文章总结： 该文档复盘了一起针对食品生产厂的高级定向工业APT攻击事件。攻击团伙CyberIsnaadFront同时破坏了企业IT系统（通过伪装微软程序的GRAT恶意软件擦除磁盘数据）和OT工业设施（通过篡改制冷系统参数导致压缩机物理损毁），造成数百万经济损失。事件凸显了IT/OT一体化复合攻击的高危性，建议关键基础设施企业加强工控参数防护、权限管控和应急响应能力。 综合评分： 85 文章分类： OT安全,渗透测试,威胁情报,漏洞分析,应急响应

一次针对食品生产厂的真实网络战：黑客如何同时摧毁IT系统与工业设施

原创

黑鸟 黑鸟

黑鸟

2026年5月29日 23:26 广东

在小说阅读器读本章

去阅读

在网络攻防对抗常态化的当下，隐蔽性强、破坏性大的定向工业APT攻击已成为生产型企业的核心安全威胁。

2025至2026年间，一支具备国家级技术支撑的高级威胁团伙，针对民生关键基础设施中的食品制造企业发起精准打击。

该攻击突破传统网络入侵仅窃取数据的局限，实现了IT信息系统数据销毁与OT工业设备物理损毁的双重破坏，造成企业数百万级经济损失与长期生产停滞。

OT（Operational Technology，运营技术） 指直接监控、控制、改变物理设备与生产工况的软硬件技术体系，核心作用是让工业设备真实运转、完成物理生产过程，广泛用于工厂、能源、暖通、工控、基础设施等场景。

本文将纯从技术视角，完整复盘这起典型的复合型工业网络攻击事件。

从一个异常的温度读数开始：无告警的工业入侵

#

本次高危攻击的暴露起点，并非企业安全设备的告警预警，而是工业生产场景中最基础的设备参数异常，极具迷惑性。

某年五月，一家规模化食品生产企业的运维工程师接到紧急故障反馈，厂区多处冷藏室、冷冻室温度异常持续攀升，库存大量生鲜食品面临整体变质报废风险。

初期运维团队判定为常规设备故障，初步排查方向聚焦于压缩机损坏、阀门泄漏、保护装置跳闸等常见硬件问题，计划通过常规设备检修解决故障。

现场排查后发现，此次异常并非设备硬件故障，而是典型的人为网络入侵引发的蓄意工业破坏行为。

攻击者成功入侵厂区核心工业制冷控制系统，对设备核心参数与运行逻辑进行恶意篡改：

批量修改温控设定值、清空设备安全保护阈值、将压力控制电动阀门强制锁定为手动全开状态。

同时，攻击者篡改中央控制器管理员账号密码，彻底封禁运维人员的系统操作权限，导致工作人员完全无法干预设备运行，只能被动承受设备失控、生产资料损毁的后果。

本次攻击的核心特点极为突出：

攻击者不仅具备成熟的网络渗透能力，还深度精通食品制造行业专用制冷设备的运行原理、控制逻辑与安全机制，攻击精准度远超普通恶意入侵行为。

与OT工业侧破坏同步，攻击者早已在厂区IT业务网络完成渗透埋伏。企业Windows服务器中，一款伪装成微软官方更新程序的定制化恶意程序长期潜伏，可随时接收远端指令，一键擦除服务器全量磁盘数据，彻底瘫痪企业业务系统。

整起攻击形成成熟的复合型打击体系，同时瞄准企业两大核心体系：负责业务运营、数据存储的IT信息系统，以及负责设备运行、生产管控的OT工业控制系统，是当前工业网络安全领域极具代表性的高阶威胁模式。

常态化隐蔽对抗：低强度长期定向网络威胁特征

#

网络空间的高级威胁对抗，早已脱离短时、突发的攻击模式，呈现出长期潜伏、低强度渗透、伺机打击、可否认性强的常态化特征。高级威胁团伙通常选择企业防御松懈、安全关注度降低的窗口期发起攻击，全程隐蔽操作、规避溯源，精准控制攻击规模，实现无声无息的定向破坏。

工业基础设施、民生关键行业一直是此类APT团伙的重点目标。相较于显性攻击，隐蔽式网络入侵溯源难度高、风险成本低、破坏效果直接，成为高级威胁团伙的核心攻击手段。在行业安全防御普遍存在短板的背景下，此类常态化隐蔽攻击的频次与破坏力持续攀升。

