「我们以为孩子在玩游戏,其实有人在玩孩子。」——这不是电影台词,是安全研究员看到KarstoRAT后的第一反应。

一款从未在地下论坛公开售卖的新型远程控制木马,正通过假游戏交易平台和作弊工具网站,精准收割未成年玩家。它不说话、不弹窗,两秒一次心跳,把摄像头、麦克风变成攻击者的眼睛和耳朵。

打开网易新闻 查看精彩图片

一张图看懂攻击链路

LevelBlue团队还原的完整攻击路径,像一份精心设计的「青少年捕猎说明书」:

第一层:假网站钓鱼。攻击者在命令控制服务器(C2)上搭建了两个诱饵——「Blox Stocks」冒充Roblox低价道具交易站,「Venom Files」伪装成FPS和GTA高级作弊下载站。前者针对想省钱买皮肤的小学生,后者瞄准想开挂的中学生,人群切割精准。

第二层:木马落地。用户下载的所谓「交易助手」或「作弊器」,实为64位Windows可执行文件,用微软Visual Studio 2022编译,调试时间戳显示2026年2月16日。文件未加壳,熵值中等,刻意保持「朴素」以避免触发高级检测。

第三层:隐蔽驻留。运行后每两秒向212.227.65[.]132的15144端口发送心跳,通过Windows网络接口(WinINet)出站,流量特征与普通程序无异。C2服务器还套了多层马甲:SSH隧道、Node.js接口、Cloudflare Argo WebSocket代理,TLS指纹伪装成Firefox。

第四层:远程操控。攻击者可随时下发指令,调取摄像头抓拍、录制环境音、记录键盘输入、截取屏幕,或拉取新的恶意程序执行。整个过程无窗口、无提示,临时文件用完即删。

摄像头模块:偷窥的工业化流程

PEStudio分析显示,KarstoRAT的功能模块高度模块化。以摄像头为例,其执行流程堪称「无声电影拍摄指南」:

收到WEBCAM指令后,木马先创建一个不可见的捕获窗口——不是最小化,是根本不显示。然后连接系统默认摄像头驱动,抓取单帧画面,保存为webcap.bmp临时文件,上传至/upload-webcam端点,最后删除本地文件。

从触发到清理,全程不超过数秒。受害者电脑屏幕上没有任何变化,摄像头指示灯是否亮起取决于硬件设计,多数笔记本的LED与驱动并联,理论上会被点亮,但孩子打游戏时注意力分散,极易忽略。

音频录制功能同样调用Windows多媒体接口,具体实现因原文截断未完全披露,但从架构一致性判断,大概率遵循「静默采集→临时存储→加密上传→本地擦除」的同一套流水线。

为什么偏偏选游戏少年?

这不是随机撒网,是精准的人口学狩猎。

Roblox全球日活超过6000万,其中半数以上未满13岁。这个群体的典型特征:拥有独立智能设备、缺乏网络安全教育、对「免费」「低价」「作弊」毫无抵抗力、遭遇异常时不会第一时间向家长描述技术细节。

「Blox Stocks」的命名本身就经过心理设计——「Stocks」暗示投资增值,迎合孩子对游戏资产的占有欲;「Blox」谐音Roblox官方术语,制造认知混淆。Venom Files则利用FPS和GTA玩家对竞技优势的渴望,「Venom」一词在作弊社区自带暗黑酷感。

更值得玩味的是分发策略的「去市场化」。LevelBlue明确指出,KarstoRAT从未出现在地下论坛或网络犯罪市场,属于「私人定制工具」。这意味着攻击者放弃了规模化变现,换取的是更低的曝光度和更长的潜伏周期。

公开沙箱中出现多个样本,反而说明一件事:这套工具已经投入实战足够久,久到被不同来源的分析师多次捕获。

C2架构:把恶意流量藏进正常业务

212.227.65[.]132这台服务器的配置,暴露了攻击者的工程化思维。

端口15144承担主控通信,但真正的设计亮点在443端口的VMess代理。VMess是V2Ray项目的传输协议,本身用于科学上网,攻击者将其流量封装在Cloudflare Argo WebSocket隧道内,TLS指纹模拟Firefox浏览器。这套组合拳的防御穿透逻辑很清晰:

企业防火墙通常放行443端口的HTTPS流量;Cloudflare的IP池庞大且信誉良好,不易被整体拉黑;WebSocket让长连接看起来像网页实时通信;Firefox指纹则绕过基于客户端特征的异常检测。

SSH隧道和Node.js API的存在,暗示服务器可能还承担其他功能——也许是多租户管理,也许是载荷分发,也许是攻击者自己的远程办公入口。多层服务堆叠,既增加了分析难度,也为应急响应制造了「该关哪个端口」的决策困境。

两秒心跳:持久化的工程学取舍

KarstoRAT的轮询间隔固定在2000毫秒,这个数值的选择耐人寻味。

太短会增加网络噪声和电量消耗,容易被行为监控发现;太长则延长命令响应延迟,降低操控实时性。两秒是平衡后的结果:既保证攻击者操作跟手感,又让流量模式接近某些自动同步软件的心跳特征。

无限循环的设计意味着木马不会「完成任务后退出」,而是终身驻留,除非被手动清除或系统重装。这种设计哲学与勒索软件的「一击即走」截然相反,指向的是长期监控、持续数据收割的运营模式。

结合摄像头和音频模块的调用方式,可以合理推测攻击者的兴趣不仅在于游戏账号资产,更在于未成年人生活环境中的敏感信息——家庭作息、居住布局、家长对话片段,这些数据的黑市价值远超虚拟道具。

未解之谜与防御盲区

原文截断处留下了关键空白:音频模块的完整技术细节、键盘记录器的存储机制、屏幕截图的触发条件、额外载荷的下载执行逻辑,均未披露。这些黑箱意味着实际危害可能比已分析样本更严重。

另一个悬而未决的问题是初始入侵向量。虽然假网站是明面上的分发渠道,但样本如何首次进入沙箱环境?是研究人员主动爬取发现,还是来自真实受害者的上传?时间线显示「2026年初」已有样本出现,但大规模感染是否发生、波及范围多大,目前无公开数据。

对于家长而言,现有的安全软件对KarstoRAT的检测能力存疑。未加壳的朴素设计降低了静态特征识别难度,但两秒心跳和Cloudflare隧道的组合,可能让行为检测产生大量误报或漏报。更现实的困境是:有多少家长会在孩子的游戏电脑上部署企业级端点防护?

行动:现在该做什么

如果你身边有玩Roblox、FPS或GTA的未成年人,今天做三件事:

第一,检查路由器DNS或防火墙日志,拦截对212.227.65[.]132的任何连接请求。这个IP目前已被公开标注,但攻击者更换基础设施的成本极低,不能依赖黑名单一劳永逸。

第二,在游戏设备上启用摄像头物理遮挡——贴纸、滑盖、可旋转挡板,任何硬件级阻断都比软件权限更可靠。告诉孩子,打游戏时摄像头指示灯亮起要立即报告,无论屏幕有没有变化。

第三,用具体场景替代抽象说教。不要讲「不要下载不明软件」,而是打开「Blox Stocks」或「Venom Files」的截图(安全媒体已有披露),让孩子辨认这些页面与官方网站的差异。识别钓鱼的能力,比记住规则更有用。

安全研究者追踪的是样本,家长守护的是具体的人。KarstoRAT的可怕之处不在于技术多新颖,而在于它把成人世界的监控工具,精准投放给了最缺乏防备的群体。这场不对称对抗里,信息就是唯一的均衡器。