文章总结： 公开资料显示伊朗APT组织Seedworm在2026年第一季度发起全球攻击，成功入侵韩国电子制造商并窃取核心数据。攻击采用DLL侧加载、Node.js驱动PowerShell等隐蔽技术，滥用合法签名文件规避检测。防御建议包括强化端点行为监控、凭证审计和威胁情报更新，以应对APT组织演进威胁。 综合评分： 87 文章分类： 漏洞分析,威胁情报,应急响应,安全建设,实战经验

疑似伊朗黑客组织Seedworm成功入侵韩国电子制造商，并展开全球攻击活动

原创

BaizeSec BaizeSec

白泽安全实验室

2026年5月15日 09:01 北京

在小说阅读器读本章

去阅读

一、背景概述

近期网络安全监测数据显示，伊朗关联APT组织Seedworm（别名MuddyWater、Temp Zagros、Static Kitten），在2026年第一季度发起大规模跨国网络攻击活动，成功渗透入侵了全球9个国家、横跨四大洲的多家关键机构，其中就包括韩国一家大型电子制造企业。该行动具备持续时间长、隐蔽性强的特点，攻击者在韩国目标网络内潜伏近一周，重点窃取敏感商业数据与核心技术情报，充分暴露了国家背景APT组织对全球供应链安全的持续威胁，也凸显了当前跨国网络间谍活动的高发态势。

公开情报显示，Seedworm组织与伊朗情报与安全部（MOIS）存在明确关联，其目标选择具有极强的情报导向性，精准锁定高价值领域。本次行动覆盖范围广泛，涉及工业制造、电子研发、教育科研、公共服务、金融服务及专业服务等多个关键领域，受害者均具备明确的战略价值——要么掌握高科技制造领域的核心知识产权，要么持有对伊朗具有战略意义的政府敏感情报，要么可作为跳板提供下游核心客户的网络访问权限。结合当前地缘政治格局，尤其是伊朗核计划相关争议持续升温、地区冲突不断发酵的背景，此类密集的间谍活动，清晰反映出该组织急于获取关键信息、支撑其战略需求的迫切性。

二、攻击过程技术分析

从网络攻防技术维度拆解，本次行动集中体现了Seedworm组织在战术层面的显著进化，其攻击手段更具隐蔽性和抗检测能力，核心依赖DLL侧加载技术实现入侵突破。攻击者巧妙利用合法签名的第三方可执行文件，作为恶意DLL的加载载体，成功绕过终端签名验证与路径检测机制，降低被发现的概率。本次行动中，攻击者重点使用两组侧加载组合：一是Fortemedia公司音频驱动工具fmapp.exe与恶意fmapp.dll的配对，二是SentinelOne安全产品组件sentinelmemoryscanner.exe与恶意sentinelagentcore.dll的组合。值得关注的是，滥用安全厂商自身的签名二进制文件，不仅能规避常规安全检测，还能干扰安全分析师的研判方向，增加溯源与处置难度。此外，两款恶意DLL均嵌入公开窃密工具ChromElevator，专门用于窃取Chromium内核浏览器中的密码、Cookie及支付卡等敏感信息，实现精准窃密。

本次入侵行动的核心链条发生明显转变，打破了Seedworm组织以往单纯依赖PowerShell的操作习惯，以Node.js运行时（node.exe）为核心驱动整个攻击流程。攻击者通过Node.js脚本调用PowerShell执行各类恶意操作，实现攻击行为的分层隐藏与灵活调度。目前，该行动的初始访问向量尚未完全明确，但从韩国电子制造企业的受害案例来看，2月20日监测到最早的PowerShell侦察活动，且该活动由Node.js进程作为祖先进程发起，表明攻击者已成功将植入物潜伏至目标主机。侦察阶段，攻击者快速执行whoami、ipconfig、net group等一系列信息收集命令，全面摸清目标主机的系统配置、网络拓扑及域环境详情；随后通过WMI技术枚举终端防病毒产品配置，精准评估目标防御体系的薄弱环节，为后续攻击行动奠定基础。

在完成环境侦察与防御评估后，攻击者迅速推进后续攻击步骤，构建完整的攻击链路。首先通过curl.exe工具下载额外恶意载荷，规避PowerShell日志记录，降低操作痕迹被发现的风险；随后部署前述DLL侧加载组合，同时通过修改注册表Run键值，实现恶意程序的开机自启动，建立稳定的持久化机制，确保长期潜伏。在权限提升与凭证窃取环节，攻击者采用多工具并行、多手段冗余的策略，全面窃取目标系统凭证：包括导出SAM、SYSTEM、SECURITY注册表配置单元，提取系统账户信息；运行恶意工具调用Windows凭证提示框，诱骗用户输入凭证；部署提权组件，利用GSS-API委托滥用技术提取Kerberos TGT票据，实现权限提升与横向移动准备。这种多维度、冗余式的窃密设计，体现了攻击者极强的反防御意识和成熟的战术思路。

数据外传环节，Seedworm组织延续并升级了“隐蔽融合”的战术思路，未构建专用恶意传输通道，而是将窃取的敏感文件通过公共文件传输服务sendit.sh进行上传。这种将恶意数据传输混入普通用户日常网络行为的方式，能够有效规避网络层的流量监测，大幅增加安全团队的检测难度。此外，攻击过程中还监测到定时信标通信、屏幕截图收集、SOCKS5反向代理等行为，整体攻击节奏呈现“植入物自动化执行+人工间歇干预”的混合模式，既提升了攻击效率，又减少了人工操作留下的痕迹，进一步增强了攻击的隐蔽性。

综合来看，本次行动中Seedworm组织的战术成熟度实现显著提升，核心体现在三个方面：一是脚本运行时的创新使用，引入Node.js、Deno等工具，打破传统攻击模式；二是合法签名二进制文件的滥用，强化抗检测能力；三是公共云服务的恶意复用，实现隐蔽数据外传。这些变化表明，该组织正在持续强化操作卫生与反侦察能力，逐步向更高级、更隐蔽的APT攻击模式演进。

三、事件影响及总结

针对本次行动折射出的威胁，网络防御方需深刻认识到，传统签名检测、单一通道监控等被动防御手段，已难以有效应对此类高级APT威胁。结合攻防对抗实际，防御方应从多维度构建立体防御体系：一是强化端点行为分析，重点监控异常进程关系（如Node.js驱动PowerShell的异常调用），及时发现隐蔽植入物；二是加强凭证使用审计，重点监测SAM注册表导出、Kerberos票据异常提取等高危行为；三是重点关注公共文件传输服务、云服务的流量异常，防范恶意数据外传；四是持续更新威胁情报，精准对接Seedworm组织的战术、技术和程序（TTPs），实现精准预警与快速处置。

当前，网络攻防对抗日趋复杂，APT组织的跨国攻击已成为威胁全球网络安全的主要风险之一。此类事件不仅考验组织的技术防御能力，更对情报预警、应急响应速度提出了更高要求。尤其对于高科技制造企业、关键基础设施运营者而言，应将APT威胁纳入常态化风险评估框架，完善安全管理制度，强化技术防御体系，提升安全团队的应急处置能力，构建更具韧性的网络安全防护体系，有效抵御国家背景APT组织的跨国攻击威胁。

参考链接：

https://www.security.com/blog-post/iran-seedworm-electronics

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《疑似伊朗黑客组织Seedworm成功入侵韩国电子制造商，并展开全球攻击活动》