深入墨龙组织：揭秘基于受害者的中继网络与隐蔽攻击链

关键发现

• 近期，Check Point Research发现一波新的攻击活动，归因于名为“墨龙”的中国背景威胁组织。该组织与其他已公开报告的威胁集群存在重叠，例如 Earth Alux、Jewelbug、REF7707、CL-STA-0049等。
• 墨龙已将其活动范围扩展至新的区域。过去几个月，该威胁组织的活动除了继续针对东南亚和南美洲，还显示出对欧洲政府目标的关注度增加。
• 墨龙构建了一个基于受害者的中继网络。该组织利用自定义的ShadowPad IIS监听器模块，将被入侵的服务器转变为分布式网状网络中的活跃节点，使每个受害者都能转发命令和流量，从而将目标转化为其C2基础设施的一部分。
• 墨龙继续利用已知的IIS错误配置进行初始访问。尽管安全社区对此已有多年公开报告和认知，墨龙仍然依赖可预测或管理不当的ASP.NET machineKey值，对易受攻击的IIS和SharePoint服务器执行ViewState反序列化攻击。
• 墨龙正在通过新的TTP和工具演进其行动。该组织引入了具有更高隐蔽性和数据渗出吞吐量的新版FinalDraft恶意软件，以及支持在受感染网络内进行隐蔽横向移动和多阶段恶意软件部署的高级规避技术。

引言

Check Point Research持续追踪一个持久且能力高超的间谍组织，我们称其为“墨龙”，其他报告也将其称为CL-STA-0049、Earth Alux或REF7707。多家安全厂商评估该组织与中国有关联。至少从2023年初开始，墨龙就反复针对政府、电信和公共部门基础设施，最初集中于东南亚和南美洲，但在欧洲及其他地区的足迹不断增加。该组织的攻击活动结合了扎实的软件工程、严谨的操作流程以及重用平台原生工具以融入正常企业遥测数据的意愿。这种组合使得他们的入侵既有效又隐蔽。

墨龙行动的一个显著特点是倾向于将被入侵的环境转化为更大、分布式中继网络的一部分。通过在多个受害者处部署ShadowPad IIS监听器模块，该组织有效地将每个被攻破的服务器转变为能够接收、转发和代理命令的通信节点。这种设计允许攻击者不仅可以将流量路由到单个组织网络的更深处，还可以完全穿越不同的受害者网络。因此，一次入侵可能悄无声息地成为支持其他地区持续活动的全球多层基础设施中的另一个跳板，将操作控制与先前被入侵资产的战略重用相融合。

攻击链

攻击者首先通过ViewState反序列化或基于ToolShell的漏洞利用获取初始访问权限，然后在受感染的服务器上部署ShadowPad。他们窃取IIS工作进程凭据，并建立RDP代理进行横向移动，同时使用RDP和ShadowPad的内置功能以及被重用的凭据。在获取域管理员账户访问权限后，他们实现了对整个域的控制。接着，他们在战略性机器上部署FinalDraft，并在面向公众的服务器上安装ShadowPad IIS监听器，使新的受害者能够连接到攻击者的基础设施，从而延续攻击活动。

初始访问

在我们调查的环境中，常见的初始访问载体是通过公开披露的机器密钥利用ASP.NET ViewState反序列化漏洞。在这种场景下，通常使用应用程序的machineKey进行保护的__VIEWSTATE参数，如果密钥是从公共来源复制的，则可以被伪造。一旦攻击者能够生成有效的签名，他们就可以注入一个精心构造的ViewState载荷，服务器会将其反序列化，从而导致远程代码执行。

在其他案例中，我们还观察到该组织滥用ToolShell SharePoint漏洞。ToolShell是一个针对本地部署Microsoft SharePoint的漏洞利用链，结合了身份验证绕过和不安全反序列化（包括CVE-2025-49706 / CVE-2025-53771和CVE-2025-49704 / CVE-2025-53770等），能够在易受攻击的服务器上实现未经身份验证的远程代码执行和Webshell部署。2025年7月，我们观察到该组织在漏洞利用初期阶段对ToolShell漏洞进行了大规模扫描，这表明该组织属于早期获取此漏洞利用工具的有限团体之一。

