文章总结： 瑞士电信方案商爱康的技术工单系统遭骇猫勒索团伙入侵，约44GB数据含源代码与机密文件被盗。攻击者利用信息窃取木马获取Jira凭证实施渗透，手法隐蔽且具产业链特征。文章建议企业强制定期修改密码、敏感系统启用多因素认证及严管第三方访问权限，以防凭证复用与内部协作平台成为突破口。 综合评分： 83 文章分类： 安全大事件,数据泄露,威胁情报,内网渗透

骇猫勒索团伙入侵爱康技术工单系统

原创

匿名 匿名

夯磅棱

2026年2月27日 09:50 北京

瑞士电信方案提供商爱康公司的技术工单系统被知名的“骇猫”勒索团伙攻破，约44GB数据被盗。这次攻击再次凸显了攻击者利用老旧但有效的凭证，通过Jira等项目管理平台进行横向渗透的巨大威胁。

工单系统成了突破口

事情发生在2025年3月16日。瑞士电信解决方案公司爱康的技术支持工单系统，被黑客团伙“骇猫”给拿下了。

爱康公司很快就承认了这件事。他们对外说，除了这个工单系统，别的IT系统和客户环境都没受影响，业务照常跑。调查已经启动，也在配合相关部门。爱康自己的网络安全团队把被黑的系统先关了，正在评估损失有多大。

说实话，这套说辞听起来挺耳熟的。每次出类似的事，公司都是这么一套应对流程。

但问题在于，对攻击者来说，拿下这个工单系统可能已经足够了。根据骇猫团伙成员向外界透露的消息，他们从爱康的系统里拿走了大约44GB数据。

被盗的数据里有什么？

根据攻击者的说法，这批44GB的数据里，东西可不少：

• 多个产品的源代码
• 项目细节
• 发票
• 机密文件
• 工单系统里记录的问题

这里面，源代码的泄露风险最大。代码要是落到竞争对手或者更恶意的攻击者手里，可能意味着安全漏洞被提前掌握，未来的产品也可能被山寨。

工单里记录的问题，听起来不那么“硬核”，但仔细想想更可怕。这相当于把公司内部技术支持的底裤都看光了——哪些客户遇到了什么难题，解决进程如何，内部是怎么讨论的，有什么技术短板……攻击者等于拿到一本内部工作手册，下次再搞破坏就容易多了。

爱康的业务主要是为医院、工厂提供无线通信和定位系统。这种东西的安全性要求很高，如果因为这次攻击导致后续系统出现安全缺陷，后果可能相当严重。

为什么又是Jira？

这次攻击有个很熟悉的模式：攻击的目标是Jira服务器。

Jira是个项目管理和问题跟踪平台，搞软件开发和IT运维的人基本都用过。这玩意儿好用是好用，但往往存了一堆敏感信息：除了源代码，还有身份验证密钥、IT建设计划、客户信息，以及各种围绕项目的内部讨论。可以说，一个公司的Jira服务器要是被攻破，技术老底就被抄了一半。

骇猫团伙的手法没什么新鲜创意，就是“偷凭证，撞库”。安全研究人员发现，他们专门收集那些被各种信息窃取木马感染过的员工的Jira账号密码。员工的电脑中了木马，账号密码被偷，然后被攻击者用来登录公司的Jira系统。

这个方法看似笨拙，但成功率极高。很多人喜欢在不同系统用同一个密码，或者改密码不勤快。一个几年前泄露的、但还没被改掉的密码，完全有可能成为今天入侵的关键。

骇猫这个团伙是从2024年第四季度开始活跃的，做的是“勒索软件即服务”的生意。他们搞初始入侵的办法挺多，比如钓鱼邮件，或者攻击那些有公开漏洞的应用。

一旦进去，他们的攻击链条就复杂起来了：会利用PowerShell脚本搞持久化，用各种技术规避防御检测，最后部署一个叫SliverC2的恶意软件建立控制通道。这已经不是散兵游勇，是有完整战术的专业团队了。

看看被他们盯上的公司名单就明白了：施耐德电气、西班牙电信、Orange集团、捷豹路虎……清一色是大企业。在捷豹路虎那起案子里，骇猫就是利用了一个有第三方访问权限的LG电子员工的凭证，登陆了捷豹路虎的Jira服务器。

这说明什么？说明攻击面已经不仅限于自家员工，任何有访问权限的第三方都可能成为攻击跳板。企业安全边界的定义，比想象中要模糊得多。

勒索软件的“近亲繁殖”

有个技术细节挺有意思。研究人员分析骇猫的勒索软件载荷时发现，它和另一个叫“墨菲斯”的勒索团伙用的代码有相似之处。两者都用Windows的加密API和BCrypt算法来加密文件。

而且，它们的加密方式有个不常见的特点：只加密文件内容，不改文件后缀名。这意味着你从文件名上看不出文件已经被加密了，直到你试图打开它才会发现打不开。这种设计增加了隐蔽性，也拖延了用户发现被攻击的时间。

这种代码共享的现象在勒索软件圈子里并不少见，算是“近亲繁殖”或者产业链分工的一种体现。底层技术模块被重复利用，降低了犯罪门槛，也让攻击变得更快、更标准化。

我们能做点什么？

说到底，这次事件的根源还是那些“老旧但有效的凭证”。骇猫在全球范围内的攻击活动不断得手，恰恰说明了这个老问题有多顽固。

对于那些用Jira或者其他类似系统的公司，有几件事必须马上做：

• 把密码管理规范立起来。强制定期改密码，别再用“P@ssw0rd2023”这种了。
• 敏感系统必须上多因素认证。光有密码不行，再加个手机验证码或者硬件令牌。
• 第三方访问权限要管好。谁有权限、为什么有、什么时候过期，必须门儿清。合作关系一结束，权限立刻收回。

安全这东西，永远是防内鬼、防疏忽比防外部的“高技术”攻击更难。骇猫攻击爱康这事儿，给所有依赖Jira这类协作工具的公司又敲了一次警钟。你的便利协作工具，可能就是黑客眼中最脆弱的入口。

说到底，技术可以买，流程可以建，但安全意识和习惯的培养，是一场持久战。这次是爱康，下一次，又会是谁呢？

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱 匿名 匿名《骇猫勒索团伙入侵爱康技术工单系统》