隐秘黑客组织"Mysterious Elephant"针对亚洲外交圈

最近，一个名为"Mysterious Elephant"的隐秘黑客组织正在攻击亚洲外交圈。

Mysterious Elephant是亚太地区最活跃的高级持续性威胁（APT）组织之一。该组织最初由卡巴斯基全球研究与分析团队（GReAT）于2023年发现，现已发展成为一个高度熟练的网络间谍网络，针对南亚和东南亚的外交和政府机构。

威胁的起源与发展

Mysterious Elephant最初因其攻击特征与Confucius APT组织相似而被识别，但其混合策略很快使其脱颖而出。研究人员发现，该恶意软件结合了多个威胁参与者的代码，包括SideWinder、Confucius和Origami Elephant，表明当地网络犯罪生态系统内存在资源共享或合作。

与前辈不同，Mysterious Elephant并非简单地重复使用旧工具，而是重新设计并增强了这些工具。该团队改进了已停用的模块，如Vtyrei（该模块曾在之前的亚洲间谍行动中使用），以创建更强大和隐蔽的攻击框架。

2025年新策略：定制恶意软件、PowerShell和网络钓鱼

2025年初，该组织的战术、技术和程序（TTPs）发生了重大变化。他们的主要渗透技术变成了鱼叉式网络钓鱼，其中高度定制化的电子邮件模仿了官方外交信函。

主要目标包括巴基斯坦、孟加拉国、尼泊尔、阿富汗和斯里兰卡的政府机构，这些机构收到了与全球或政治事件相关的伪造文件。

为了诱骗官员打开受感染的附件，一个诱饵文件提到了巴基斯坦申请联合国安理会非常任理事国席位（2025-2026年）的事宜。

进入网络后，攻击者使用PowerShell脚本下载有效负载、运行秘密操作并建立持久性。这些脚本使用curl和certutil等实用程序与攻击者控制的服务器交互，同时伪装成标准管理任务。

高级工具：WhatsApp数据窃取、MemLoader和BabShell

该组织现在拥有更专业化的工具包。

其新工具包括BabShell，这是一个C++反向shell，允许在受感染计算机上实时执行命令。它通过收集系统信息、生成执行线程并将结果发送到其命令与控制（C2）服务器，基本上为黑客提供了完全的交互控制。

MemLoader Edge和MemLoader HiddenDesk是感染链中的关键加载器。

HiddenDesk生成隐藏的虚拟桌面用于操作，将有效负载直接加载到内存中以逃避检测，并使用独特的类RC4加密来解密数据。MemLoader Edge嵌入VRat后门，探测bing.com:445以进行沙箱检测，并仅在安全时运行有效负载。

该组织窃取WhatsApp对话的能力是一项特别令人担忧的创新。攻击者使用专门的渗出工具，如Uplo Exfiltrator、Stom Exfiltrator和ChromeStealer Exfiltrator，来捕获通过WhatsApp Desktop交换的信息，包括对话数据、文档、图像和档案。这些程序对窃取的数据进行加密，使用隐蔽的网络协议将其上传到C2服务器，并递归搜索磁盘和系统文件夹以查找敏感文件类型。

受害者概况和基础设施

为了隐藏其踪迹，Mysterious Elephant使用基于云的主机和通配符DNS来运行一个由轮换域名和虚拟私有服务器组成的动态基础设施。这种灵活性使其能够不断更改其攻击服务器，并在安全对抗措施中保持领先。

根据受害者分析，攻击主要集中在南亚，主要是政府机构、外交使团和外交部。攻击者为每个受害者定制有效负载，并经常结合区域政治或行政主题以增加可信度。

危及国家安全

网络专家表示，Mysterious Elephant攻击的范围和精确度表明这是一场长期的间谍活动，而非短暂的金融犯罪。被盗数据包括政府文件和外交信函，对该地区的地缘政治稳定和国家安全构成严重威胁。

尽管该组织的策略经常变化，但卡巴斯基研究人员强调，反复出现的主题，包括使用定制加载器、加密渗出和针对性网络钓鱼，仍然是其活动的核心。

为了应对这一持续威胁，鼓励政府和机构实施网络安全培训，执行严格的补丁管理计划，并加强网络监控。国际机构之间的合作对于监控和阻止Mysterious Elephant不断发展的行动仍然至关重要。