这表明攻击者拥有多种面向网络的初始入侵选项。其实际工作流程简单明了：枚举面向互联网的IIS/SharePoint服务器，测试可预测的机器密钥或易受攻击的SharePoint端点（通常使用公开可用的模糊测试列表），然后提交精心构造的触发反序列化/远程代码执行的POST请求或载荷。这些攻击具有隐蔽性，并且能有效地针对网络配置不一致的大型组织进行规模化攻击。

内部操作与攻击链概览

横向移动

在这些攻击活动中，攻击者在获得初始立足点后，利用了Web入侵的两个互补优势：特权本地工件（IIS应用程序/服务凭据和配置）以及对活跃管理会话的可见性。

通过获取IIS machineKey/DecryptionKey 或以其他方式恢复站点的加密密钥，攻击者可以解密站点或其工作进程存储的本地配置块和凭据。实际上，这通常能获取IIS工作进程/应用程序池账户密码或其他本地密钥，这些密钥在主机上具有提升的权限，并且通常在其他重用相同服务账户或凭据材料的IIS服务器上也有效。

获得本地管理凭据后，墨龙组织将从w3wp.exe中的代码执行提升至完全的系统控制，然后利用该控制创建持久的远程访问通道（通常是RDP隧道或启动管理载荷的计划任务）。由于许多组织为了方便管理，在整个Web服务器群中重用服务凭据，获取一个IIS凭据可以使攻击者验证到同类的IIS主机并以最小的网络噪音进行横向移动。墨龙经常通过隧道传输RDP流量，从远程工作站访问内部主机，暴露其机器名，并启用表面看似合法的直接交互式会话。

此后，攻击者的横向移动流程变得直接：部署一个具有韧性的植入程序（常见ShadowPad/FinalDraft变种），并使用SMB等原生协议进行传播。操作员将三元组（EXE + 侧加载DLL + 加密数据块）复制到可写共享中，创建服务或计划任务来运行载荷，并尝试用一个看似合理的名称来伪装服务/进程。

持久化

我们观察到的最常见模式包括：

• 计划任务 – 攻击者创建了名称看似良性的任务（特别是SYSCHECK），设置为在SYSTEM账户下运行，并指向诸如conhost.exe之类的分阶段加载器宿主。任务通常设置为在选定的时间运行一次，允许操作员引导大规模的重新执行，同时最大限度地减少有噪音的周期性回调。
• 服务安装 – 在几台机器上，墨龙安装了服务，将其加载器作为持久性系统服务启动，服务名称伪装成Windows更新或临时维护（例如，WindowsTempUpdate）。这些服务用于运行侧加载的三元组（EXE + 恶意DLL + 加密数据块），确保在重启后自动重启并以SYSTEM权限执行。

必须注意的是，许多分阶段的可执行文件（例如conhost.exe）被重命名以模仿原生Windows二进制文件，但它们却由合法供应商（如Advanced Micro Devices、Realtek Semiconductor Corp和NVIDIA）进行了数字签名。它们的OriginalFileName元数据与磁盘上的名称不同，表明其故意伪装并滥用了受信任的签名以融入操作系统。

