一款远程访问木马正在全球范围内扩散,受感染设备总数已突破62000台,波及超过160个国家。CYFIRMA在2023年11月首次将这一威胁写入报告,当时追踪的版本号为2.4。到2026年第一季度,感染量就冲到了39000台以上,整个运作明显在加速铺开。

Group-IB的分析师将背后的攻击团伙命名为Y2K Operators,开发者以“shinyenigma”这个代号活跃在地下论坛和GitHub上公开推销。根据Group-IB提供给Cyber Security News的报告,这款恶意软件走的是服务化路线,首月50美元,续费10美元,终身授权卖90美元。

打开网易新闻 查看精彩图片

围绕这一低价策略,安全社区的看法分成两派。一方认为,把一款功能齐全的RAT压到两位数定价,等于替低技术门槛的攻击者扫清了成本障碍,让随便什么人花一顿饭钱就能搞到趁手工具。另一方指出,价格本身不是根因,真正的问题是Telegram Bot API做命令通道这种设计,让恶意流量混入普通网页请求里,企业防火墙很难区分。两种声音各有根据,但感染数字摆在那里——门槛确实在降低,检测难度确实在抬高。

版本4做了一次彻底的技术重构,从前代基于. NET的代码库整个搬到了原生C++上。这一步的直接后果是受害者机器上不再需要安装. NET运行环境,落地就能跑,留给端点安全软件的拦截窗口变短了。恶意软件从嵌入的资源文件中读取加密配置,里面装着Telegram机器人的令牌、聊天ID、持久化参数和键盘记录开关。数据用Base64编码后,再经一层自定义XOR算法保护,附加随机数据把文件散列值搞得每次都不一样,靠签名库吃饭的检测引擎基本认不出来。

功能清单拿到手里相当齐全:浏览器的凭证和cookie、屏幕截图和摄像头画面、麦克风录音、键盘敲击记录、Telegram和Discord的会话数据,都能往外传。文件直接给加密锁住。所有操控指令都走Telegram回来,没有独立的指令服务器,通信画面看起来跟正常用户刷消息没什么两样。持久化那块儿就是常规操作,把载荷扔进%APPDATA%目录,再往注册表里塞一条自启动键值。

提权手法没用到什么零日漏洞,全靠Windows系统自带的用户账户控制弹窗,赌的就是多数人会下意识点“是”。换句话说,整套攻击链的技术含量不高,但社交工程的分量很重。受害范围也不挑食,从普通用户到想下载盗版工具结果自己反被植入木马的准黑客们,通通兜进网里。2026年初那波感染陡增,加上版本还在持续迭代、价格又压得这么低,这个威胁短期内大概只会继续往上翻。