一个国家级黑客组织开始用AI辅助开发后门程序,这事本身就够让人警觉的。更麻烦的是,他们的目标很明确:航空业员工和软件开发者。
网络安全公司Check Point上周发布的分析显示,伊朗背景的黑客组织Nimbus Manticore(又名Screening Serpens、UNC1549)正在活跃。该组织与伊朗伊斯兰革命卫队有关联,长期针对国防、航空和电信领域发起攻击。这次的新动向是部署了一个名为MiniFast的后门,而代码特征表明它很可能是AI辅助开发的产物。
时间线值得注意。2026年2月底美以联合军事行动之后,这个组织的攻击活动明显升级,覆盖美国、欧洲和中东地区。攻击手法也在快速迭代:2月用AppDomain劫持技术投放MiniJunk,3月换成MiniFast后门,4月又新增了搜索引擎优化(SEO)投毒的手段——伪造Oracle SQL Developer下载页面,诱导受害者主动下载带毒安装包。
Check Point的研究人员从MiniFast的代码里发现了AI参与的痕迹。典型的信号包括:过度冗余的错误处理逻辑、重复性极高的函数命名风格、大量描述性过强的变量标识符,以及异常详细的错误报告字符串和调试信息。换句话说,代码写得太"规矩"了,不像人类程序员的风格,反而像大语言模型生成的产物。
攻击链条的设计也体现了针对性。3月的一波行动中,受害者收到伪造的Zoom会议邀请,下载的安装包会利用AppDomain劫持技术加载恶意DLL。更早的2月,沙特和澳大利亚的软件、航空业员工则被虚假招聘机会诱导,从OnlyOffice平台下载含毒压缩包。这种"求职主题钓鱼"是该组织的招牌手法,内部代号"Iranian Dream Job",与朝鲜黑客的"Operation Dream Job"有战术相似性。
4月的SEO投毒是个新变量。这是Nimbus Manticore首次不依赖钓鱼邮件,而是通过污染搜索结果让目标主动找上门。伪造的SQL Developer下载页对程序员群体尤其具有欺骗性——这些人日常就需要这类工具,警惕性可能在"刚需"面前降低。
从技术演进的角度看,AI辅助开发恶意软件可能降低攻击者的技术门槛,同时提高代码的规范性和可维护性。这对防御方意味着:传统的"看代码风格识作者"手段可能失效,基于行为检测的方案变得更加重要。Check Point没有披露具体的检测规避成功率,但强调这是该组织"此前未记录的技术和增强能力"的一部分。
热门跟贴