权限提升

墨龙结合了针对性漏洞利用和大量凭据窃取，以快速将本地控制提升至域级别的主导权。

• 通过漏洞利用进行本地提权：在多个事件中，初始的__VIEWSTATE 远程代码执行之后，会使用诸如PrintNotifyPotato之类的本地提权工具从Web服务器上下文获取SYSTEM权限。这使得攻击者能够完全控制主机，并有权创建持久化服务和更改防火墙设置。
• 凭据窃取和LSASS转储：操作员部署了自定义工具（我们观察到LalsDumper的变种）来创建LSASS转储，并将注册表配置单元（SAM, SYSTEM）提取到ProgramData或用户配置文件目录中以供离线破解。然后，转储文件和注册表配置单元导出被用于恢复NTLM哈希和Kerberos材料。
• 利用空闲会话：墨龙积极枚举关键服务器上的远程桌面会话和管理控制台。至少在一个实例中，攻击者找到了一个属于域管理员的空闲RDP会话，该会话是使用NTLMv2回退通过网络级别身份验证（CredSSP）进行身份验证的。由于该会话保持断开连接但未注销，LSASS很可能在内存中保留了相关的登录令牌和NTLM验证器。墨龙获得了对该主机的SYSTEM级别访问权限，提取了令牌（可能还有NTLM密钥材料），并重用它来执行经过身份验证的SMB操作。通过这些操作，他们能够写入管理共享并窃取NTDS.dit和注册表配置单元，这标志着他们实现了全域权限提升和控制。

启用出站通信

墨龙修改了主机防火墙规则以允许广泛的出站流量，并有效地将被入侵的主机转变为不受约束的数据渗出/代理节点。

该组织创建了一条宽松的出站规则，其标签模仿合法软件（我们观察到一条名为Microsoft MsMpEng的规则，与MsMpEng.exe关联），该规则允许所有配置文件中的任意地址到任意地址的出站流量。该规则是在本地创建的（而非通过组策略），已启用，并应用于SYSTEM上下文中的Defender进程。这绕过了上游的出口控制，否则这些控制会阻止自定义端口或隧道流量。

构建中继网络

在调查过程中，我们发现墨龙正在积极地将被入侵的组织转变为分布式ShadowPad中继网络中的功能性通信节点。这一能力由一个IIS监听器模块提供支持。该模块并非作为传统的后门，而是使恶意软件能够通过HttpAddUrl API直接注册新的URL监听器，该API允许进程动态绑定HTTP(S)端点，包括匹配所有子路径或主机名的通配符模式。这意味着恶意监听器与合法的IIS行为无缝共存，静默拦截任何与其配置匹配的传入HTTP请求。当请求到达时，该模块解密载荷并评估其结构是否符合其专有协议。如果不符合，则回退到真正的IIS逻辑，提供真实的网页内容或返回合法的错误代码。其结果是形成一个难以检测的植入程序，既能融入服务器的正常流量模式，又能完全控制其隐藏的C2通道。

更具战略意义的是该模块管理远程对等点的方式。监听器可以将外部IP地址分为两种功能角色：服务器和客户端。它会自动将每个列表中的节点配对，以在它们之间中继流量。一旦两个对等点匹配成功，被入侵的主机就变成了一个实时的转发点：来自“服务器”端的数据直接流式传输到“客户端”，响应也以相同方式返回，有效地将受害者转变为透明的通信桥梁。我们观察到多个实例，其中政府实体在不知不觉中充当了C2中继。在某些情况下，受害者机器被用作跳板，为在其他不相关的目标环境中活跃的ShadowPad客户端充当访问节点。这种连锁效应形成了一个多层级的、由被入侵基础设施组成的网状网络，允许操作员向下游植入程序发出命令，而无需与它们直接通信。

除了在构建大规模外部中继网络中的作用外，ShadowPad IIS模块还公开了常规的内部代理功能，旨在将命令路由到位于同一网络更深处的ShadowPad节点。当攻击者需要向没有直接外部可达性的植入程序传递指令时，IIS模块仅在内部中继流量，其行为类似于受感染环境内部的枢纽点。这个概念并不新颖，但其集成到合法的IIS工作进程中，使得恶意横向通信与正常的内部服务流量极难区分。

除了中继逻辑本身，该模块留下了异常丰富的取证痕迹：记录了它在外部和内部IP地址之间转发的字节数的调试字符串。这些字符串包括源地址、目标地址和载荷大小。在我们的调查中，这种遥测数据对于重建攻击者的通信图至关重要，使我们能够精确映射命令如何进入受害者、如何被中继以及哪些内部主机被卷入链条。如此细粒度的日志记录的存在，突显了中继机制在操作员工作流程中的核心地位：受害者不仅被入侵，而且被积极地重新利用为保持更广泛的ShadowPad基础设施连接在一起的通信桥梁。

