文章总结： 隶属伊朗情报部的MuddyWater组织自2026年2月起入侵美国银行、机场及涉以色列业务的软件公司，部署Dindoor和Fakeset新型后门并尝试窃取数据。该攻击主要针对情报收集，具备潜在破坏风险，揭示了地缘冲突下针对关键基础设施的网络威胁升级。 综合评分： 85 文章分类： 威胁情报,恶意软件,安全大事件,应急响应

伊朗情报机构植入后门入侵美国多个关键行业网络，涉银行、机场及软件公司

安服驻场记

2026年3月6日 14:31 云南

2026 年 3 月 5 日 18:53（UTC 时间） 作者：杰西卡・莱昂斯

安全研究人员透露，一个被认为隶属于伊朗情报与安全部（MOIS）的网络攻击组织，自 2 月初以来已潜入美国多家企业的网络系统，涉及银行、软件公司和机场等关键机构；在美国与以色列发动军事打击后的数日内，该组织的网络活动愈发频繁。

赛门铁克（Symantec）与 Carbon Black 的威胁追踪团队向《The Register》透露，在第三方分享了与 “muddyWater”（又名 Seedworm、Static Kitten）组织相关的入侵指标后，他们成功发现了这一系列网络攻击活动，同时揭露了一款此前未知的后门程序。

美国联邦调查局（FBI）、美国网络安全与基础设施安全局（CISA）以及英国国家网络安全中心（NCSC）均证实，muddyWater 组织隶属于伊朗情报与安全部，自 2018 年左右起便代表该情报机构开展各类网络行动。

赛门铁克与 Carbon Black 威胁追踪团队的高级情报分析师布里吉德・奥戈尔曼向《The Register》表示：“其中一项入侵指标指向了这一系列攻击活动，帮助我们发现了更多恶意软件。”

安全研究人员在周四发布的情报报告中指出，除银行、机场和软件公司外，受影响的机构还包括美国和加拿大的多家非政府组织。值得关注的是，遭入侵的软件公司为国防和航空航天等行业提供技术支持，且在以色列设有业务据点。

研究人员表示，以色列相关业务似乎是此次攻击的主要目标。他们在该软件公司以色列据点的网络、美国那家银行以及一家加拿大非营利组织的网络中，均发现了一款名为 “Dindoor” 的新型后门程序。

“在当前敌对行动爆发前，该威胁组织就已潜伏在美国和以色列的网络系统中，这使其具备了发起攻击的潜在危险条件。”

报告还提到：“攻击者曾试图通过 Rclone 工具将软件公司的数据窃取至 Wasabi 云存储桶，但目前尚不清楚此次数据窃取是否成功。”（注：Rclone 是一款文件同步工具，Wasabi 为云存储服务提供商）

Dindoor 后门程序基于 Deno 运行时执行（Deno 是一款支持 JavaScript 和 TypeScript 的安全运行时环境，采用 Rust 语言开发，默认开启安全控制，需显式授权方可访问文件系统或网络），其数字签名来自名为 “埃米・彻恩”（Amy Cherne）的证书。

研究人员还在受影响机场和一家美国非营利组织的网络中，发现了另一款基于 Python 开发的后门程序 “Fakeset”。该程序的签名证书分属 “埃米・彻恩” 和 “唐纳德・盖伊”（Donald Gay），其中后者曾被用于为 Stagecomp 和 Darkcomp 两款恶意软件签名，这两款软件均与 muddyWater 组织存在关联。

分析师指出，这些证书的重复使用，进一步证实了 muddyWater 组织是此次美国网络攻击事件的幕后黑手。

赛门铁克与 Carbon Black 的威胁追踪团队目前尚未查明攻击者最初是如何侵入目标网络的。奥戈尔曼表示，该组织的典型入侵手段通常是钓鱼邮件，或利用面向公众的应用程序中的漏洞。

当被问及此次入侵的意图 —— 是否旨在窃取国防情报及其他敏感知识产权，或是为未来的网络攻击做铺垫时，奥戈尔曼回应：“目前尚无法确切判断。”

她补充道：“伊朗的网络行动动机多样，部分旨在收集情报，部分则以破坏为目的。”

2025 年 5 月，muddyWater 组织曾入侵一台存储耶路撒冷实时闭路电视（CCTV）流的服务器，得以对该城市进行监控以锁定潜在目标；同年 6 月 23 日，伊朗对耶路撒冷发动轰炸。同日，以色列当局报告称，伊朗武装力量正利用遭入侵的安全摄像头收集实时情报，进而调整导弹瞄准精度。

奥戈尔曼表示，尽管此次攻击中出现的数据窃取尝试表明其存在情报收集意图，但 “即便最初的动机并非破坏，随着战争局势发展，Seedworm 等组织仍可能转变策略，对已入侵的机构发动破坏性攻击。”

她进一步强调：“在当前敌对行动爆发前就已潜伏于美国和以色列网络，这让该威胁组织具备了发起攻击的危险优势。”

本周三，Check Point 的安全研究人员透露，自 2 月 28 日战争爆发以来，他们已追踪到 “数百起” 针对以色列及其他中东国家联网监控摄像头的漏洞利用尝试。

其他分析师指出，过去一周内，间谍活动、数字探查以及分布式拒绝服务（DDoS）攻击的频次均有所上升，但截至目前尚未出现破坏性网络攻击事件。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安服驻场记 《伊朗情报机构植入后门入侵美国多个关键行业网络，涉银行、机场及软件公司》