文章总结： 伊朗APT组织MuddyWater于2026年2月针对美以加三国金融、交通、国防、政策机构发起协同网络间谍攻击，使用基于Deno运行时的Dindoor后门与Python后门Fakeset组合，并利用Wasabi、BackblazeB2等正规云服务隐藏恶意流量，实现低痕迹持久化渗透。攻击呈现云化隐蔽、行为驱动、弱化静态IOC的特征，建议企业监控非常规运行时执行、管控正规工具权限、监测云存储异常流量、关注代码签名复用及建立行为基线检测。 综合评分： 85 文章分类： 威胁情报,漏洞分析,恶意软件,安全运营,解决方案

伊朗APT组织再出手！新型恶意工具组合精准狙杀美以加，云基础设施成隐身利器

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年4月4日 12:01 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

地缘政治冲突下的网络对抗愈演愈烈，伊朗知名国家背景APT组织MuddyWater（又称Seedworm、MANGO SANDSTORM）又有新动作！2026年2月初，该组织针对美国、以色列、加拿大的核心战略机构发起协同网络间谍攻击，祭出Dindoor和Fakeset两款新型恶意工具，还把正规云服务变成攻击“隐身衣”，实现低痕迹持久化渗透，目标直指金融、交通、国防、政策四大关键领域，其攻击手法的迭代升级，给全球网络安全防护敲响新警钟。

MuddyWater作为伊朗情报与安全部（MOIS）麾下的“老牌劲旅”，自2017年起便活跃在全球网络间谍战场，常年针对中东、欧美、亚非拉多国的政府、电信、能源、金融、国防领域下手，擅长将定制恶意软件与PowerShell等双用途管理工具结合，此次攻击更是展现了其低特征、行为驱动、云化隐蔽的全新作战模式，堪称高级别情报收集行动的典型范本。

精准猎杀！四大高价值目标被锁定，暗藏战略图谋

此次MuddyWater的攻击并非无差别扫射，而是精准挑选了规模小但战略意义重大的目标群体，覆盖美以加三国，每个目标都踩在西方盟友体系的关键节点上，背后是清晰的情报收集与战略前置布局意图：

1. 美国某金融机构：可获取资金流向、客户身份、企业关联关系，既能掌握核心金融情报，还能为后续经济干扰、胁迫操作埋下伏笔；

2. 美国某机场：作为交通基础设施核心，能访问乘客数据、物流系统甚至物理安全控制模块，实现人员行踪监控、活动模式分析，还可在冲突升级时制造运营中断；

3. 美国国防航空软件公司以色列子公司：此次攻击的最高价值目标，可渗透国防供应链、合作伙伴生态和软件分发机制，甚至能在可信更新通道植入恶意代码，打造下游供应链攻击路径；

4. 加拿大某非营利组织：看似非核心，却是政策、捐赠、政府关联网络的“信息枢纽”，且安全防护相对薄弱，成为黑客突破网络、开展情报收集和网络测绘的绝佳入口。

这四个目标形成了金融-交通-国防-政策的分层情报框架，黑客并非为了单一机构的信息窃取，而是要实现对西方盟友互联系统的全面测绘、持续监控，甚至伺机施加影响，其背后的地缘政治动因与美以针对伊朗的军事行动高度关联，是典型的战略级网络间谍行为。

双毒合璧！新型恶意工具玩出花，Deno运行时成绕检关键

此次攻击中，MuddyWater推出的Dindoor和Fakeset两款恶意工具形成“组合拳”，前者主打技术创新绕检测，后者靠溯源特征定归属，配合使用实现了“隐身渗透+持久控制”的双重效果。

Dindoor：基于Deno运行时的全新后门，避开传统检测视野

Dindoor是此次攻击最具技术突破的恶意工具，它摒弃了黑客常用的PowerShell、Python框架，转而基于Deno运行时开发（Deno是JavaScript/TypeScript的执行环境，在企业恶意软件生态中极为罕见）。

这一选择堪称“精准避坑”：企业的安全检测系统大多针对PowerShell、Python等常用框架做了深度优化，而Deno属于低监控执行环境，黑客借此既能获得更高的操作灵活性，又能大幅降低触发行为分析警报的概率，轻松绕过传统防护体系。

Fakeset：Python传统后门，成溯源“铁证”

与Dindoor的创新不同，Fakeset是一款设计常规的Python后门，但其最大的价值在于归属溯源。研究人员发现，该工具复用了MuddyWater此前用于Stagecomp、Darkcomp恶意软件的代码签名证书，形成了清晰的技术谱系，直接将此次攻击与该组织的历史操作绑定，成为高置信度归因的关键证据。