这种架构增强了隐蔽性和生存能力。通过将命令路由通过无关的受害者，真实的控制IP永远不会暴露，网络防御者也难以区分恶意的跨组织流量与合法的政府间或基础设施间通信。最重要的是，每一个新被入侵的边界系统都可以立即被重新利用为另一个跳板，使墨龙能够在模糊命令流的来源和方向的同时扩大其行动范围。

工具与利用后组件

随着我们将分析范围扩展到初始访问载体之外，一个更广泛的工具集开始浮现。墨龙并非使用单一后门或整体框架进行运作；相反，其入侵活动包含一系列在不同操作阶段激活的专用组件。以下是我们恢复的利用后工具分解，从嵌入IIS的ShadowPad模块到基于调试器的加载器、凭据窃取植入程序以及长期命令与控制平台。

观察到的组件摘要

ShadowPad IIS监听器模块

模块初始化 在此次入侵中部署的ShadowPad IIS监听器模块是一个完全集成的组件，旨在伪装成合法IIS堆栈的一部分，同时悄无声息地提供命令与控制及中继能力。其配置块定义了多个操作参数，这些参数决定了它如何响应良性Web流量以及如何处理攻击者控制的消息。这些参数包括一个server type字符串（用于HTTP响应头）、一个document root路径和一个回退的error page路径。即使配置字段缺失，模块也会回退到现实的默认值——"C:\\inetpub\\wwwroot"、"C:\\inetpub\\custerr\\en-US\\404.htm"和"Microsoft-IIS/10.0"。这些值使模块能够与标准的Windows Server安装无缝融合。

配置中最重要的部分是模块将拦截的URL模式列表。这些模式以支持通配符的字符串形式存储，用分号分隔，并用于通过Windows HttpAddUrl API注册监听器。此API允许模块附加到任意的HTTP URL前缀，包括包含主机名或路径通配符的前缀，这使得监听器除非在操作系统级别枚举确切的绑定，否则难以被检测到。任何匹配这些模式之一的入站请求都会被捕获，并传递到模块内部的解密和消息解析例程。

不符合攻击者预期的加密结构的请求会被静默地作为正常的IIS流量处理：在可用时从配置的Web根文件夹提供静态文件，否则返回合法的错误页面。这种回退行为确保监听器在操作上保持隐蔽，呈现合法的外观，同时仍充当隐蔽的拦截点。

分离式命令架构 一旦请求通过模块的URL匹配、解密和结构检查，ShadowPad IIS监听器就会评估嵌入的命令ID。这些命令分为两大类，均由同一组件处理。

第一类包含负责构建和维护分布式中继网络的指令。其中包括将端点注册为“服务器”的命令、将端点注册为“客户端”的命令，以及配对节点、转发流量和维护驱动跳转通信模型的两个队列的逻辑。

第二类在目的上完全独立：一套完整的后门命令集，使操作员能够直接与本地系统交互。这些命令涵盖主机侦察、文件操作、数据收集、载荷部署、配置更新、进程控制和网络级别操作。换句话说，负责将被入侵机器链接到跨受害者中继链的同一模块，也能够在该主机上作为传统的ShadowPad后门完全运行。

分布式中继网络构建 最具战略意义的能力在于该模块在构建和维护操作员的分布式中继网络中的作用。IIS监听器维护两个并行的对等点注册表：服务器列表和客户端列表。节点可以通过专用的命令ID将自己添加到任一列表中。服务器列表中的条目每30秒重新验证一次，模块会发出确认以确认其持续可用性。放入客户端列表的节点行为不同；如果一个客户端在30秒内未配对，则会被自动清除以防止链接过时。

