安全研究员盯着屏幕,手边的咖啡已经凉透。后台告警面板上,位于美国的目标机器一个接一个地弹出感染信号,但所有的终端检测与响应系统都安安静静,没发出任何预警。这场猫鼠游戏里,老鼠学会了关掉监控摄像头,而且用的还是房子主人亲手写的配置。
从2026年2月28日起,一波区域性冲突点燃了,同一时间,一场网络间谍行动踩着冲突的时间线快速铺开。Unit 42 的调查人员发现,一个至少从2022年就开始活跃的伊朗威胁组织,突然发动了针对美国、以色列、阿联酋的高频攻击。这个组织有很多名字——追踪它的团队管它叫 Screening Serpens,也有厂商标注为 UNC1549、Smoke Sandstorm,或者更具欺骗感的别名“伊朗梦幻职位”。过去,他们一直绕着中东打转,直到2025年底才把触角伸向西欧。但这一次,攻击节奏明显变了。
他们瞄准的目标全是高价值行业:航空航天、国防制造、电信。下钩的方式不算新鲜,却很致命——根本不靠零日漏洞,就用一份份量身定制的招聘邀请或伪造的视频会议软件安装包,通过社交工程直接敲开专业人士的收件箱。受害者以为自己在申请工作或参加在线会议,背后却已经踢开了一连串静默感染。
2026年2月到4月间,Unit 42 研究人员提取出了六款新的远程访问木马变种,全部归入两个恶意软件家族:MiniUpdate 和 MiniJunk V2。攻击节奏几乎和地缘政治事件同步:3月底,针对美国和以色列实体的协同打击密集出现;到4月中旬,猎物换成了阿联酋和另一个中东国家的目标。整个过程中,样本更迭极快,像是有人在流水线上批量装配不同形态的后门,唯一的共同点是,它们都很安静。
感染链条永远从鱼叉邮件开始。受害者下载并运行那个看起来像“招聘门户”或“视频会议安装器”的文件,一切看起来再正常不过。但就在程序启动的瞬间,一个多阶段加载链在后台悄然展开。没有弹窗,没有报错,甚至没有明显的CPU飙升。等受害者退出安装界面时,攻击者已经拿到了整台机器的完整控制权。
这才是真正让人火大的地方。因为这波行动里最核心的技术飞跃,不是某个巧妙的缓冲区溢出,不是藏在驱动里的 rootkit,而是一个叫 AppDomainManager 劫持的手段。这个词听着挺学院派,实际上等于直接调用了 .NET 框架自身的“后门”入口。攻击者不需要在内存里拼凑任何 shellcode,也不用去修补什么系统钩子。他们要做的,只是在应用程序配置文件里偷偷塞进几行 XML。
要命的就在这几行 XML 里。它们告诉 .NET 运行时:请你在加载应用程序之前,先执行我指定的恶意代码。按照正常流程,.NET 程序启动时会对组件进行一系列安全检查,比如强名称签名验证,还有生成事件跟踪记录供 EDR 调取。但攻击者用配置文件直接下令:把 Event Tracing for Windows 关掉。Windows 事件跟踪是现代端点检测响应平台监控 .NET 活动的主要数据源,关闭它,等于蒙上了整栋楼的安防探头。紧接着,再关掉强名称签名验证,这样连签过名的 DLL 检测步骤都跳过了,任何未签名的恶意 DLL 都可以大摇大摆地装入进程,一点异常都不会触发。
这意味着什么?你花了大量预算部署的 EDR,但凡它依靠 ETW 来分析 .NET 进程行为,现在都变成瞎子。攻击者没有破坏系统,只是利用系统原本提供的配置选项,礼貌地请求它关掉了自己的防御。这种手法被安全领域归为成熟的“离地攻击”技术,因为它不投放可疑文件,不改写内存,所有操作都由合法进程用合法方式完成,整个过程看上去就是一个程序在读取自己的正常配置文件。唯一不对劲的是,文件里多了那几条指令,而安全工具很少去怀疑一个 XML 配置文件会有什么恶意。
Unit 42 的报告勾出了一个明确的攻击时间表:整个行动紧扣冲突窗口,从2月底延续到4月,样本迭代和攻击波次都高度组织化。MiniUpdate 和 MiniJunk V2 两大家族的 RAT 变种持续发送,表明有人在背后不断根据暴露情况调整载荷。而 AppDomainManager 劫持技巧的大规模运用,暗示这伙人对 .NET 运行时内部机制的了解,已经不是一般脚本小子的水平。他们清楚地知道,在哪个时间点、用哪个配置项,可以让 .NET 框架乖乖配合,而不是对抗。
讽刺的是,这种高等级隐身背后,并没有用到什么神秘的新漏洞。它只是用一种你很难去告状的逻辑,利用你的合法工具来搞你。企业花数年时间建设 EDR 体系,结果发现对手只需要用一套符合微软官方文档的配置方案,就能让大部分遥测信号消失。而受害者看到的那封邮件,也许只是某天下午一个看上去还挺诱人的工作机会。
热门跟贴