文章总结： SeqriteLabs揭露针对阿根廷司法系统的隐蔽访问行动。攻击者利用伪造法庭决议的鱼叉式钓鱼邮件，通过恶意LNK文件触发PowerShell从GitHub下载基于Rust语言的定制RAT。该恶意软件隐藏于Edge目录，具备反虚拟机分析、文件窃取及潜在的勒索加密功能。此事件展示了高逼真社会工程学与先进规避技术结合对高价值机构的威胁。 综合评分： 78 文章分类： 威胁情报,恶意软件,红队,应急响应

Rust RAT 渗透阿根廷司法系统

原创

ZM ZM

暗镜

2026年1月22日 09:00 北京

一项针对阿根廷司法系统核心的极其复杂的网络间谍活动被发现。Seqrite Labs 的研究人员将这项活动命名为“隐蔽访问行动”（Operation Covert Access），该活动利用一种基于 Rust 语言的隐蔽远程访问木马 (RAT) 渗透司法机构，并使用逼真到连法律专业人士都可能上当的诱饵文件。

攻击者通过包含 ZIP 压缩文件的鱼叉式网络钓鱼邮件发起感染链。受害者打开压缩文件后，会发现看似重要的司法通知。

根据Seqrite Labs的分析，这份诱饵文件并非通用模板，而是高质量的伪造品。“此次行动中使用的诱饵文件是一份看似合法的阿根廷联邦法院决议，以正式的法律西班牙语撰写。”

该文件援引了真实的司法机构，特别是“第二刑事和惩戒口头法庭”，并讨论了诸如预防性拘留审查和有条件释放等敏感的法律问题。报告指出，“其结构、术语和格式与真实的法院判决高度吻合，显著提高了其在法律和司法专业人士中的可信度”。

当受害者查看法院判决书时，一个复杂的感染过程正在后台运行。攻击始于用户点击伪装成 PDF 的恶意 LNK 文件。这将触发一个隐藏的 PowerShell 命令，该命令会连接到 GitHub 代码库以下载下一阶段的有效载荷。

攻击者滥用合法基础设施来掩盖其活动。“批处理文件会建立与 GitHub 托管 URL 的连接，并检索第二阶段的有效载荷”，从而使恶意软件能够混入正常的网络流量中。

此次攻击的核心是一个用 Rust 语言编写的定制远程访问木马 (RAT)。Rust 是一种编程语言，因其高性能和强大的规避能力而日益受到网络犯罪分子的青睐。为了避免被检测到，该恶意软件会将自身重命名为 msedge_proxy.exe，并隐藏在 Microsoft Edge 用户数据目录中。

一旦激活，远程访问木马（RAT）会执行广泛的检查，以确保自身未被监视。它会扫描 VMware 和 VirtualBox 等虚拟化软件，并检查 Wireshark 或 Fiddler 等分析工具。“如果存在任何此类路径——通常是与虚拟机、分析工具或沙箱相关的目录或文件——则条件成立，恶意软件会立即终止相关进程。”

这款远程访问木马的功能令人担忧。它支持模块化命令集，允许攻击者保持持久性、窃取文件，甚至提升权限。更令人不安的是，该恶意软件包含加密命令，这表明它可能同时用于间谍活动和勒索软件攻击。

该恶意软件接收类似 _ENCRYPT_:_DECRYPT_ 的 C2 命令……它会检查 ransomware.enc（加密的 DLL）和 ransomware.key，然后使用提供的密钥解密 DLL”。

这种功能意味着攻击者可以很容易地从窃取敏感的法律数据转向锁定整个网络。

攻击者将高度逼真的社会工程与先进的技术规避相结合，创造了一种强大的工具，可以用来入侵高价值目标。

正如 Seqrite Labs 在其报告中总结的那样，“隐蔽访问行动表明，如何利用以司法为主题的鱼叉式网络钓鱼，结合武器化的 LNK 文件和隐蔽的远程访问木马 (RAT)，在高度信任的机构环境中建立长期访问权限”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Rust RAT 渗透阿根廷司法系统》