文章总结： 近期威胁情报显示伊朗MuddyWater间谍组织与俄罗斯CastleRat恶意软件平台存在直接行动关联，该组织使用CastleRat版本及新型Node.js代理Chainshell，通过共享代码签名证书、隐写术及区块链解析C2等技术手段，实现国家背景攻击与商业犯罪工具的融合，对网络防御构成挑战。 综合评分： 86 文章分类： 威胁情报,恶意软件,漏洞分析,安全运营,应急响应

伊朗间谍活动与 CastleRAT 和 ChainShell 恶意软件套件有关

原创

ZM ZM

暗镜

2026年4月23日 06:00 北京

在小说阅读器读本章

去阅读

最近的威胁情报显示，伊朗的泥水间谍组织与俄罗斯开发的TAG-150 CastleRAT平台之间存在直接的行动联系。

根据 JUMPSEC 的一份报告，这标志着一个重大转变，国家支持的攻击者正在积极使用商业网络犯罪恶意软件即服务(MaaS) 生态系统。

调查人员发现，与伊朗情报和安全部 (MOIS) 有关联的 MuddyWater 组织正在使用至少两种 CastleRAT 版本以及一种名为 ChainShell 的新发现的恶意软件。

国家黑客采用犯罪工具

MuddyWater 历来依靠定制的后门和合法的远程管理工具来攻击国防、航空航天和能源领域，主要目标是以色列和西方国家。

然而，采用俄罗斯 CastleRAT 平台可以让伊朗集团立即获得先进的功能，而无需进行内部开发。

这些工具包括 Chrome cookie 解密、键盘记录和隐藏式 VNC，攻击者可以利用这些工具秘密控制受感染系统的桌面。与此同时，合法用户仍然可以正常使用系统。

国家间谍活动与犯罪分子出行即服务 (MaaS) 的这种融合给网络防御者带来了重大挑战。

由于该恶意软件包含俄语字符串，并且有意避免感染后苏联国家的系统，安全团队最初可能会将入侵错误地归因于普通的俄罗斯网络犯罪分子。

这种错误分类可能会延误对国家级间谍活动所需的适当事件响应。

研究人员证实，MuddyWater 只是这个共享平台的一个客户，它使用的底层技术与其他威胁行为者（例如 LeakNet 勒索软件组织）相同。

ChainShell 有效载荷和证据

MuddyWater 与 TAG-150 平台之间的联系，因发现一台暴露的命令与控制 (C2) 服务器而得到巩固。

这台配置错误的服务器包含波斯语代码注释、以色列目标 IP 列表和一个名为 reset.ps1 的恶意 PowerShell 脚本。

该脚本部署了“ChainShell”，这是一个之前未公开的Node.js代理。

ChainShell 作为一个轻量级的执行外壳运行，它通过以太坊区块链动态解析地址，与 C2 服务器安全地通信，从而使攻击者的基础设施具有很强的抗网络攻击能力。

JUMPSEC 的进一步技术证据通过共享的代码签名证书将整个活动联系起来。

颁发给“Amy Cherne”的证书被用来对已知的 MuddyWater 工具（如 StageComp）和 CastleRAT 有效载荷的安装程序进行签名。

该证书链，再加上“Smokest”等相同的活动标识符，证明是同一操作员部署了这两套工具。

此外，攻击者还将 CastleRAT 原生有效载荷隐藏在隐写 JPEG 图像中，以逃避基本的安全扫描。

尽管安全厂商已公开曝光，MuddyWater 仍继续更新其安装程序并部署新的恶意诱饵，保持着高运营节奏。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《伊朗间谍活动与 CastleRAT 和 ChainShell 恶意软件套件有关》