伊朗黑客瞄准韩国大型电子制造商

与伊朗有关联的黑客组织 MuddyWater（又名 “种子蠕虫” Seedworm、“静态小猫” Static Kitten ）发起了一场大规模的网络间谍活动，目标至少涉及多个行业和国家的 9 家知名机构。

受害者包括韩国一家大型电子制造商、政府机构、中东的一个国际机场、亚洲的工业制造商以及教育机构。

赛门铁克（Symantec）的研究人员表示，该威胁行为者 “在 2026 年 2 月潜入韩国一家大型电子制造商的网络长达一周时间”。

赛门铁克的威胁追踪团队认为，此次攻击背后是情报驱动，重点在于窃取工业和知识产权、开展政府间谍活动以及获取对下游客户或企业网络的访问权限。

对 Fortemedia 和 SentinelOne 的滥用

“种子蠕虫” 的攻击活动严重依赖 DLL 侧加载技术，这是一种常见手段，即让经过签名的合法软件加载恶意 DLL 文件。

此次攻击中利用的两个二进制文件分别是 “fmapp.exe”，它是 Fortemedia 公司一款合法的音频工具，以及 “sentinelmemoryscanner.exe”，这是 SentinelOne 公司的一个合法组件。

恶意 DLL 文件（fmapp.dll 和 sentinelagentcore.dll）包含 “ChromeElevator”，这是一款常见的后渗透利用工具，用于窃取基于 Chrome 浏览器存储的数据。

赛门铁克还发现，在以往 “种子蠕虫” 攻击中使用过的 PowerShell，在近期事件中仍被大量使用，尽管有效载荷是通过 Node.js 加载器间接控制，而非直接控制。

PowerShell 被用于截取屏幕截图、进行侦察、获取更多有效载荷、实现持久化控制、窃取凭证以及创建 SOCKS5 隧道。

对韩国公司的攻击

根据赛门铁克的观察，对这家韩国电子制造商的攻击发生在 2 月 20 日至 27 日之间。研究人员并未披露目标组织的名称。

在第一阶段，“种子蠕虫” 进行主机和域侦察，随后通过 WMI 进行杀毒软件枚举、截取屏幕截图并下载更多恶意软件。

通过伪造的 Windows 提示、注册表配置单元窃取（SAM/SECURITY/SYSTEM）以及 Kerberos 票据滥用工具来实现凭证窃取。

通过修改注册表实现持久化控制，每 90 秒进行一次信标通信，并反复重新启动侧加载的二进制文件以维持访问。

研究人员表示：“这种节奏再次表明这是植入程序驱动的活动，而非有操作人员持续在场。”

攻击者利用公共文件共享服务 sendit.sh 进行数据渗出，此举可能是为了掩盖恶意活动，使其看起来像正常流量。

总体而言，赛门铁克发现，此次 “种子蠕虫” 的最新活动值得关注，因其攻击范围在地域上有所扩大，行动更加成熟，且对合法工具和服务的滥用表明他们正转向更为隐蔽的攻击方式。