中國駭客組織IronHusky更新MysterySnail RAT滲透蒙古與俄羅斯政府

資安廠商卡巴斯基研究人員發現，中國駭客組織IronHusky近期使用2021年曾曝光的後門程式MysterySnail RAT，針對蒙古與俄羅斯政府單位發動新一波網路攻擊。研究人員指出，攻擊者透過偽裝成蒙古政府公文的惡意MMC腳本，引導受害者下載並執行惡意載荷，進一步利用側載技術在系統部署中繼後門與更新版MysterySnail RAT。

該攻擊活動涉及下載含有合法可執行檔CiscoCollabHost.exe與惡意函式庫CiscoSparkLauncher.dll的壓縮檔案，藉由合法程序載入惡意DLL，並以開源專案piping-server作為C2通訊中繼。為提升抵抗分析能力，後門通訊指令藏於外部加密檔案log\MYFC.log中，在執行時才解密讀取。

研究人員進一步分析發現，中繼後門可下載並執行第二階段惡意程式，其中包含具備完整指令集的MysterySnail RAT。該RAT透過DLL掏空（Hollowing）技術，將加密於attach.dat的惡意載荷反射式載入（Reflective Loading），並以系統服務方式建立持久性。

雖然指令功能與2021年版本大致相同，但新版本改為模組化架構，分拆為5個DLL元件，分別負責指令列執行、程序管理、檔案操作、服務控制與網路連線等任務。由於模組名稱ExplorerMoudleDll.dll中的拼寫錯誤延續自舊版，研究人員認為，攻擊工具的基本結構自2021年以來未有明顯變動。

研究人員指出，在攔阻初步攻擊後，IronHusky隨即轉用一款名為MysteryMonoSnail的輕量化單模組版本，繼續執行滲透行動。新版本縮減為僅支援13個基本指令，通訊協定由原本的HTTP改為WebSocket，並沿用相同的C2伺服器地址。

MysterySnail RAT儘管多年未有公開活動紀錄，但其技術架構延續至今，仍在APT攻擊中發揮作用。研究人員提醒，在進行威脅獵捕時，應保留對歷史惡意程式家族的偵測能力，避免因過早棄用舊規則，使潛伏多時的老型木馬重新成為攻擊手段。