一个与伊朗有关联的精密间谍组织“狡猾蜗牛”通过精心策划的以招聘为主题的社会工程学攻击活动，已成为对欧洲电信、航空航天和国防组织的重大威胁。

该组织也被称为UNC1549，与更广泛的“不屈黄蜂”网络有关联。自2022年6月以来，他们通过伪装成合法公司的人力资源代表与毫无防备的员工接触，成功入侵了11个组织的34台不同设备。

攻击者通过精心打造的领英个人资料开展活动，将自己伪装成知名行业机构的招聘经理和人力资源人员。

他们的方法包括广泛的侦察，以识别组织内的高价值目标，尤其侧重于那些拥有关键系统特权访问权限的研究人员、开发人员和IT管理员。

威胁行为者会制作具有说服力的虚假工作广告，并按照telespazio-careers.com和safrangroup-careers.com等模式建立域名，以此冒充合法公司，提高其招聘骗局的可信度。

Catalyst分析师指出，Subtle Snail部署了MINIBIKE后门的自定义变体，该变体通过Azure云服务代理的命令与控制基础设施进行通信，以躲避检测。

在最初发现时，由于采用了复杂的混淆技术，并且滥用了荷兰公司Insight Digital B.V.的代码签名证书，这些恶意样本在大多数 antivirus 厂商中的检测率极低，使得这种恶意软件看起来像可信软件。

该组织的运作方法不仅限于简单的恶意软件部署，还包括针对特定受害者的恶意软件开发，以及全面的数据窃取能力，这些能力使其能够系统性地收集专有技术、客户数据库和关键网络配置。

他们持续的行动表明，国家支持的威胁行为体在针对关键基础设施时，其复杂程度正不断提升，尤其侧重于电信实体，同时仍对航空航天和国防领域保持兴趣，以实现战略间谍目的。

作为主要攻击向量的DLL劫持

“微妙蜗牛”感染机制的核心在很大程度上依赖于DLL侧载技术，该技术利用Windows的动态链接库搜索顺序来实现代码执行，同时避开安全控制的检测。

当受害者执行看似合法的setup.exe文件（该文件包含在名为Application.zip、TimeTable.zip或TimeScheduler.zip的ZIP压缩包中）时，威胁 actors 会利用与合法可执行文件一同放置的恶意MINIBIKE DLL文件，巧妙地实施DLL侧载攻击。

这种恶意软件利用Windows的DLL搜索顺序机制，在合法应用程序旁加载恶意库，从而有效绕过对可信进程的安全控制。

该团伙系统性地将其恶意DLL文件命名为常见的系统库名称，如iumbase.dll、dwrite.dll或umpdc.dll，以伪装成合法的Windows组件。

每个DLL都是为特定受害者和操作专门制作的，合法的动态链接库（DLL）文件会被修改，以促进侧载攻击的无缝执行。

技术实现包括用直接字符串变量替换导出部分中的函数名，这使得攻击者能够通过操纵DLL的导出表来绕过典型的检测机制，同时保持合法文件的外观。

所有恶意DLL均使用Microsoft Visual C/C++为64位机器架构开发，其WinAPI函数在通过自定义字符串解密技术解密相应的模块名和进程名后，在运行时动态解析。

MINIBIKE后门程序会收集独特的系统标识符，并以{UNIQUE_ID}###{DEVICE_NAME}###{NETWORK_INTERFACE_IPs}的格式将其传输至C2服务器，从而启动攻击链。

成功连接后，威胁攻击者开始部署特定于受害者的DLL，用于各种目的，包括键盘记录、凭据窃取和域名检查。每个DLL都通过相同的DLL侧载技术执行，以在整个攻击过程中保持操作的隐蔽性和持久性。