用C++重写的MilleniumRAT已感染全球160多个国家超6.2万台设备

admin 2026-07-01 05:22:45 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: MilleniumRAT远程访问木马已感染全球160多国超6.2万台Windows设备,2026年Q1新增3.9万感染。Y2KOperators组织以恶意软件即服务形式出售,第四版从.NET重写为C++提升隐蔽性,通过TelegramBotAPI通信,功能包括窃取凭证、录屏、键盘记录、文件加密等。传播依靠社会工程学手段伪装成常用软件。建议用户警惕UAC提示、避免运行不可信文件、使用非管理员账户、更新系统补丁并启用多因素认证。 综合评分: 78 文章分类: 恶意软件,威胁情报,漏洞分析,安全意识,解决方案


cover_image

用C++重写的Millenium RAT已感染全球160多个国家超6.2万台设备

FreeBuf

2026年6月30日 19:49 上海

在小说阅读器读本章

去阅读

一款名为Millenium RAT的远程访问木马正在全球范围内悄然传播,其感染规模令人震惊。目前已有超过160个国家的6.2万台设备遭到入侵,且感染速度未见减缓迹象。

仅2026年第一季度就有超过3.9万台设备被感染,表明攻击活动正在持续扩大。该恶意软件最初由CYFIRMA在2023年11月的威胁报告中披露,当时版本号为2.4。如今已升级至第4版,技术架构完全重构,攻击能力显著增强,主要针对全球Windows设备。

Part01

攻击组织与传播模式

Group-IB分析师将这一活跃攻击活动归因于名为”Y2K Operators”的黑客组织。该恶意软件的开发者使用”shinyenigma”作为代号,在地下论坛和GitHub等平台公开推广。

Group-IB向网络安全新闻(CSN)提供的报告显示,该工具以”恶意软件即服务”(Malware-as-a-Service)形式出售,首月费用50美元,续费10美元,或支付90美元获得终身使用权。

Part02

技术架构升级

第4版最重大的变化是从.NET完全重写为原生C++,消除了对受害者设备上.NET框架的依赖,大幅提升了隐蔽性。该木马通过Telegram Bot API与攻击者通信,将命令控制流量伪装成普通网络活动,无需专用服务器。

执行后,RAT会从嵌入式文件资源加载加密配置,包含Telegram机器人令牌、聊天ID、持久化设置和键盘记录选项。数据采用Base64编码,并通过自定义XOR算法保护,额外添加随机数据以改变文件哈希值,规避基于签名的检测。

Part03

多样化攻击能力

该RAT功能全面,可窃取浏览器凭据和Cookie、截取屏幕和摄像头图像、录制音频、记录键盘输入、获取Telegram和Discord会话数据,以及加密受害者文件。所有命令都通过Telegram下发,无需专用服务器。持久化机制通过将有效载荷复制到%APPDATA%并添加注册表自启动项实现。

恶意软件还尝试通过标准Windows UAC提示进行权限提升,依赖用户授权。所有功能都基于标准Windows API调用,未使用0Day漏洞,完全依赖用户信任实施攻击。

Part04

社会工程传播手段

Y2K Operators完全依赖欺骗手段传播Millenium RAT。文件被伪装成信用卡生成器、加密货币余额检查器、黑客工具包、破解软件和游戏实用程序。文件名经过精心设计,诱使目标立即打开,广泛撒网以覆盖尽可能多的受害者类型。

攻击者甚至会将已知RAT和漏洞利用工具植入后门后重新分发。潜在攻击者下载看似可用的工具后反而被感染。在某次攻击活动中,受害者收到伪装成PDF的快捷方式,触发PowerShell静默运行,在获取RAT有效载荷的同时下载诱饵文档,并在前台打开文档作为掩护。

感染后,有效载荷会伪装成svchost.exe、MsEdgeUpdate.exe和Microsoft Antivirus.exe等常见进程。安全专家建议用户将意外的UAC提示视为可疑行为,避免运行不可信来源的文件,日常使用非管理员账户,保持系统补丁更新,并启用多因素认证以降低凭证被盗风险。

Part05

入侵指标(IoCs)

注:IP地址和域名已进行无害化处理(如使用[.]代替.),防止意外解析或超链接。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中可恢复原始格式。

参考来源:

Millenium RAT Rewritten in C++ Infects 62,000+ Devices Across 160 Countries

Millenium RAT Rewritten in C++ Infects 62,000+ Devices Across 160 Countries

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《用C++重写的Millenium RAT已感染全球160多个国家超6.2万台设备》

评论:0   参与:  0