一种新的、复杂的恶意软件活动被发现，该活动利用 Microsoft 的 Azure Functions 进行命令和控制 （C2） 基础设施，这是一种使检测和删除工作复杂化的新技术。

根据 Dmpdump 报告，该恶意软件最初是从 2025 年 8 月 28 日从马来西亚上传到 VirusTotal 的文件中发现的，它采用多阶段感染过程，涉及 DLL 侧载和内存有效负载执行，以保持隐藏状态。

攻击从名为 的磁盘映像文件开始。此 ISO 包含四个文件：一个合法的 Palo Alto Networks 可执行文件 （）、一个快捷文件 （） 和两个隐藏的动态链接库 （DLL），以及恶意 .Servicenow-BNM-Verify.isoPanGpHip.exeservicenow-bnm-verify.lnklibeay32.dlllibwaapi.dll

当用户单击快捷方式文件时，它会执行合法的 .但是，此可执行文件容易受到 DLL 侧加载的影响，导致它从同一目录加载恶意文件。PanGpHip.exelibwaapi.dll

这种技术允许恶意软件以受信任应用程序的幌子运行，绕过初始安全检查。

快捷方式文件的元数据显示，它是在 2025 年 8 月 25 日，即上传前三天，由用户“john.GIB“，可以一睹威胁行为者的开发环境。

有效载荷注入和混淆

加载后，恶意者会启动复杂的有效负载注入序列。它首先隐藏其控制台窗口并创建一个互斥锁，以确保只有一个恶意软件实例在受害者的计算机上运行。libwaapi.dll

然后，它将其主要有效负载注入 的内存中，这是一个合法的 Windows 组件。这个过程涉及多层解密和混淆。chakra.dll

该恶意软件通过对字符串“rdfY*&689uuaijs”进行哈希处理来计算 RC4 密钥，并使用它来解密有效负载。注入的有效负载是一个混淆的 shellcode，它使用 LZNT1 算法解压缩最终的 DLL 植入。

这个最终的有效负载被严重混淆，分析表明它实现了模块脱钩以逃避安全软件的检测。

它的功能包含在导出的函数中，这是容纳恶意代码的不太常见的选择。DllUnload

该恶意软件最重要的方面是它使用 Azure Functions 进行 C2 通信。最终有效负载通过 POST 请求将受害者数据发送到 。logsapi.azurewebsites[.]net/api/logs

根据 Dmpdump 报告，通过将其 C2 托管在 Azure 等合法无服务器平台上，该恶意软件使网络防御者难以阻止恶意流量而不影响对合法 Microsoft 服务的访问。

泄露的数据以 XML 格式发送，其中包含有关受感染系统的详细信息。这包括计算机和用户名、作系统版本、系统正常运行时间以及运行恶意软件及其父进程的进程。

2025 年 9 月 5 日从新加坡上传了具有相同导入哈希的相关恶意软件样本，表明该活动可能更广泛。

安全研究人员正在继续分析最终有效负载，以了解其全部功能。