https://blog.qife122.com/tags/khepri-c2/ Recent content in Khepri C2 on 办公AI智能小助手 Hugo zh-cn qife Wed, 17 Sep 2025 15:21:13 +0800 https://blog.qife122.com/p/macos.zuru%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6%E9%87%8D%E7%8E%B0%E6%B1%9F%E6%B9%96-%E4%BF%AE%E6%94%B9%E7%89%88khepri-c2%E9%9A%90%E8%97%8F%E5%9C%A8%E7%AF%A1%E6%94%B9%E7%9A%84termius%E5%BA%94%E7%94%A8%E4%B8%AD/ Wed, 17 Sep 2025 15:21:13 +0800 https://blog.qife122.com/p/macos.zuru%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6%E9%87%8D%E7%8E%B0%E6%B1%9F%E6%B9%96-%E4%BF%AE%E6%94%B9%E7%89%88khepri-c2%E9%9A%90%E8%97%8F%E5%9C%A8%E7%AF%A1%E6%94%B9%E7%9A%84termius%E5%BA%94%E7%94%A8%E4%B8%AD/ <h1 id="macoszuru重现江湖--修改版khepri-c2隐藏在篡改的termius应用中">macOS.ZuRu重现江湖 | 修改版Khepri C2隐藏在篡改的Termius应用中</h1> <p><strong>2025年7月10日</strong><br> <strong>作者：Phil Stokes &amp; Dinesh Devadoss</strong></p> <p>macOS.ZuRu后门最初于2021年7月由一名中国博主发现，当时通过百度搜索结果中的恶意链接分发。用户搜索流行的终端模拟器iTerm2时，会被重定向到一个托管特洛伊木马化版本应用的恶意网站。随后的ZuRu变种采用相同模式，针对其他流行的macOS实用程序（包括SecureCRT、Navicat和Microsoft的Remote Desktop for Mac）在百度搜索结果中投毒。这些被篡改的应用选择表明，恶意软件作者的目标是使用SSH和其他远程连接工具的后端工具用户。</p>