文章总结： 伊朗APT组织MuddyWater近期通过租用俄罗斯犯罪团伙TAG-150运营的CastleRAT恶意软件即服务平台升级攻击能力，并首次使用基于区块链C2的ChainShell木马。攻击采用代码签名证书、隐写术载荷隐藏、HVNC会话劫持等技术，针对多领域目标实施网络间谍活动。防御方需关注JWT凭证关联、证书透明度日志及异常行为链检测，以应对国家级APT与犯罪工具融合的新威胁。 综合评分： 82 文章分类： 威胁情报,恶意软件,APT,漏洞分析,安全运营

伊朗APT组织MuddyWater升级其攻击战术策略，利用第三方MaaS平台展开攻击活动

原创

BaizeSec BaizeSec

白泽安全实验室

2026年4月30日 14:32 北京

在小说阅读器读本章

去阅读

一、事件背景概述

近日，网络安全研究人员首次通过基础设施与载荷双重证据，证实伊朗国家背景APT组织MuddyWater（又称 Seedworm、Mango Sandstorm、TA450、Static Kitten），正作为客户角色，使用俄语系网络犯罪团伙组织TAG-150运营的CastleRAT恶意软件即服务（MaaS）平台，持续针对多个目标实施高强度网络间谍行动，且相关攻击活动在一些网络安全厂商曝光后仍保持活跃。该攻击活动中还部署了一款此前未被披露的、基于区块链进行指挥控制的新型木马ChainShell，标志着该组织与商业化地下犯罪工具的结合已经进入实战化阶段。

事件背景源于MuddyWater组织不断演进的战术需求。该组织自2017年以来长期活跃，直属于伊朗情报与安全部，惯用定制PowerShell后门和合法的远程管理工具。然而，本次攻击事件表明其正在转向采购成熟的商业木马MaaS平台，以快速获取高级入侵能力。研究人员调查的直接起因是他们发现了一台MuddyWater组织的C2服务器，上面不仅含有波斯语代码注释和精心整理的以色列IP地址段列表，还存在一个名为reset.ps1的PowerShell部署脚本，该脚本用于解密并释放ChainShell组件。同时，攻击者还将名为“Build 120”和“Build 13”的两个PE载荷通过隐写术隐藏在处理过的JPEG图片内。这两个载荷携带相同的MaaS模板标识，并且都是在美以2月28日对伊打击前编译完成的，这点呈现出明显的预先部署特征，属于提前预置的攻击能力。

图 1 MuddyWater组织攻击示意图

二、攻击活动归因分析

在攻击活动归因和证据链分析方面，研究人员构建了一条“证书-活动标识-木马任务”的闭环证据链。攻击者在投递环节中使用了两张由SSL.com签发、注册名为“Amy Cherne”和“Donald Gay”的代码签名证书。其中“Amy Cherne”证书不仅签发了已知被Google、微软等厂商明确归属MuddyWater组织的StageComp木马，还签署了一个被赛门铁克命名为DinDoor的MSI安装包。对该MSI的行为分析显示，其会向多租户C2平台serialmonet.com发起携带JWT身份令牌的请求，内含活动名“Smokest”及用户ID。而这一完全相同的活动身份，被硬编码在CastleRAT Build 120和Build 666的持久化计划任务名称VirtualSmokestGuy中。另一条平行证据链来自那台暴露的伊朗服务器，其操作历史记录显示曾用命令行自测Build 13的C2端口8888，该服务器上留存的reset.ps1脚本哈希与公开恶意软件库中的样本完全一致，从而将伊朗操作者、TAG-150平台组件和CastleRAT C2直接绑定。此外，该C2域名serialmonet.com为一个多租户平台，LeakNet勒索软件等其他团伙也在使用相同的Deno代码库，但通过不同的JWT凭证区分用户，表明MuddyWater组织是平台客户而非开发者。代码中功能路径存在的俄语字符串与针对前苏联独联体国家的区域排除逻辑，也印证了其俄罗斯背景。

三、攻击过程技术分析

技术分析显示，此次攻击带来了显著的能力跃升。其中最引人注目的是一款名为ChainShell的Node.js木马，它抛弃了传统的HTTP直连，转而通过以太坊智能合约去中心化地解析C2服务器地址，通信全程采用AES-256-CBC加密。该木马本身是一个“thin shell”执行器，通过服务端推送JavaScript代码“new Function”执行命令，内置的俄罗斯开发者痕迹和独联体国家规避逻辑进一步指向TAG-150来源。与ChainShell配合的CastleRAT平台则提供了当前地下主流的HVNC功能，可在受害者正常操作时，通过隐藏桌面静默访问内部系统、云控制台和Web邮箱，复用受害者的会话Cookie以绕过MFA认证。平台还集成了针对Chrome v127以上版本应用绑定加密的Cookie窃取模块，这些都是MuddyWater原有自研工具完全不具备的能力。

尽管多家厂商从3月起陆续曝光相关基础设施和证书，攻击者的运营活动并未停止且保持了极限的响应速度。3月11日和13日，攻击者编译了新的NSIS安装器；3月16日，更新了JavaScript远控样本；甚至在3月20日，仍有新的恶意宏文档诱饵连接至MuddyWater组织的基础设施。攻击链在规避手段上也做到了多维度覆盖，包括滥用CMSTPLUA实现UAC绕过、利用合法应用进行DLL侧加载、通过WMI添加Windows Defender扫描排除项，以及沿用隐写术藏匿载荷。

图 2 攻击活动时间节点

四、事件影响分析

对于防守方而言，这一威胁融合带来了严峻的归因与检测挑战。当网络中出现携带俄语字符串、基于主流犯罪平台构建的CastleRAT或ChainShell报警时，初始分析极易将其归为一般的俄罗斯网络犯罪活动，而忽略其背后伊朗国家级间谍的真实意图。报告警示，严格将“网络犯罪”与“APT”分立处置的威胁情报工作流，很可能错漏此类混合型行动。防御侧需重点关注行为链条，包括从Outlook Web访问异常、CMSTP父进程调用，到与区块链节点非业务通信等异常的组合出现，主动梳理JWT凭证关联，并结合证书透明度日志监控，以期在攻击者实现横向移动前阻断入侵链条。此次事件不仅凸显了伊朗在网络行动中追求作战敏捷而非武器自研的战略转向，也为稍显特殊的地缘政治合作提供了可观测的网络侧印证。

五、参考链接

ChainShell: MuddyWater’s Russian MaaS Link

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《伊朗APT组织MuddyWater升级其攻击战术策略，利用第三方MaaS平台展开攻击活动》