每当一个新节点插入其中一个列表，并且监听器检测到两个列表都至少包含一个活动条目时，它就会将第一个服务器节点与第一个客户端节点配对。此时，它会向服务器发送受害者的IP地址。在此握手之后，模块在两个套接字之间建立双向中继，将每个数据包从服务器→客户端和客户端→服务器进行传输，无需进一步处理。其结果是形成了一个完全透明的跳板，允许上游操作员向下游客户端传递命令，而无需直接与该客户端交互。

后门功能 ShadowPad的IIS监听器模块还包含ShadowPad客户端的功能，让攻击者能够在IIS机器上运行不同的命令。这个嵌入的命令集为操作员提供了对被入侵主机的广泛控制，支持从侦察到交互式访问再到载荷部署的一切操作。

这些命令ID的广度说明了ShadowPad的IIS监听器不仅仅是一个简单的流量转发器；它是一个自成一体的控制界面，既能维护分布式中继网络，又能对运行它的任何机器进行细粒度控制。这种双重性是墨龙操作理念的核心：具有中继能力的节点同时兼作功能完整的访问点，使操作员能够保持隐蔽的持久性、收集情报、部署额外工具并发出高特权指令，而永远不会暴露其真实的命令基础设施。

ShadowPad的后门暴露了一个广泛的命令界面，旨在让操作员完全、手动地控制系统。它从基本的编排功能开始，检索完整的命令映射、收集详细的系统快照、启动交互式反向shell，或在需要时干净地关闭植入程序。从那里开始，恶意软件提供了一个广泛的文件管理层，可以枚举驱动器、遍历目录、操作时间戳、按需创建或删除文件和文件夹，以及读取、写入、移动或下载数据。这辅以丰富的进程和服务控制功能，允许操作员列出和终止进程、检查加载的模块，并以与合法管理工具相同的精度启动、停止或删除Windows服务。

ShadowPad还支持多种执行模式，包括运行命令并捕获输出、生成具有完整屏幕缓冲区访问权限的交互式控制台进程，以及通过管道维护长时间运行的执行通道。网络方面同样强大：植入程序可以检查本地TCP/UDP表、更改网络条目，甚至通过在被感染主机上代理或隧道传输流量来充当枢纽点。实际上，这些功能将后门转变为一个完整的远程操作平台，将系统管理、间谍工具和隐蔽隧道融合到一个单一、紧密集成的模块中。

ShadowPad加载器

ShadowPad 是一个模块化、多层的后门框架，被广泛归因于中国国家背景的威胁组织，并经常用于长期的间谍活动中。ShadowPad允许操作员部署用于数据渗出、凭据窃取和横向移动的定制模块。

在墨龙的操作中，我们观察到许多ShadowPad部署遵循一个循环出现的侧加载结构：一个可执行文件、一个恶意的DLL和一个加密的TMP载荷。合法或伪装的可执行文件加载恶意DLL，而DLL又解密并直接从TMP文件在内存中执行ShadowPad核心，随后删除载荷以最小化取证痕迹。

墨龙ShadowPad加载器中的一个值得注意的细节是，不同事件中的许多恶意DLL共享相同的通用名称DLL.dll。这些DLL加载器是基于MFC的二进制文件，其中的恶意代码使用ScatterBrain进行了高度混淆。

一旦执行，这些加载器会对存储在同一目录中的配置数据和载荷进行即时解密。

CDB加载器

墨龙最具特色的TTP之一是利用微软调试器（cdb.exe）作为执行宿主。

操作员不是启动典型的EXE，而是运行一个WinDbg/CDB脚本化会话，例如：c:\users\public\cdb.exe -cf C:\Users\Public\config.ini -o C:\Users\Public\cdb.exe。

随附的config.ini并非无害的INI文件。它包含一系列内存编辑/写入字节的命令，然后是指令指针（RIP）的更改，以便执行在攻击者控制的shellcode处继续。接着，该shellcode从磁盘读取一个辅助文件（wmsetup.log），用硬编码在shellcode中的AES密钥解密它，并将真正的载荷加载到内存中执行。在载荷运行后，调试器实例和辅助文件通常会被删除，只留下短暂的内存驻留代码。

