文章总结： 伊朗黑客组织MuddyWater于2026年2月针对韩国大型电子制造商等全球至少9个组织发起网络间谍活动，利用DLL侧加载技术滥用合法软件（如Fortemedia、SentinelOne）加载恶意载荷，通过PowerShell进行侦察、凭据窃取、持久性维持及数据窃取，并利用公共文件共享服务掩盖恶意流量，显示出地理扩张、运营成熟度提升及隐蔽性增强的特点。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析,应急响应,红队

伊朗黑客攻击了韩国一家大型电子制造商

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月14日 12:20 北京

在小说阅读器读本章

去阅读

与伊朗有关联的黑客组织 MuddyWater（又名 Seedworm、Static Kitten）发起了一场广泛的网络间谍活动，目标是多个行业和国家的至少九个知名组织。

受害者包括韩国一家大型电子产品制造商、政府机构、中东一家国际机场、亚洲的工业制造商和教育机构。

赛门铁克的研究人员表示，该威胁行为者“于 2026 年 2 月在一家韩国大型电子产品制造商的网络中待了一周”。

赛门铁克威胁猎手团队认为，攻击者以情报为导向，专注于窃取工业和知识产权、政府间谍活动以及访问下游客户或企业网络。

Fortemedia 和 SentinelOne 滥用

Seedworm 的攻击活动严重依赖 DLL 侧加载，这是一种常见的技术，即合法的、已签名的软件加载恶意 DLL。

此次攻击利用的两个二进制文件分别是“fmapp.exe”（Foremedia 的合法音频实用程序）和“sentinelmemoryscanner.exe”（SentinelOne 的合法组件）。

恶意 DLL（fmapp.dll 和 sentinelagentcore.dll）包含ChromElevator，这是一种常见的后渗透工具，用于窃取存储在基于 Chrome 的浏览器中的数据。

赛门铁克还发现，尽管有效载荷是通过 Node.js 加载器而不是直接控制的，但 PowerShell（在之前的 Seedworm 攻击中使用过）在最近的事件中仍然被大量使用。

PowerShell 被用于捕获屏幕截图、进行侦察、获取其他有效载荷、建立持久性、窃取凭据和创建 SOCKS5 隧道。

对一家韩国公司的袭击

根据赛门铁克的观察，对这家韩国电子产品制造商的攻击持续时间为2月20日至27日。研究人员没有透露目标组织的名称。

在第一阶段，Seedworm 执行主机和域侦察，然后通过 WMI 进行防病毒枚举、屏幕截图捕获，并下载其他恶意软件。

凭证窃取是通过伪造的 Windows 提示、注册表单元窃取（SAM/SECURITY/SYSTEM）和 Kerberos 票据滥用工具实现的。

通过修改注册表来建立持久性，每隔 90 秒发送一次信标，并反复重新启动侧载二进制文件以保持访问权限。

研究人员表示： “这种节奏再次表明，植入物驱动的活动比操作者持续在场的活动更为一致。”

攻击者利用 sendit.sh（一个公共文件共享服务）进行数据窃取，很可能是为了掩盖恶意活动，使其看起来像是正常的流量。

总体而言，赛门铁克发现最新的 Seedworm 攻击活动显著的特点是威胁行为者的地理扩张、运营成熟度以及对合法工具和服务的滥用，这标志着攻击方式向更隐蔽的攻击转变。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《伊朗黑客攻击了韩国一家大型电子制造商》