两款工具落地后，黑客还会通过Rclone这款正规工具实现数据外渗，将窃取的信息上传至Wasabi云存储桶，同时利用Backblaze B2云服务进行恶意载荷分发和暂存，让恶意操作全程依托正规云基础设施展开。

隐身升级！三大战术迭代，把“合法”玩成最大的伪装

此次MuddyWater的攻击，不仅是工具的创新，更是作战模式的全面升级，其核心思路就是弱化恶意特征、融入合法流量，让传统的基于IOC（入侵指标）的检测体系彻底失效，三大战术值得高度警惕：

1. 云基础设施全面“为我所用”，恶意流量藏于日常

黑客不再搭建专属的命令与控制（C2）服务器，而是大量复用Wasabi、Backblaze B2、deno.land等正规云服务、可信开源平台，将恶意载荷分发、数据暂存、信息外渗全部融入企业日常的云操作流量中。这种方式让恶意行为与合法业务难以区分，大幅降低了被检测发现的概率。

2. 彻底减少静态IOC，让传统检测“无标可查”

此次攻击中，研究人员几乎未发现可追溯的文件哈希、固定C2域名、持久化植入痕迹等静态IOC，要么是攻击仍在持续，要么是黑客刻意抹除。这意味着依赖“特征库匹配”的传统防护手段完全失效，也印证了这是一场追求“长期隐蔽监控”的高级别情报行动。

3. 从“特征规避”转向“行为隐身”，打造无信号攻击

以往黑客的避检测思路，多是通过加壳、混淆等方式修改恶意代码特征；而此次MuddyWater直接从源头避免产生独特的恶意信号：用罕见的Deno运行时执行、用正规工具做数据外渗、用云服务做通信，整个攻击流程几乎都是“合法进程的异常组合”，而非“明显的恶意操作”，实现了真正的行为级隐身。

防护预警！传统防护已失效，这几招才是破局关键

此次MuddyWater的攻击清晰揭示了一个趋势：后IOC时代的网络威胁已到来，依赖特征库、黑名单的传统防护手段，在高级APT攻击面前形同虚设。针对其攻击特点，个人和企业需从行为监控、异常检测入手，搭建全新的防护体系，核心防护建议如下：

1. 监控非常规运行时的异常执行

重点监测企业环境中Deno运行时的启动和操作，尤其是在非开发环境中，一旦发现Deno无合理业务需求的执行，立即触发警报并排查；同时关注Python、PowerShell的异常使用模式，比如非授权的远程脚本执行。

2. 严控正规工具的非授权使用

对Rclone等可实现数据迁移、外渗的正规工具做权限管控，明确其仅可用于备份等合规工作流，监控其对云存储平台的访问行为，发现向未知云桶、陌生账号传输数据时立即阻断。

3. 监测云存储平台的异常流量

重点关注企业网络向Wasabi、Backblaze B2等云存储服务的异常出站流量，尤其是大文件批量传输、非工作时间的高频访问，结合业务场景做上下文分析，区分合法业务与恶意外渗。

4. 重视代码签名证书的异常复用

建立企业内部的代码签名证书监控体系，发现证书跨工具、跨场景的异常复用，或是使用可疑证书签署的程序执行，立即开展溯源排查，这是发现APT攻击的重要溯源线索。

5. 做好基线测绘，强化异常检测

对企业网络、终端、云操作的正常行为基线进行精准测绘，比如常用的应用程序、网络访问范围、云服务使用习惯等，一旦发现偏离基线的异常行为，无论是否有明确恶意特征，都应启动应急响应。

写在最后

MuddyWater此次的MANGO SANDSTORM攻击行动，不仅是伊朗国家背景APT组织的一次常规网络间谍操作，更代表了全球高级网络威胁的发展趋势：越来越多的黑客开始摒弃“纯恶意工具+专属C2”的传统模式，转而利用正规基础设施、低监控执行环境、行为级隐身战术，打造难以检测、难以溯源的攻击链。

对于企业和机构而言，这意味着网络安全防护必须实现从“被动特征检测”到“主动行为分析”、从“单点防护”到“全链路监控”的转型，唯有建立起基于业务上下文的异常检测体系，才能在后IOC时代的网络对抗中守住防线。

地缘政治冲突从未停止，网络空间的暗战也只会愈演愈烈。关注网络安全前沿威胁，做好常态化防护与应急准备，才是应对一切未知攻击的核心根本。

关注我，获取最新的网络威胁情报和实用防护技巧，筑牢你的数智化安全防线！

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《伊朗APT组织再出手！新型恶意工具组合精准狙杀美以加，云基础设施成隐身利器》