LalsDumper

LalsDumper 是墨龙在其多次入侵活动中观察到的内部LSASS提取链。该序列始于一个小的加载器（lals.exe），它操作同一文件夹中的伴随DLL（fdp.dll）。加载器在fdp.dll内部定位一个占位符（32个‘d’字符），用辅助文件（rtu.txt）的路径覆盖该占位符，并生成一个名为nfdp.dll的修补后的DLL。

关键是，加载器调用AddSecurityPackageA来注册该DLL作为安全支持提供程序（SSP），以便lsass.exe会加载它，这是一种迫使LSASS自身加载攻击者代码（进程内）的技术。

已注册的DLL读取rtu.txt，应用简单的与0x20的XOR操作来恢复第二个载荷，然后将该载荷映射到内存中。该载荷实现了一个自定义的类似MiniDumpWriteDump的例程（不直接使用Windows API）来创建lsass.exe的压缩转储，写入一个类似ZIP的转储文件，命名为<%TEMP%>\<pid>.ddt。

该链使用直接系统调用（运行时哈希）来规避基于API的挂钩和EDR检测。

DLL公开了一个名为Tom的函数，该函数作为载荷的运行时入口点，并协调加载器的核心逻辑：当被调用时，Tom在系统TEMP文件夹中创建一个文件，使用受害者进程ID命名（例如%TEMP%\<pid>.ddt），捕获lsass.exe的内存转储，并使用ZIP风格的存档格式将该转储写入.ddt文件。

032加载器

032加载器 是一个基于侧加载的加载器，它使用主机特定的熵来解密和执行载荷。在由合法可执行文件侧加载后，加载器会修补宿主EXE的代码流，以便在加载后立即将控制权转移到其自身的逻辑。

然后，加载器从注册表中查询系统的InstallDate，并从该值派生出一个解密密钥。它使用InstallDate作为RC4（或类RC4）解密的种子，对第三个文件的二进制大对象（加密的载荷）进行解密，通常通过SystemFunction032 API访问以执行解密步骤。一旦解密，加载器通过CreateFileMappingW/MapViewOfFile映射载荷，并使用VirtualProtect调整内存保护，然后将执行转移到内存中的载荷。

FinalDraft：新版本

FinalDraft 是一个设计精良、功能齐全的远程管理工具，能够接受附加模块以扩展功能并在内部代理网络流量，主要通过Microsoft Graph API滥用Outlook邮件服务。我们分析的样本和行为与之前的公开报告一致，但墨龙的部署显示其功能持续扩展，并经过精心的操作调整以减少遥测数据并最大化韧性。

FinalDraft首先定位并解密其配置块。配置使用从主机ProductId派生的哈希（使配置具有每台机器的特性）或硬编码字符串的哈希进行XOR加密。

一旦解密，配置会暴露植入程序的唯一GUID、首选的通信传输方式、用于消息加密的AES密钥、C2端点和刷新令牌以及其他操作元数据。

我们观察到最常用的传输方式是COutlookTrans，它利用Microsoft Graph API（令牌端点为https://login.microsoftonline.com/common/oauth2/token）将命令与控制流量隐藏在合法的云邮件流中。FinalDraft使用嵌入其配置中的刷新令牌来获取OAuth访问令牌，并将其本地存储在HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UUID\下供以后使用。命令和响应以电子邮件草稿（主题以r_<session_id>和p_<session_id>开头的消息）的形式交换。这些消息中的载荷经过Base64编码、AES加密（使用配置密钥）和压缩，这有助于操作员将指令隐藏在原本正常的邮箱数据中，并绕过对Microsoft云端点进行白名单过滤的网络过滤措施。

FinalDraft实现了一个模块化的命令框架，操作员将编码的命令文档推送到受害者的邮箱，植入程序拉取、解密并执行它们。除了标准工具集（进程/服务控制、文件/注册表访问、隧道传输和文件传输），我们分析的墨龙变种引入了几个扩展功能，增加了隐蔽性、操作控制和数据窃取效率。

