2026年2月,美国、以色列和阿联酋的科技从业者邮箱里开始出现一些看似正规的招聘邮件。发件人模仿知名航空公司和视频会议平台,职位描述精确到"高级技术岗",会议邀请带着完整的品牌视觉——但附件里的压缩包,藏着两个全新的远程控制木马家族。

Palo Alto Networks旗下Unit 42团队追踪到这场行动,将其归因于一个伊朗背景的黑客组织Screening Serpens。该组织还有三个别名:UNC1549、Smoke Sandstorm、Iranian Dream Job。自2022年活跃以来,他们长期聚焦中东目标,2025年底才将触角伸向西欧。此次发现的六个变种被归入两个家族:全新开发的MiniUpdate,以及升级后的MiniJunk V2。

打开网易新闻 查看精彩图片

时间线显示攻击波次与地区冲突高度关联。2026年2月28日中东爆发新一轮区域冲突后,该组织在2月中旬至4月中旬持续投放新样本。Unit 42评估认为Screening Serpens是幕后主使,置信度为"中高"。

MiniUpdate的技术架构更值得细究。它采用一种名为AppDomainManager劫持的技术:通过篡改合法配置文件,让.NET运行时在上层应用完全加载前自行关闭安全机制。具体而言,配置禁用了Windows事件追踪(ETW)——这是安全软件监测异常行为的核心遥测源——同时绕过数字签名验证。木马还会创建定时任务,每天上午9:30本地时间触发,确保系统重启后仍能存活。

通信层面,MiniUpdate为每个特定目标分配独立的Azure托管域名作为指挥控制节点。这种设计让单点检测无法暴露整体基础设施,云服务的正常流量特征也为恶意通信提供了掩护。

3月针对美国的攻击中,攻击者将木马封装在伪装成航空公司招聘材料的压缩包里,附带虚假的高级技术职位描述。同月针对以色列的行动则更具欺骗性:压缩包冒充视频会议软件安装程序,用户看到的伪造加载界面背后,木马正在静默部署。

MiniJunk V2家族于2026年2月17日首次出现,技术路线与MiniUpdate不同。该家族采用重度混淆的后门设计,目标指向科技和国防领域。两个家族共享同一套投递逻辑——伪造招聘场景——但技术实现上形成互补:MiniUpdate追求深度系统渗透,MiniJunk V2侧重隐蔽持久化。

攻击者对人设细节的打磨值得警惕。他们不仅复刻品牌视觉,还针对目标地区的就业市场特征定制内容。美国收到的"航空公司招聘"对应当地航空业技术人才需求,以色列的"视频会议安装包"则契合该国远程协作工具的高普及率。这种本地化精度意味着攻击者投入了相当的情报收集成本。

Unit 42在报告中向Cyber Security News透露,两个家族均通过鱼叉式钓鱼投递, impersonation对象涵盖可信品牌和招聘平台。受害者打开恶意压缩包并运行文件后,感染链在后台静默启动,屏幕前端无任何异常提示。整个交互流程被设计成与正常求职或会议准备体验无缝衔接。

从防御角度,此次行动暴露出几个薄弱点:一是求职者对招聘邮件的天然信任度,二是企业级云服务域名在威胁情报中的覆盖盲区,三是.NET运行时配置篡改这类"Living off the Land"技术的检测难度。Azure托管的C2基础设施尤其棘手——传统基于IP信誉的拦截策略对动态分配的云域名效果有限。

Screening Serpens的演进轨迹也值得关注。从2022年专注中东,到2025年底进入西欧,再到2026年初同时渗透美以阿三国科技圈,其目标选择明显跟随地缘政治热点移动。攻击时间窗口与2月28日冲突爆发的紧密耦合,暗示该组织可能承担情报支援职能。

技术层面,MiniUpdate的AppDomainManager劫持并非全新手法,但将其与ETW禁用、签名绕过、定时任务持久化、云域名C2串联成完整攻击链,显示出工程化程度的提升。MiniJunk V2的"重度混淆"描述则指向另一趋势:在静态分析工具普及的背景下,攻击者正加大反分析投入。

对科技从业者而言,这场 campaign 的警示在于:招聘场景已成为高价值攻击向量。攻击者愿意花费精力研究目标地区的就业市场、复刻品牌资产、伪造交互细节——这意味着传统的"检查发件人域名"或"警惕通用话术"等建议可能不足。当恶意压缩包里的职位描述精确匹配你的技术栈时,技术判断需要让位于流程规范:隔离环境打开、哈希校验、来源二次确认。

对企业安全团队,Azure C2域名的出现提出了新的检测命题。基于云服务商的指挥控制基础设施正在稀释传统网络层威胁情报的效力,行为检测和终端遥测的重要性相应上升。MiniUpdate对ETW的针对性禁用,也解释了为何部分端点安全方案在该样本面前失效。

截至报告发布,Unit 42未披露具体受害组织数量或数据泄露规模。但攻击者持续两个月的样本更新,以及针对三个国家同步展开的精准投放,表明这是一场资源充足、目标明确的持续性行动。科技行业的人事、研发、基础设施岗位人员,在未来数月或许需要提高对"机会"的审视门槛。