文章总结： ESET研究团队曝光伊朗APT组织MuddyWater于2024年9月至2025年3月针对以色列多行业机构发起定向攻击，使用伪装成贪吃蛇游戏的Fooder加载器投递全新MuddyViper后门，配合窃密工具与隧道组件实现隐蔽窃密与持久控制，标志着该组织TTP向低调潜伏进化。报告建议企业拦截可疑程序、强化终端监控、禁用非必要脚本执行并启用多因素认证。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞预警,APT攻击,网络安全

伊朗APT组织MuddyWater出手！新型MuddyViper后门突袭以色列，伪装成贪吃蛇悄悄窃密

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年4月27日 12:01 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

网络安全领域再曝高危攻击活动。

ESET研究团队曝光一起针对以色列多行业机构的定向APT攻击，幕后黑手正是长期与伊朗关联的老牌威胁组织——MuddyWater。该组织一改以往高调风格，用上全新自研MuddyViper后门，配合伪装成小游戏的加载器，低调渗透、长期潜伏，攻击手段全面升级。

一、攻击来袭：MuddyWater瞄准以色列，跨行业精准打击

2024年9月至2025年3月期间，MuddyWater发起持续定向攻击，核心目标覆盖以色列工程、地方政府、制造、科技、交通、公用事业、高校等关键领域，同时波及1家埃及机构，攻击范围广、针对性极强。

更值得警惕的是，此次行动与另一伊朗系组织OilRig subgroup出现行动重叠，在2025年2月同步针对公用事业机构下手，背后协同意图明显。

作为长期受伊朗情报部门支持的APT组织，MuddyWater自2017年活跃至今，常年聚焦中东、欧美地区，主攻电信、政府、能源等高价值目标，早已是全球网络空间的“常客”。

二、武器升级：MuddyViper后门登场，贪吃蛇藏致命载荷

这轮攻击最危险的地方，是组织全面更新武器库，推出多款自研工具，隐蔽性与破坏力大幅提升：

1. Fooder加载器：伪装贪吃蛇，骗过防御系统

攻击者使用一款名为Fooder的64位C/C++加载器，伪装成经典“贪吃蛇”游戏运行，迷惑性极强。

它的核心能力 解密并反射加载内置恶意载 无字符串混淆、控制台日志外露，却能绕过常规检 可一键投递MuddyViper后门、代理工具、窃密程序

2. MuddyViper后门：新一代核心窃密木马

作为本次攻击的“大杀器”，MuddyViper是全新定制C/C++后门，功能全面 窃取系统基础信 盗取用户凭证、浏览器数 支持文件执行与数据外 建立持久控制，长期盘踞目标内网

3. 全套窃密+隧道组 CE‑Notes / LP‑Notes：专攻凭证窃 go‑socks5：反向隧道，隐蔽回连C 伪造Windows安全弹窗：诱导输入密码，直接盗密

更特殊的是，这批工具统一使用Windows CNG加密API进行数据加解密，是伊朗系APT组织独有的标志性手法，溯源指向性极强。

三、战术突变：从“高调乱炸”到“低调潜伏”

与以往噪音大、痕迹明显的攻击不同，本次MuddyWater明显收敛 全程低姿态、无交互式会 减少PowerShell裸跑等易触发告警行 用游戏伪装、加密通信、反向隧道多层隐 精准投递、快速驻留、静默窃密

这种“精细化运营”打法，让传统防护更难拦截，也标志着该组织TTP持续进化，威胁等级再上台阶。

四、安全研判：威胁持续，防御必须前置

ESET在报告中明确判断：

MuddyWater仍将是伊朗系最活跃的APT力量之一，未来会继续用更成熟、更隐蔽、更模块化的战术，持续针对中东及全球关键目标发动攻击。

企业防御建议

1. 拦截伪装成小游戏、小工具的可疑程序

2. 强化终端EDR，监控异常反射加载、内存注入

3. 禁用不必要的PowerShell、WMI等脚本执行

4. 启用多因素认证，防范凭证被盗导致横向移动

5. 重点监控政府、能源、交通、制造等高价值行业

一句话总结：

老牌APT组织换刀再战，MuddyViper后门隐蔽窃密，伪装游戏渗透内网，政企机构务必提高警惕！

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《伊朗APT组织MuddyWater出手！新型MuddyViper后门突袭以色列，伪装成贪吃蛇悄悄窃密》