• 灵活的信标调度：该恶意软件支持高度细粒度的回调控制，允许操作员定义每日信标窗口或指定植入程序尝试联系其C2的明确时间列表。这种基于计划的设计有助于将命令流量融入可预测的操作模式。
• RDP活动窃取：DumpRDPHistory 提取出站和入站RDP使用的证据。
  • RDP出站（出站RDP目标） – 用户注册表配置单元中类似MRU的条目，记录用户连接过的服务器（内置RDP客户端的最近服务器列表）。对于每个条目，该工具读取UserNameHint和注册表项的最后写入时间，生成类似这样的行：<ServerName>:<UserNameHint>:<Timestamp>。该数据是从HKCU\SOFTWARE\Microsoft\Terminal Server Client\Servers\<ServerName>\查询的。
  • RDP入站（入站RDP会话） – 来自终端服务本地会话管理器操作通道的事件日志条目，记录会话连接/断开事件。该工具查询Windows事件日志（通过EvtQuery/Get-WinEvent）获取事件ID 21（远程桌面服务：会话登录成功）和25（断开连接/其他会话事件，取决于Windows版本）。从中提取类似这样的记录：<UserName>:<IP>:<TimeStamp>。
• 安全控制降级：几个命令有意削弱Windows安全态势以协助持久化和横向移动：
  • DisableRestrictedAdmin – 使RDP连接使用可重用的凭据或委派令牌进行身份验证，启用凭据跳跃而非“受限”模式身份验证。这使得RDP对横向移动更具吸引力，因为已经控制了一个端点的攻击者可以使用本地凭据或窃取的哈希发起受限管理员连接，跳转到其他系统而无需明文密码。
  • DisableTokenFiltering – 禁用远程令牌过滤，以便本地管理员账户通过网络接收完整而非受限的管理员令牌。这使得攻击者能够使用重用或窃取的本地凭据执行真正的远程管理操作，而无需域凭据。
  • EnableDSRMAdmin – 允许强大的DSRM恢复账户登录，即使域控制器不处于目录服务还原模式。这为攻击者提供了一种强大的、审计较少的方式，使用原本很少监控的凭据或哈希来获取域控制器的完全本地控制。
  • DisableRunAsPPL – 移除进程保护级别保护，允许对受保护进程（如AV/EDR组件）进行注入和篡改。攻击者这样做是为了击败终端防御（允许内存中加载器、挂钩或实时修补AV和EDR组件）、通过替换已签名二进制文件实现持久化，或从通常受保护的进程中提取秘密。
• 高吞吐量数据渗出：BackgroundFileTransfer 引入了一个专用的异步工作器，用于大规模数据渗出。它以相当大的数据块流式传输数据，在后台报告进度，并最大限度地减少所需的出站连接数。这对于通过云代理通道移动大型存档而不引起注意非常理想。
• 主机分析与资产清点：墨龙将多个侦察例程（如系统指纹识别、适配器枚举和已安装软件收集）整合到统一的主机配置文件中。这捕获了IP配置详细信息（类似于ipconfig /all）、网络适配器元数据、已安装的应用程序（来自HKLM和HKCU的卸载项）、系统标识符（MachineGuid、ProductId、InstallDate和系统运行时间）以及其他对受害者分类和定位有用的指标。

受害者分析

墨龙的目标选择模式显示出对政府组织的一贯重视，但除了这一共同特征外，没有明确的指标表明该组织如何选择其受害者。大多数受影响的组织似乎服务于该组织的特定操作目的，而非反映广泛的、全行业的针对性攻击。

从地理上看，墨龙一直重点关注东南亚和非洲的政府实体，并在最近几个月将其活动扩展到欧洲。自2025年7月ToolShell漏洞利用浪潮以来，该组织稳步增加了其在该地区的活动，越来越集中于欧洲政府部门的 目标。墨龙技术的一个关键方面是使用被入侵的组织作为C2中继节点。因此，我们观察到欧洲受害者不仅被用来针对其他欧洲机构发起活动，还被用来针对非洲和东南亚的目标。

