文章总结： 伊朗黑客组织MuddyWater于2026年2月针对韩国大型电子制造商等9家机构发起网络间谍活动，采用DLL侧加载技术滥用Fortemedia和SentinelOne合法工具，通过ChromeElevator窃取数据并利用PowerShell进行持久化控制。攻击旨在窃取工业知识产权、开展政府间谍活动，建议企业加强DLL加载监控和异常进程检测。 综合评分： 88 文章分类： 漏洞分析,威胁情报,恶意软件,应急响应,安全建设

黑客瞄准韩国大型电子制造商

HackerNews HackerNews

安全威胁纵横

2026年5月14日 17:08 湖北

在小说阅读器读本章

去阅读

高危漏洞

紧急修复指南

RCE Patch

与伊朗有关联的黑客组织 MuddyWater（又名 “种子蠕虫” Seedworm、“静态小猫” Static Kitten ）发起了一场大规模的网络间谍活动，目标至少涉及多个行业和国家的 9 家知名机构。

推测e

受害者包括韩国一家大型电子制造商、政府机构、中东的一个国际机场、亚洲的工业制造商以及教育机构。

赛门铁克（Symantec）的研究人员表示，该威胁行为者 “在 2026 年 2 月潜入韩国一家大型电子制造商的网络长达一周时间”。

赛门铁克的威胁追踪团队认为，此次攻击背后是情报驱动，重点在于窃取工业和知识产权、开展政府间谍活动以及获取对下游客户或企业网络的访问权限。

1

对Fortemedia和SentinelOne的滥用

“种子蠕虫” 的攻击活动严重依赖 DLL 侧加载技术，这是一种常见手段，即让经过签名的合法软件加载恶意 DLL 文件。

此次攻击中利用的两个二进制文件分别是 “fmapp.exe”，它是 Fortemedia 公司一款合法的音频工具，以及 “sentinelmemoryscanner.exe”，这是 SentinelOne 公司的一个合法组件。

恶意 DLL 文件（fmapp.dll 和 sentinelagentcore.dll）包含 “ChromeElevator”，这是一款常见的后渗透利用工具，用于窃取基于 Chrome 浏览器存储的数据。

赛门铁克还发现，在以往 “种子蠕虫” 攻击中使用过的 PowerShell，在近期事件中仍被大量使用，尽管有效载荷是通过 Node.js 加载器间接控制，而非直接控制。

PowerShell 被用于截取屏幕截图、进行侦察、获取更多有效载荷、实现持久化控制、窃取凭证以及创建 SOCKS5 隧道。

1

对韩国公司的攻击

根据赛门铁克的观察，对这家韩国电子制造商的攻击发生在 2 月 20 日至 27 日之间。研究人员并未披露目标组织的名称。

在第一阶段，“种子蠕虫” 进行主机和域侦察，随后通过 WMI 进行杀毒软件枚举、截取屏幕截图并下载更多恶意软件。

通过伪造的 Windows 提示、注册表配置单元窃取（SAM/SECURITY/SYSTEM）以及 Kerberos 票据滥用工具来实现凭证窃取。

通过修改注册表实现持久化控制，每 90 秒进行一次信标通信，并反复重新启动侧加载的二进制文件以维持访问。

研究人员表示：“这种节奏再次表明这是植入程序驱动的活动，而非有操作人员持续在场。”

攻击者利用公共文件共享服务 sendit.sh 进行数据渗出，此举可能是为了掩盖恶意活动，使其看起来像正常流量。

总体而言，赛门铁克发现，此次 “种子蠕虫” 的最新活动值得关注，因其攻击范围在地域上有所扩大，行动更加成熟，且对合法工具和服务的滥用表明他们正转向更为隐蔽的攻击方式。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://www.bleepingcomputer.com/news/security/iranian-hackers-targeted-major-south-korean-electronics-maker/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《黑客瞄准韩国大型电子制造商》