文章总结： 文档揭露哈萨克斯坦APT组织HydraSaiga针对全球水电关键基础设施的攻击活动，该组织利用TelegramBotAPI隐蔽通信，通过钓鱼邮件渗透内网并窃取情报。其身份因工作时间与哈萨克斯坦节假日吻合而暴露。文章详细拆解五步攻击链，并提出禁用宏、监控Telegram流量、加固密码及防护工业控制系统等建议。 综合评分： 82 文章分类： 威胁情报,应急响应,恶意软件,安全大事件

哈萨克斯坦APT组织Hydra Saiga太疯了！用Telegram操控全球水电气，还因放假暴露身份

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年3月11日 11:59 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

    “土库曼斯坦常驻联合国代表致联合国秘书长信函.exe”——当你收到这样的邮件附件，会不会以为是重要外交文件？但这其实是哈萨克斯坦APT组织Hydra Saiga（又名Yorotrooper、ShadowSilk）的陷阱。

这个活跃5年的国家级黑客团伙，专挑全球水电气等关键基础设施下手，已攻陷8国34家机构，侦察目标超200个。更搞笑的是，他们因“放假暴露身份”，堪称黑客界的“猪队友”。作为跟踪APT攻击的安全博主，必须扒透这伙人的“基础设施狩猎术”——你的城市供水、供电系统，可能正被他们远程窥视。

先认门：Hydra Saiga，盯着“水电气”的国家级猎手

Hydra Saiga绝非普通黑产团伙，而是哈萨克斯坦支持的“网络特工队”，核心目标只有一个：窃取关键基础设施情报，服务国家地缘战略。

他们的名字很有讲究：“Hydra”（水螅）对应对水利设施的痴迷，“Saiga”（高鼻羚羊）是中亚特有动物，直接暴露地域属性。自2021年活跃至今，他们的攻击范围覆盖欧亚、中东、南美，重点盯着政府、能源、水利、航空等核心领域，堪称“哪里重要攻哪里”。

最特别的是，他们把Telegram当成“指挥中心”，用机器人API传递指令，操作简单还隐蔽，连新手黑客都能上手。

攻击套路大拆解：从“点附件”到操控基础设施，5步得手

Hydra Saiga的攻击不算高科技，但胜在精准高效，全程像流水线作业：

Step 1：钓鱼敲门，伪装成“官方文件”

他们的诱饵堪称“场景化定制”，让人防不胜防：

给阿曼警方发“2024年第三季度成果.doc”（阿拉伯语文件名），伪装成研究机构报告；

给政府部门发“中亚-意大利工作访问.rar”，借国际合作名义降低警惕；

甚至伪造联合国相关文件，用“launch.exe”当文件名，让人误以为是重要程序。

这些文件要么是带恶意宏的Word文档，要么是加密RAR包（密码常藏在邮件里），一旦打开就触发感染。

Step 2：Telegram控场，全程隐身通信

这是他们的“独门绝技”：恶意文件执行后，会悄悄连接Telegram机器人API，建立加密通信通道。黑客通过 Telegram 发指令，受害者电脑像“傀儡”一样执行操作——全程没有可疑服务器连接，流量混在聊天消息里，杀毒软件根本查不到。

更绝的是，他们还会用Base64编码指令，就算通信被截获，没解密也看不懂内容。

Step 3：偷密码+关防护，扫清障碍

得手后，黑客会立刻“大扫除”：

用FakeLogonScreen弹出假Windows登录框，骗受害者输入密码；

启用WDigest功能，让系统明文存储凭证，再dump LSASS内存，提取所有账号密码；

直接禁用Windows Defender和防火墙，让后续操作畅通无阻。

他们甚至会翻受害者桌面的“passwords.txt”，连最基础的密码文件都不放过，堪称“地毯式窃密”。

Step 4：横向渗透，摸进核心系统

拿到管理员密码后，黑客会用nltest找到域控制器，再通过WMI或PsExec远程操控其他电脑，像“串门”一样摸进核心服务器。

如果遇到网络隔离，他们就用resocks、chisel等工具建立隧道，把内部网络和外部打通，就算是SCADA这类工业控制系统，也能远程触达。2024年，他们就曾试图入侵俄罗斯、阿根廷等国的燃气分配系统和制造设备。

Step 5：偷情报+留后门，长期潜伏

最终，黑客会：

用PRTSC键截屏，打包所有文档为RAR包，通过curl偷偷传走；

用Python或Golang写的窃密工具，盗取Chrome、Edge等浏览器的保存密码和浏览记录；

建立计划任务或修改注册表，就算电脑重启，后门也能自动启动，实现长期监控。

身份大曝光：放假暴露国籍，堪称黑客界“猪队友”

Hydra Saiga再狡猾，也栽在了“细节”上，被安全研究员顺藤摸瓜锁定身份：

1. 工作时间暴露时区

研究员分析他们的操作日志，发现其工作时间严格遵循UTC+5时区——早上10点开工，下午3点出现小高峰，6点后基本不干活，完全是哈萨克斯坦的作息。

2. 放假时间直接“实锤”

2025年3月10日和25日，黑客团队集体“消失”，没有任何操作。查日历才发现：

3月10日是哈萨克斯坦国际妇女节的补休日；

3月25日是当地传统节日瑙鲁兹节（波斯新年）。

这两个专属假期，直接把他们的国籍暴露得明明白白。

3. 操作失误泄露家底

更搞笑的是，黑客不小心把自己的 staging 服务器感染了，导致浏览器历史、搜索记录全被捕获：

他们用Censys、Shodan扫描暴露服务器；

搜索“pfsense默认密码”，靠暴力破解找漏洞；

甚至在YouTube看“Havoc C2框架安装教程”，堪称“新手黑客实录”。

结合他们紧盯中亚两大河流（锡尔河、阿姆河）水利设施——而这直接关系到哈萨克斯坦的农业灌溉和咸海治理，其国家级背景再也藏不住了。

防坑指南：4招守住“水电气”安全

不管是企业还是个人，面对这类针对关键基础设施的攻击，记住这4点：

1. 禁用宏+警惕可疑文件

给Office默认禁用宏，尤其是来历不明的Word、Excel文档，就算提示“启用内容才能查看”，也坚决不点；

遇到“联合国”“政府机构”相关的附件，先核对发件人域名，非官方域名直接删除。

2. 监控Telegram通信

企业网络禁止与“api.telegram.org”通信，这是Hydra Saiga的核心C2通道；

个人电脑发现陌生Telegram机器人通信，立即排查是否中了后门。

3. 加固密码与权限

禁用WDigest功能，避免密码明文存储；

定期更换管理员密码，不用简单密码，更不要把密码存到“passwords.txt”这类明文文件里。

4. 重点监控工业控制系统

给SCADA等工业设备设置白名单，只允许授权IP访问；

监控curl、bitsadmin等工具的异常文件传输，发现批量打包上传行为立即告警。

最后提醒：关键基础设施的安全，容不得半点马虎

Hydra Saiga的案例证明，黑客已经把目标对准了水、电、气这些“城市命脉”。他们的技术不算顶尖，甚至有些“粗糙”，但胜在目标明确、战术执着，一旦得手，后果不堪设想。

对国家来说，需要加强关键基础设施的网络安全防护，建立跨部门应急响应机制；对企业来说，要定期开展安全演练，堵住漏洞；对个人来说，不要轻易打开可疑邮件附件，保护好自己的账号密码，就是在为整体安全添砖加瓦。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《哈萨克斯坦APT组织Hydra Saiga太疯了！用Telegram操控全球水电气，还因放假暴露身份》