文章总结： 西班牙S2Grupo公司在2019年国家级网络间谍行动中发现俄罗斯APT29组织开发的EasterBunny间谍木马，该恶意软件采用多层加密混淆架构，实现全球首例公开的单机器绑定特性，通过硬件特征生成密钥确保仅能在初始植入设备运行。其核心功能包括持久化潜伏、凭证窃取、注入后渗透工具及模块扩展，C2通信伪装为谷歌服务流量，采用模块化设计可下发DCSync等攻击模块，代表2019年恶意软件顶尖水平。 综合评分： 87 文章分类： 恶意软件,威胁情报,漏洞分析,渗透测试,应急响应

APT29 的隐秘武器 EasterBunny 间谍木马

子午猫 子午猫

网络侦查研究院

2026年5月10日 07:10 湖南

在小说阅读器读本章

去阅读

2019 年，西班牙 S2GRUPO 公司应急响应团队在国家级网络间谍行动中，发现一款由俄罗斯 APT29（Cozy Bear、Nobelium）开发的前所未见的恶意软件。时隔多年，其威胁情报部门 LAB52 公开了这款名为 EasterBunny 的间谍木马详尽技术分析报告。EasterBunny 代表了国家级网络攻击顶尖水平，将操作安全做到极致。它采用多层加密混淆架构，实现全球首例公开的单机器绑定特性，即恶意代码只能在被植入的那一台计算机上正常运行，这一特性此前仅在维基解密泄露的 CIA Vault7 黑客工具集中有零星提及。

作为 APT29 攻击链 Stage3 阶段植入程序，EasterBunny 有两大核心使命：一是实现情报收集持久化，在目标组织长期潜伏，获取用户凭证并绕过密码过期和重置机制；二是作为通用操作后门，可注入其他后渗透工具及专用情报窃取模块。EasterBunny 特点显著。单机器绑定通过加密密钥与目标机器硬件和系统特征深度绑定实现，生成样本时收集 BIOS UUID、Machine GUID、MRT GUID 来生成 XOR 解密密钥。它还采用俄罗斯套娃式多层嵌套架构，分 Wrapper 层、Code Block1、Code Block2、Final Payload 四个执行阶段，每层都有独特对抗技术，增加逆向分析和静态检测难度。其持久化机制是在注册表创建随机 UUID 格式键存储配置信息，数据用 AES 算法加密。C2 通信伪装成访问 Google 通知服务的正常 HTTP 流量，通过连通性检测、代理自动发现、注册请求、握手验证、命令执行等步骤，将命令隐藏在混淆 JavaScript 代码中。EasterBunny 采用模块化设计，攻击者可从 C2 服务器下发模块扩展功能，如用于 DCSync 攻击的模块可导出域用户 NTLM 哈希。背后是 APT29 高度工业化的攻击基础设施，Builder 生成器可一键生成定制化样本，C2 控制平台管理被感染主机。由于该木马完全定制化，传统检测手段几乎无效。EasterBunny 展示的技术代表了 2019 年恶意软件发展最高水平，如今在 AI 加持下或加速功能模块开发。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络侦查研究院 子午猫 子午猫《APT29 的隐秘武器 EasterBunny 间谍木马》