文章总结： 研究人员发现早于震网病毒的fast16恶意软件，该Lua框架可追溯至2005年，通过内核驱动篡改高精度计算软件结果。攻击目标涉及工程模拟工具，具备网络传播能力，填补了早期国家支持网络破坏工具的空白。 综合评分： 82 文章分类： 恶意软件,漏洞分析,威胁情报,安全大事件,其他

新发现：“震网” 之前的 “fast16” 恶意软件

HackerNews HackerNews

安全威胁纵横

2026年4月27日 16:49 湖北

在小说阅读器读本章

去阅读

高危漏洞

紧急修复指南

RCE Patch

研究人员发现了一种基于 Lua 的恶意软件，其出现时间早于臭名昭著的震网（Stuxnet）蠕虫病毒。震网病毒曾试图通过破坏铀浓缩离心机来干扰伊朗核计划，而这次发现的恶意软件在网络攻击历史中或许有着独特意义。

推测e

1

“fast16”的神秘面纱

根据 SentinelOne 发布的报告，这个此前未被记录的网络破坏框架可追溯到 2005 年，它被命名为 fast16，主要针对高精度计算软件，目的是篡改计算结果。

研究人员维塔利・卡姆卢克（Vitaly Kamluk）和胡安・安德烈斯・格雷罗 – 萨阿德（Juan Andrés Guerrero – Saade）在报告中指出，攻击者将有效载荷与自我传播机制结合，试图让整个设施产生不准确的计算结果。

据估算，fast16 至少比震网病毒早出现五年。震网病毒作为世界首个用于破坏行动的数字武器，通常被认为由美国和以色列打造，后来成为 Duqu 信息窃取 rootkit 的架构基础，相比之下，fast16 出现得更早。同时，它还早于 2012 年 5 月发现的 “火焰”（Flame，又名 Flamer 和 Skywiper）恶意软件最早的样本，并且成为首款嵌入 Lua 引擎的 Windows 恶意软件。

SentinelOne 表示，他们是在识别出名为 “svcmgmt.exe” 的文件后有了这一发现。该文件乍看像普通的控制台模式服务包装器，文件创建时间戳为 2005 年 8 月 30 日，2016 年 10 月 8 日被上传至 VirusTotal。

深入调查发现，文件中嵌入了 Lua 5.0 虚拟机、加密字节码容器，以及与 Windows NT 文件系统、注册表、服务控制和网络 API 相连的模块。植入程序核心逻辑在 Lua 字节码中，二进制文件通过 PDB 路径引用了 2005 年 7 月 19 日创建的内核驱动程序 “fast16.sys”，该驱动负责拦截和修改从磁盘读取的可执行代码，且无法在 Windows 7 及以上系统运行。

2

攻击策略与影响

SentinelOne 在 “drv_list.txt” 文本文件中发现 “fast16” 字符串引用，该文件于九年前被神秘黑客组织泄露，其中包含用于高级持续性威胁（APT）攻击的驱动程序列表。2016 – 2017 年，“影子经纪人”（The Shadow Brokers）组织公布大量声称从与美国国家安全局（NSA）疑似有关联的 “方程式组织”（Equation Group）窃取的数据，“drv_list.txt” 是其中之一。SentinelOne 认为，“svcmgmt.exe” 中的字符串为调查提供关键线索，PDB 路径将相关信息联系在一起。

“svcmgmt.exe” 被视为 “高度适应性的载体模块”，可根据命令行参数改变行为，执行多种任务。它携带三个有效载荷，包括处理配置等逻辑的 Lua 字节码、辅助的 ConnotifyDLL（“svcmgmt.dll”）以及 “fast16.sys” 内核驱动程序。它能解析配置、提升为服务、选择部署内核植入程序，并通过服务控制管理器（SCM）小程序扫描网络服务器，将恶意软件传播到使用弱密码或默认密码的 Windows 2000/XP 环境，但传播需满足手动强制或未检测到常见安全产品等条件。

负责精确破坏的是驱动程序，它针对特定编译器编译的可执行文件，通过恶意代码注入破坏数学计算，尤其针对土木工程、物理和物理过程模拟工具。SentinelOne 认为，这种微小但系统的错误可能破坏或延缓科研项目，降低工程系统性能。

通过分析，研究人员认为 LS – DYNA 970、PKPM 和 MOHID 水动力建模平台可能是攻击目标。LS – DYNA 现属 Ansys 套件，可模拟多种物理现象，2024 年 9 月相关报告表明伊朗可能使用此类软件进行核武器开发。

综合来看，这一发现迫使我们重新评估秘密网络破坏行动的历史发展时间表，表明 21 世纪中期针对物理目标的国家支持网络破坏工具已完成开发并部署。在高级持续性威胁（APT）演变中，fast16 填补了早期开发项目与后来基于 Lua 工具包之间的空白，是理解相关攻击策略和能力的重要参考点。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://thehackernews.com/2026/04/researchers-uncover-pre-stuxnet-fast16.html

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《新发现：“震网” 之前的 “fast16” 恶意软件》