_ver9.0.4.exe（仿图片编辑工具高级版程序）

持久化驻留

该恶意软件具备防御规避能力，可通过排除指定目录、让视窗系统的 PowerShell 脚本无提示执行恶意软件等方式躲避检测。此外，攻击者还会在视窗系统注册表中添加恶意软件相关项，实现第二阶段恶意软件的自启动，第二阶段恶意软件样本均为持久化植入程序。

数据收集与泄露

此次恶意软件攻击行动通过多款恶意软件样本实现数据窃取，涉及的样本包括：

MicDriver.exe/MicDriver.dll（麦克风驱动仿冒程序 / 动态链接库）

Winappx.exe（视窗应用仿冒程序）

MsCache.exe（微软缓存仿冒程序）

RuntimeSSH.exe（远程安全外壳程序运行文件）

smqdservice.exe（仿系统服务程序）

上述恶意软件样本的功能包括：屏幕及音频录制、缓存数据捕获、带密码的文件压缩、文件删除，以及将压缩后的文件发送至电报软件应用程序编程接口。

IOC

| 文件名 | 消息摘要算法 5 哈希值 | | — | — | | KeePass.exe | 7402F2F9263782A4C469570035843510 | | MicDriver.dll | F8B5554808428291ACC65D1FD2EFE01C | | MicDriver.exe | D70EBF20E3D697897BAD5BEBF72EA271 | | MsCache.exe | 3E7A2FCEF1D038D05B20148C573A6499 | | Pictory_premium_ver9.0.4.exe | 1E6B601F733BC40EAA58916986BFC5B9 | | rantom.txt | A3394EF7FFA7E88B2E7EFAEE4617FE04 | | rantom.txt | 2965817D063F1E8F9889F9126443D631 | | RuntimeSSH.exe | EBDD9595B79B39F53909D862499DBC94 | | RuntimeSSH.exe | E51FF37FB431767DCDEC0B5E6D2A786A | | smqdservice.exe | 7E23FFADB664B0E53D821478A249D84C | | Telegram_Authenticator.exe | B9086413E7B6A0C6A11C25D14C22615F | | winappx.exe | 481C5B5E69A08C3DF206C59FD8DDC0DC |

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《FBI通报伊朗情报与安全部的网络攻击者利用电报软件（Telegram）攻击敌对目标》