文章总结： Darktrace公司披露黑客自2025年9月起伪造苹果与雅虎CDN域名，通过DLL侧载技术将模块化远程控制木马注入Windows可信进程，利用FDMTP后门框架实现加密通信、持久化等功能。该攻击主要针对亚太地区企业，建议加强网络监控与多因素认证防范供应链风险。 综合评分： 85 文章分类： 恶意软件,威胁情报,供应链安全,安全运营,漏洞预警

【安全圈】新型远程控制木马被披露，黑客伪造苹果与雅虎 CDN 域名攻击

安全圈

2026年5月15日 19:01 江苏

在小说阅读器读本章

去阅读

关键词

木马

网络安全公司 Darktrace 昨日（5 月 14 日）发布博文，报道称有黑客利用伪造的苹果和雅虎 CDN 基础设施，在亚太地区发动长期潜伏攻击。

安全圈注：CDN（内容分发网络）本意是把网站内容分发到不同节点，加快访问速度并提升稳定性。攻击者伪造带有品牌色彩的 CDN 域名，就是想让受害者和安全设备误以为流量来自可信服务。

攻击者通过 DLL 侧载（DLL sideloading）技术，将模块化远程访问木马隐藏在合法 Windows 进程中，绕过传统黑名单检测。

这次攻击具备很强的伪装，攻击者冒充大型科技品牌的 CDN（内容分发网络）基础设施，让流量看起来像正常访问。

已观测到的域名包括 yahoo-cdn.it.com 和 icloud-cdn.net，受害系统会先下载合法可执行文件，再拉取对应配置文件与恶意 DLL，从而降低传统拦截规则的命中率。

在执行阶段，攻击者大量滥用可信 Windows 程序与 DLL sideloading（动态链接库侧载）。研究人员提到，Microsoft .NET 和 Visual Studio 相关进程，如 dfsvc.exe、vshost.exe，都曾被用来掩护恶意代码。

另一个入侵链里，合法的搜狗拼音程序配合名为 browser_host.dll 的恶意 DLL，把代码注入可信进程并劫持执行流程。

载荷部分疑似由升级版 FDMTP 后门框架驱动，该木马支持加密通信、插件加载、注册表持久化、计划任务、系统画像采集，以及基于 DMTP 的命令与控制通道。

攻击注册行为曾通过 / GetCluster 端点完成。研究人员还看到运行时字符串解密、AES 加密载荷分发和多种回退执行方式，说明这是一套成熟度较高的长期潜伏方案。

该活动自 2025 年 9 月底出现，手法以 ” 中等置信度 ” 关联至威胁集群 Twill Typhoon。普通苹果用户受直接影响较小，但企业和开发者需警惕供应链风险，加强网络监控与多因素认证。

END

阅读推荐

【安全圈】安卓新增入侵日志功能，助力深度分析复杂间谍软件攻击

【安全圈】研究人员公布概念验证，利用 Windows BitLocker 零日漏洞可访问受保护驱动器

【安全圈】微软警告“ Dirty Frag ” Linux 内核漏洞已遭黑客利用

【安全圈】苹果修复 macOS 和 iOS 系统数十个漏洞

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】新型远程控制木马被披露，黑客伪造苹果与雅虎 CDN 域名攻击》