文章总结： 近期研究发现俄罗斯APT组织沙虫(APT-C-13)利用伪装成Office2025破解版的恶意镜像进行定向攻击，通过tambur模块建立加密隧道、kalambur/sumbur模块实现匿名通信与权限提升、demimur模块篡改信任链关闭系统防御，最终实现长期潜伏窃密。建议用户杜绝使用盗版软件、及时更新系统、强化账户安全并部署专业防护工具。 综合评分： 85 文章分类： 恶意软件,威胁情报,渗透测试,红队,内网渗透

起底“沙虫”俄罗斯APT组织：你的电脑，可能正被“合法”软件远程接管

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年4月5日 12:02 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

你是否曾为了“免费”使用办公软件，下载过所谓的“破解版”或“激活工具”？小心，这可能是黑客为你精心布置的陷阱。近期，紫队安全研究捕获并深度剖析了一起针对全球关键基础设施和国防工业的定向网络攻击。攻击者正是利用伪装成“Office 2025破解版”的恶意镜像，悄无声息地入侵目标电脑，并构建了一条长期潜伏、极难发现的秘密控制通道。

这一切的幕后黑手，是一个代号为APT-C-13（又名沙虫、APT44） 的国家级黑客组织。他们不再追求瞬间瘫痪系统的“烟花式”攻击，而是转向了一种更危险、更具战略性的模式——“情报导向的持续性寄生”。

一、攻击链揭秘：从“盗版软件”到“内网后门”

攻击始于一个看似普通的ISO镜像文件，例如 Microsoft.Office.2025×64.v2025.iso。它通过乌克兰的盗版软件社区和Telegram频道传播，利用用户对破解工具的信任心理进行“广撒网”。

一旦用户运行其中的恶意安装程序，攻击便正式启动。攻击者会根据目标价值，按需投放一系列模块化的后门程序，其核心战术可以概括为：“建立隧道、接管权限、隐藏自身、长期潜伏”。

1. Tambur模块：悄无声息的“隧道工”

该模块的核心任务是建立一条从受害者内网到黑客服务器的加密反向隧道。它伪装成Windows系统诊断组件，通过计划任务实现持久化。最危险的是，它利用内置的ssh.exe，将受害者电脑的远程桌面（RDP，端口3389）和SSH服务（端口22）直接“映射”到了公网上。这意味着，攻击者无需突破企业防火墙，就能像操作自己电脑一样，远程控制受害主机。

2. Kalambur & Sumbur模块：全能的“系统管家”

这是两个功能高度集成的多阶段后门，且Sumbur是Kalambur的进化版，隐蔽性更强。

•   匿名通信：它们会强制在受害电脑上安装并运行Tor服务，让所有后续通信都通过暗网（.onion域名）进行，极大增加了追踪难度。

•   权限提升：脚本会创建隐藏的后门账户（如Admin），并统一使用强密码1qaz@WSX，同时修改系统设置，全面开启并隐藏RDP访问权限。

•   深度潜伏：通过高频计划任务（如每60分钟或4小时执行一次），持续从攻击者服务器获取指令，实现7×24小时不间断控制。

•   反侦察：Sumbur模块甚至引入了HTTP基础认证，只有携带特定密钥的请求才会得到真实响应，有效过滤了安全研究人员的探测流量。

3. DemiMur模块：系统的“叛徒”

此模块执行了最致命的操作——信任链篡改。

•   伪造证书：它将一个名为DemiMurCA.crt的伪造根证书，植入到系统受信任的根证书区。此后，所有由该证书签名的恶意程序都会被Windows视为“合法”。

•   关闭防御：它直接修改Windows Defender设置，将整个C盘、临时目录等关键路径加入排除列表，让系统杀毒软件对这些区域的恶意活动“视而不见”。

通过以上四个模块的协同作业，受害电脑在用户毫无察觉的情况下，变成了攻击者手中一个隐蔽、稳定、且拥有最高权限的“内网跳板”。

二、战术演进：从“搞破坏”到“偷情报”

本次攻击活动清晰地揭示了APT-C-13组织的战略转型。他们放弃了早期那种容易暴露的、破坏性的攻击模式，转而追求一种长期寄生、静默窃密的高级形态。

这种“持续性寄生”攻击的危害更大：

1.  难以发现：利用合法系统工具（如SSH、计划任务）和加密隧道，行为极其隐蔽。

2.  危害持久：一旦植入，可长期驻留数年，持续窃取敏感数据和情报。

3.  横向移动：以被控主机为跳板，攻击者可进一步渗透至内网更核心的系统。

三、如何防范？给你的安全提个醒

面对如此高级别的威胁，普通企业和个人该如何防范？

1.  正版化是底线：坚决杜绝使用来历不明的破解软件、激活工具和盗版系统。这是切断此类攻击最根本的途径。

2.  更新与打补丁：及时为操作系统和所有应用软件安装安全补丁，修复已知漏洞。

3.  强化账户安全：禁用或重命名默认管理员账户，为所有账户设置强密码，并启用多因素认证。

4.  监控异常行为：关注内网中异常的外联请求（尤其是对非常见域名/IP的访问）、非常规时间登录的RDP/SSH记录，以及计划任务中新增的可疑项。

5.  部署专业安全软件：安装并更新可靠的安全防护软件，它们能够帮助识别和阻断此类恶意载荷与行为。

结语

网络空间的攻防对抗永无止境。APT-C-13（沙虫）组织的这次攻击活动，为我们敲响了警钟：高级威胁往往始于最薄弱的环节——人的安全意识。筑牢源头防线，保持警惕，才能在这场看不见的战争中守护好自己的数字领土。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《起底“沙虫”俄罗斯APT组织：你的电脑，可能正被“合法”软件远程接管》