与 RudePanda / REF3927 活动的重叠

在我们的调查中，我们还观察到第二个入侵集的证据，该入侵集通常被追踪为RudePanda / REF3927，出现在几个与墨龙入侵的相同的受害者环境中。虽然我们评估这些活动集群在操作上没有关联，但受害者重叠是值得注意的：两个组织都利用了相同的面向互联网的服务器漏洞来在相同的组织和系统中获得立足点。

在获得访问权限后，RudePanda依赖于其惯用的工具集，其中包括：

• 源自Godzilla的webshell，用于执行内存中的.NET载荷和部署次要组件。
• 属于 TOLLBOOTH 家族的恶意IIS模块，将命令与控制逻辑直接嵌入到Web服务器的处理管道中。几个模块包含对dongtai的PDB引用，与之前公开报告中记录的工具一致。
• 对IIS applicationHost.config的配置篡改，将其与之前的快照进行简单比对即可暴露未经授权的模块插入。

此外，该组织部署了一个内核模式rootkit驱动程序wingtb.sys（哈希：2965ddbcd11a08a3ca159af187ef754c），它是Winkbj.sys的修改和签名变种。其安装使用了一个INF文件（Hidden.inf），将服务命名为“Wingtb”。该驱动程序源自开源的“Hidden”rootkit项目，用于在系统上激活后隐藏文件、进程和注册表项。

最后，在磁盘上恢复了几个引用操作员后门套件的.lnk痕迹，这些痕迹与HarfangLab和Elastic之前记录的GoToHTTP工具一致。虽然原始载荷已被删除，但这些链接文件作为RudePanda存在的额外指标。

结论

墨龙的操作说明了现代间谍集群如何武器化被入侵的基础设施。该组织不是将每个受害者视为需要监控或窃取数据的端点，而是系统地将每个被攻破的边界服务器纳入一个分布式ShadowPad中继结构。IIS监听器模块位于这一战略的核心：一个隐蔽的、低摩擦的组件，绑定隐藏的URL前缀，在不中断合法服务的情况下拦截流量，并悄无声息地将受害者链接在一起，形成一个多跳的通信网格。

这种架构在几个方面改变了威胁态势。首先，它赋予操作员弹性的命令路径，而不依赖于固定的基础设施。即使下游植入程序没有互联网可达性，或者上游服务器被封锁，攻击者也可以简单地通过其他受害者重新路由。其次，它提供了自然的操作伪装。在无关的政府或企业网络之间隧穿的流量表面看起来是良性的，并且经常融入预期的组织间HTTP流量特征中。第三，它实现了对被入侵资产的战略性重用：一旦一个主机被注册为ShadowPad中继，它就成为一个持久的枢纽点，即使在初始入侵很久之后，仍继续为攻击活动服务。

攻击链的其余部分强化了这一设计理念。成熟的侧加载模式、模块化加载器三元组、内存驻留载荷、隔离的权限提升和严谨的凭据窃取都服务于一个目的：建立持久的、高特权的访问权限，时间足够长，以便将受害者转变为可靠的基础设施。无论是部署FinalDraft、分阶段部署ShadowPad加载器，还是提取全域的秘密，每一个行动都反馈回墨龙赖以在不同环境中维持持久性的更广泛的通信网格中。

综上所述，墨龙呈现了一种威胁模型，其中“受感染主机”与“命令基础设施”之间的界限已不复存在。每个立足点都成为更大的、由操作员控制的网络中的一个节点——一个随着每一个新增受害者而变得更加强大的、有生命力的网格。因此，防御者必须将入侵不仅视为局部漏洞，还应视为外部、由攻击者管理的生态系统中的潜在环节，除非整个中继链被识别和拆除，否则关闭单个节点是不够的。墨龙以中继为中心的架构是迄今为止观察到的更成熟的ShadowPad应用之一。这是一个基于受害者本身构建长期、多组织访问的蓝图。