本次复盘的攻击行为，完全贴合高阶工业APT的典型特征：

全程可溯源性差、核心目标为物理破坏与业务瘫痪、擅长利用防御盲区窗口期开展精准打击，是当前生产型企业必须重点防范的高危威胁。

威胁主体：Cyber Isnaad Front高级威胁团伙技术画像

#

经技术溯源，本次攻击由Cyber Isnaad Front高级威胁团伙发起。该团伙于2025年6月活跃于网络攻防领域，对外伪装成民间网络技术组织，具备极强的伪装性与迷惑性，核心业务聚焦关键基础设施的定向网络攻击，目前认定为伊朗黑客组织，此次攻击目标为以色列食品加工厂。

技术溯源数据证实，该团伙为具备国家级技术支撑的APT组织，依托成熟的后台技术团队与攻击基础设施开展作业。该团队长期采用多身份轮换的隐蔽作业模式，单一身份暴露后立即废弃并更换全新伪装身份，核心攻击架构、技术工具、攻击手法保持高度统一，持续针对民生、工业、供应链类关键企业实施渗透打击，具备稳定、持续、高效的攻击能力。

该团伙常规对外作业以【数据泄露曝光】为伪装手段，通过入侵企业系统窃取数据、剪辑宣传素材、公开部分泄露数据制造舆论热度，塑造民间技术组织形象。其公开宣称的攻击成果多存在夸大包装，部分曝光内容无法核验真实性，舆论宣传仅为伪装掩护手段。团伙主要瞄准工业供应链、通信数据中心、能源物流、食品生产等关键民生行业企业。

大量真实攻击行为均隐蔽在公开伪装操作之下，相较于数据窃取，该团伙的核心攻击诉求为物理设备破坏、生产体系瘫痪、企业业务停摆，破坏性远高于常规数据窃取类攻击。

IT侧攻击复盘：伪装微软程序的GRAT磁盘擦除恶意工具

#

在本次被攻击企业的Windows IT网络环境中，安全团队捕获了团伙核心武器GRAT（Go Remote Access Toolkit，Go语言远程访问工具包）定制化恶意软件家族。该程序伪装性极强，以单一可执行文件形态运行，完全模拟微软系统程序特征。

本次捕获的样本主要命名为SpellChecker.exe、Checker.exe.exe、WindowsUpdater.exe，默认驻留于C:\Users<user>\AppData\Roaming\Microsoft\Spelling\、C:\ProgramData\等系统常用可写目录。同时通过自建OneDrive Update计划任务实现持久化驻留，开机自启、每分钟循环运行，以最高系统权限隐蔽执行恶意操作。

该恶意程序架构完善，集成11项独立功能子模块，可全面枚举主机安全状态、系统配置、杀毒软件部署、BitLocker加密情况，支持进程管控、注册表篡改、系统服务操纵、远程VNC控制、文件窃取上传等全维度恶意操作，适配企业常规Windows服务器终端环境。

程序内置“BigBang”专项模块，支持对主机文件进行批量加密，可实现勒索式攻击效果。

其最核心致命的功能为全盘数据擦除，也是本次IT系统瘫痪的核心原因。

攻击者下发远程指令后，GRAT可通过底层系统调用直接覆盖物理磁盘、销毁分区表。高阶变种支持多轮覆写销毁，依次通过零值、随机数、0xFF代码全覆盖磁盘数据，彻底杜绝数据恢复可能。指令执行后，主机直接无法启动，系统与业务数据完全损毁。

该恶意软件采用双通道C2命令控制架构，分工清晰、隐蔽性强。攻击指令通过TLS加密的RabbitMQ协议加密传输，规避流量检测；攻击执行结果通过明文Redis通道回传。两条通道均复用同一核心服务器节点84[.]201[.]6[.]131，分别依托7878、9988非标准端口通信，规避常规安全设备端口检测规则。

程序所有通信参数均通过AES-256高强度加密，且每一份针对单独目标的攻击样本均轮换专属密钥、密码与队列名称，实现“一目标一密钥”。单一样本破解不会影响其他攻击样本的安全性，极大提升了溯源与防御难度，是成熟定向APT攻击的典型技术特征。

该恶意工具摒弃冗余花哨功能，主打实用破坏能力，适配工业企业IT网络环境。本次攻击的核心亮点不在于恶意代码本身，而在于攻击者精准掌握工业企业业务架构与设备弱点，实现针对性精准打击。

OT侧攻击复盘：参数篡改引发的工业设备物理损毁

#

本次攻击最具警示性的部分，是针对食品厂工业制冷OT系统的精准物理破坏操作。

涉事企业部署新旧两套工业制冷系统，均采用CO2（R-744）环保制冷剂，攻击者针对两套系统的成熟度差异，采用分层攻击手法，精准最大化破坏效果，充分体现其对工业制冷工艺的深度认知。

