文章总结： 伊朗APT42组织利用TAMECAT无文件PowerShell后门锁定国防高官实施间谍活动。该恶意软件驻留内存且高度模块化，通过长期社会工程学攻击植入，能窃取浏览器数据、截屏及扫描文件。其利用VBScript规避检测并借助Telegram等多渠道进行C2通信。防御者应重点监控PowerShell异常行为及合法服务流量。 综合评分： 86 文章分类： 恶意软件,威胁情报,社会工程学

TAMECAT恶意软件曝光，伊朗APT42无文件后门锁定国防高官

FreeBuf

2026年2月5日 18:05 上海

一项针对国防和政府高级官员的复杂网络间谍活动已被证实与伊朗国家支持的 APT42（高级持续性威胁组织）有关，该组织隶属于伊朗伊斯兰革命卫队（IRGC）。此次攻击的核心是 TAMECAT——一款采用模块化设计的 PowerShell 后门程序，专门窃取敏感数据且能规避检测。

Pulsedive 威胁研究团队援引以色列国家数字局的最新分析报告，揭示了这款”无文件”恶意软件的内部运作机制。

Part01

长期潜伏的社会工程攻击

与”打了就跑”的网络攻击不同，APT42 展现出极强的耐心。该组织通过精心设计的社会工程手段与目标建立信任关系——通常伪装成 WhatsApp 等平台上的可信联系人，随后才发起攻击。

“该组织通过长期社会工程与受害者建立信任关系，随后才渗透其系统环境。”

—— Pulsedive 威胁研究团队 / 以色列国家数字局

这种人本攻击模式使其能够诱使高价值目标主动点击恶意链接，从而绕过传统边界防御。

Part02

内存驻留的模块化恶意框架

攻击者渗透成功后即部署 TAMECAT，这款基于 PowerShell 的恶意框架主要驻留在内存中。分析显示其工具集专为情报收集设计：

“以色列国家数字局披露了 TAMECAT 内存模块的详细功能，包括通过远程调试从 Microsoft Edge 提取数据、屏幕截图以及暂停 Chrome 进程实施数据收集。”

—— Pulsedive 威胁研究团队

TAMECAT 功能细节图 来源：以色列国家国防局

该恶意软件采用模块化设计，攻击者可按需启用特定功能，已识别关键模块包括：

• 浏览器模块：窃取 Chrome、Edge 和 Firefox 的 cookies 及历史记录
• 屏幕模块：捕获受害者桌面截图
• 文件爬虫模块：扫描文件系统获取目标文档

Part03

多阶段感染链与隐蔽通信

感染链始于对受害者设备执行”健康检查”的 VBScript 文件。它会扫描已安装的杀毒软件以决定后续操作——若存在 Windows Defender 则通过conhost启动 PowerShell，否则使用curl。

加载器nconf.txt（托管于tebi.io）采用多重混淆和加密技术隐藏真实意图，通过 Gorba、Borjol 等自定义函数处理 AES 加密和数据操作：

• AES 加密：使用硬编码的 256 位密钥（kNz0CXiP0wEQnhZXYbvraigXvRVYHk1B）保护配置和窃取数据
• C2 基础设施：通过 Cloudflare Workers、Discord、Telegram 和 WebDAV 服务器等多种渠道与控制端通信，伪装成合法流量

Part04

Telegram 集成与指令控制

TAMECAT 最显著的特征是与 Telegram 的深度集成。该恶意软件通过监听 Telegram 机器人特定关键词触发操作：

• Invest：可能关联有效载荷下载
• Scene与Look：关联特定工作域名的指令
• #Journey：用于设置解密密钥

“以色列报告显示，TAMECAT 被用于针对国防和政府高级官员的间谍活动。”

—— Pulsedive 威胁研究团队

APT42 对 TAMECAT 的使用标志着攻击者正转向更隐蔽、易更新的模块化内存恶意软件。对防御方而言，这凸显了监控 PowerShell 活动及审查 Telegram、Cloudflare 等可信服务流量的重要性。

参考来源：

TAMECAT Exposed: APT42’s Fileless Backdoor Targets Defense Chiefs

TAMECAT Exposed: APT42’s Fileless Backdoor Targets Defense Chiefs

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《TAMECAT恶意软件曝光，伊朗APT42无文件后门锁定国防高官》