文章总结： 工信部CSTIS监测发现MuddyWater组织针对关键行业实施网络攻击，通过鱼叉邮件投递伪装PDF或含宏DOC文档释放UDPGangster后门，实现持久化与远程控制。建议用户禁用Office宏、部署邮件网关沙箱深度检测，并实时监控注册表启动项异常写入。 综合评分： 88 文章分类： 威胁情报,恶意软件,应急响应,漏洞预警,社会工程学

---

关于防范MuddyWater组织网络攻击的【风险提示】

CSTIS CSTIS

安小圈

2026年1月23日 08:46 上海

---

安小圈

第842期

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，MuddyWater组织近期针对政府、军事、电信、能源等机构实施网络攻击，窃取系统凭证、机密文件等敏感数据。

    攻击者通过鱼叉邮件投递双重伪装载荷，一类是伪装成PDF文档的可执行文件（如“xxx.pdf.exe”），另一类则在DOC文档中嵌入恶意宏代码。一旦受害者误启PDF文档，伪装文档将立即释放UDPGangster后门（MuddyWater组织的UDP后门，支持远程控制、窃密等）到本地。对于嵌入恶意宏代码的DOC文档，一旦打开，宏代码将会被静默执行并从自身解密释放后续载荷，将其保存为txt文件后重命名为装载UDPGangster的novaservice.exe可执行文件。攻击载荷成功在内存部署后门后，UDPGangster会将自身复制为SystemProc.exe，并通过写入注册表HKCU…\UserShellFolders\Startup实现自动启动。同时，MuddyWater组织采用动态C2连接策略，优先读取本地配置文件，失败则回退至硬编码C2地址。后门程序会收集主机名、工作组、系统版本及用户名等数据，加密回传至服务端，最终建立对目标主机的远程控制。

    建议相关单位及用户立即禁用Office宏执行策略，阻断恶意文档释放攻击载荷；部署邮件网关动态沙箱，深度检测伪装PDF的可执行文件及带宏文档；实时监控注册表路径HKCU\Software…\UserShellFolders\Startup异常写入，清除SystemProc.exe后门持久化项。

相关IOC信息

MD5：

07502104c6884e6151f6e0a53966e199

409d02d6153af220e527fd72256ee3a5

561b2983d558283c446ff674ff6138c3

7bfbc76c7eeb652d73b85c99ee83b339

9e06b36f4da737b8d699a6846c2540e9

a39f74247367e0891f18b7662c8e69b5

a546d2363a4b94e361d0874b690c853b

a9235540208fa6a25614c24a59e19199

aa75a0baebc93d4ca7498453ef64128a

bed77abc7e12230439c0b53dd68ffaf7

d84812961fc7cd8340031efd7b5508a8

dd6af28d1a03193fc76001b04d5827cc

de14abbda6a649d9ec90a816847f95db

e09a720574a6594b1444ebc1d6cca969

e5dd608292b6f421b0c108816d25fc5e

SHA256：

7ea4b307e84c8b32c0220eca13155a4cf66617241f96b8af26ce2db8115e3d53

aea51eaafacd03ade98875b107481d46a8f79ea9d903172b2ed8458c785a8273

d766a8ff123449a8c87fb3570c885439ccfd7d6151847d6d1f44ee7a59c4845c

ff62c294a2bcfee0d291b15ff1fd1733d08ab901281acf9c089f4662b4002a69

SHA1：

0543e6c36ca89e5d3e13656af0d1b4af0b7585c9

7bb0d162bbaa462c516502d1db56818d24ad825f

903e97ee731796fde34153c71eb718a1015ba358

d00280f07f2159adb16d8f76b7838e3e86773a7e

关联域名：

157[.]20[.]182[.]75[:]1269

64[.]7[.]198[.]12[:]1259

关联IP地址：

157[.]20[.]182[.]75

64[.]7[.]198[.]12

END

【以上内容来源自：网络安全威胁与漏洞信息共享平台】

某国产操作系统资深开发者，因不穿西装被开除

看完本文再也不怕网安通报“明文传输” “TLS版本低”漏洞了

两名网络安全专家利用勒索软件攻击企业 委托自己联系自己谈赎金

**聊一聊网络安全公司的内部争斗

• 国家出手！网络安全产业低价中标乱象能否终结？

• 网络安全行业还会好起来吗?**

---

*** *《网络安全法》完成修改，自2026年1月1日起施行*

• 网络安全法修改了哪些内容？（附详细对照表）

• 全球三大网络安全巨头同时被黑

• 网安：亏损 TOP 10

• 中国联通DNS故障敲响警钟：DNS安全刻不容缓

• 全球超120万个医疗系统公网暴露：患者数据或遭窃取 中国亦受影响

• 个人信息保护负责人信息报送系统填报说明（第一版）全文

• 高度警惕：不明黑客组织攻击中国国防、能源、航空、医疗、网安等重点行业

• 攻防演练在即：如何开展网络安全应急响应

• 【攻防演练】中钓鱼全流程梳理

• [一文详解]网络安全【攻防演练】中的防御规划与实施

• 攻防必备 | 10款国产“两高一弱”专项解决方案

• 【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单

• 攻防演练在即，10个物理安全问题不容忽视

• 红队视角！2024 | 国家级攻防演练100+必修高危漏洞合集(可下载)

• 【攻防演练】中钓鱼全流程梳理

• 攻防演练在即：如何开展网络安全应急响应

• 【零信任】落地的理想应用场景：攻防演练

• 网安同行们，你们焦虑了吗？

• # 网安公司最后那点体面，还剩下多少？

• 突发！数万台 Windows 蓝屏。。。。广联达。。。惹的祸。。。

• # 权威解答 | 国家网信办就：【数据出境】安全管理相关问题进行答复

• # 全国首位！上海通过数据出境安全评估91个，合同备案443个

• # 沈传宁：落实《网络数据安全管理条例》，提升全员数据安全意识

• 频繁跳槽，只为投毒

• 【2025】常见的网络安全服务大全（汇总详解）

• AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿)，附下载

**

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安小圈 CSTIS CSTIS《关于防范MuddyWater组织网络攻击的【风险提示】》