针对老旧制冷系统，攻击者采用轻量化参数篡改攻击，批量修改核心运行参数：大幅上调冷库温控阈值（从常规+2°C篡改至+50°C）、清空设备安全告警阈值、关闭异常保护机制。该操作直接导致冷库沦为高温环境，生鲜产品快速变质。此类攻击修复难度较低，运维人员当晚即可重置参数恢复设备运行，但短时间内仍会造成大量生产资料损毁。

针对全新智能化制冷系统，攻击者实施深度毁灭性攻击。除篡改基础参数外，直接擦除并重置控制器完整程序配置，清空温度传感器、压力变送器、压缩机组、电动阀门、散热风扇等所有硬件的映射配置与联动逻辑。故障发生后，运维团队无法一键恢复，只能对照电气原理图逐线核查、重新定义设备关联程序，耗时数天才能完成基础配置修复。

为实现不可逆物理破坏，攻击者完成参数篡改后，将系统压力控制电动阀门强制锁定为手动全开模式，所有末端控制设备同步强制开启，彻底打乱制冷剂循环逻辑，让制冷剂无规则、无管控全域流动，破坏整套制冷系统的运行平衡。

该攻击手法精准利用了CO2制冷系统的物理特性短板，是针对性极强的行业专属攻击手段，绝非通用网络攻击可实现，技术门槛极高。

常规工业制冷依赖制冷剂稳定相变循环，液态制冷剂需在蒸发器完全气化后进入压缩机。液态制冷剂不可压缩，一旦液态介质冲入压缩机，会直接造成活塞断裂、机组报废。同时，液态CO2升温后压力会呈指数级暴涨，系统安全阀会被动泄压排空制冷剂，彻底耗尽设备冷媒，造成整套系统瘫痪。

攻击者精准触发双重设备故障机制，最终导致厂区三台核心压缩机组完全损毁、无法修复。设备更换需配套改造管道、电气、泄压、过滤等全套附属组件，完成压力测试、真空测试、冷媒充注等全流程调试，整套系统耗时近一周才恢复运行，部分核心设备需海外采购，造成长期生产停滞与高额维修成本。

本次OT攻击全程无任何恶意软件驻留，攻击者仅依托原生工控系统权限与设备运行逻辑，通过参数篡改、模式锁定、密码封禁实现物理破坏。无恶意文件留存的攻击特征，让常规工控安全检测设备完全失效，溯源与防御难度大幅提升。

高危攻击模式总结：IT/OT一体化融合破坏威胁

#

本次事件绝非单一企业的偶然故障，而是当前工业网络安全领域涌现的新型高危攻击范式，具备极强的复制性与扩散性，对全行业生产企业均具备警示意义。

本次攻击的核心标志性特征为IT与OT一体化协同攻击：

同一攻击团队同时精通Windows信息系统渗透技术与工业设备物理运行原理，同步实现IT层数据销毁、业务瘫痪与OT层设备损毁、生产停摆。两种跨领域攻击能力融合，打破了传统网络攻击与工业破坏的技术壁垒，是当前工业企业最易忽视、最难防御的高阶威胁。

从攻击目标维度来看，该APT团伙长期聚焦关键民生基础设施，重点攻击工业供应链、通信数据中心、能源物流、食品生产等行业。此类企业普遍存在安全预算有限、防护体系薄弱、设备老旧、运维权限管控宽松、停机损失极大的特点，成为高级威胁团伙的优选目标。该类攻击隐蔽性高、溯源难度大、破坏效果直观，是常态化工业网络对抗的核心攻击方向。

企业运维团队的防御松懈、窗口期安全管控缺失，是此类APT攻击成功落地的核心诱因，也凸显了当前工业企业常态化安全防御体系的短板。

本次工业APT攻击事件全程低调隐蔽，无公开认领、无舆论曝光、无样本泄露，属于典型的后台静默式定向破坏攻击。

团伙通过公开伪装行为掩盖真实破坏目的，实现攻击行为的无痕溯源、隐蔽落地，极具行业警示价值。

网络空间的工业对抗从未停歇，攻防博弈早已进入常态化、精细化、物理化阶段。对于食品、能源、通信、供应链等关键基础设施企业而言，必须摒弃无告警即无风险的固有认知，高度警惕IT/OT一体化复合型攻击，补齐工控参数防护、权限管控、流量审计、应急恢复等薄弱环节，筑牢工业生产网络安全防线。

参考：profero的《The War Between Wars: How an IRGC Cyber Front Runs Destructive OT and IT Attacks Under Cover of a Ceasefire》

往期：

白宫疑似秘密搭建第二套联邦数字系统

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟 黑鸟 黑鸟《一次针对食品生产厂的真实网络战：黑客如何同时摧毁IT系统与工业设施》