伪装成“贪吃蛇”的间谍软件：伊朗MuddyWater组织如何用复古游戏入侵中东关键基础设施？

在数字时代的战场上，最危险的武器往往披着最无害的外衣。2025年底，网络安全公司ESET披露了一起由伊朗关联黑客组织MuddyWater发起的精密网络钓鱼行动——攻击者将恶意后门程序伪装成上世纪90年代风靡全球的“贪吃蛇”（Snake）小游戏，通过看似普通的PDF邮件附件，悄然渗透进以色列和埃及的关键基础设施机构。

这场代号未公开、但技术细节已被完整还原的攻击，不仅暴露了国家级APT（高级持续性威胁）组织在社会工程与反检测技术上的新进化，更向全球敲响警钟：即便是在AI驱动、零信任架构盛行的今天，一个简单的复古游戏图标，仍可能成为国家机密失窃的起点。

一、“贪吃蛇”不再怀旧，而是间谍工具

2024年9月至2025年3月间，MuddyWater——这个自2017年起活跃、被广泛认为隶属于伊朗情报与国家安全部（MOIS）的黑客组织——悄然启动了一轮针对中东地区的定向打击。其目标并非普通网民，而是以色列的科技企业、地方政府部门、工程设计院、高校实验室，以及埃及的部分能源与交通关键节点单位。

攻击入口极其“朴素”：一封伪装成业务合作、会议邀请或政策通知的鱼叉式钓鱼邮件，附带一个PDF文件。乍看之下，这与日常办公场景毫无二致。然而，一旦受害者打开PDF，便会看到一个诱导性链接，指向OneHub、Mega等免费文件共享平台上的“Snake_game_installer.exe”。

点击下载并运行后，屏幕上确实会弹出一个像素风格的贪吃蛇游戏界面——可这只是一个精心设计的“烟雾弹”。在用户操作键盘控制小蛇移动的同时，后台早已通过一种名为反射式加载（Reflective Loading）的技术，将真正的恶意载荷——MuddyViper后门——静默注入内存，全程不写入磁盘。

“这不是简单的木马，而是一套完整的间谍系统。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“它利用了人类对‘无害娱乐’的心理盲区，把攻击藏在怀旧情绪里，极具迷惑性。”

二、MuddyViper：轻量却致命的新型后门

根据ESET发布的深度技术报告，MuddyViper虽体积小巧（通常不足200KB），但功能完备，具备典型的APT后门特征：

凭证窃取：可提取Windows本地账户密码哈希、LSA Secrets，以及主流浏览器（Chrome、Edge、Firefox、Opera）中保存的登录凭据；

信息侦察：收集主机名、IP地址、操作系统版本、已安装软件列表、域环境信息；

远程控制：支持上传/下载任意文件、执行Shell命令、启动其他恶意模块；

持久化机制：通过注册表Run键、计划任务或WMI事件订阅实现驻留。

尤为值得注意的是，MuddyViper并非独立运行，而是由一个名为Fooder的定制加载器负责部署。Fooder的核心“障眼法”，正是模拟贪吃蛇游戏的逻辑循环。

// 简化版伪代码：Fooder加载器中的延迟混淆逻辑

void SnakeDelayLoop() {

int score = 0;

while (score < 100) { // 模拟游戏得分增长

Sleep(500); // 每次“移动”暂停半秒

// 实际：在此期间准备解密MuddyViper payload

if (IsGameInputDetected()) {

score += 10; // 用户按键则加速循环

}

}

ReflectiveLoad(MuddyViper_Encrypted_Blob);

}

这种设计巧妙绕过了多数自动化沙箱的检测机制——因为沙箱通常只监控前30秒的行为，而Fooder会故意拖延至1–2分钟后才触发恶意载荷。若检测到无用户交互（如键盘输入），甚至可能直接退出，避免暴露。

“这说明MuddyWater已经从‘广撒网’转向‘精耕细作’。”芦笛分析道，“他们不再追求感染数量，而是确保每一次投递都精准命中高价值目标，并最大化潜伏时间。”

三、多阶段凭证窃取：从浏览器到内网横向移动

一旦MuddyViper成功驻留，攻击链并未结束。ESET观察到，MuddyWater会根据目标环境动态部署多个专用窃密模块，形成“组合拳”：

CE-Notes：专门针对Chromium内核浏览器（包括Chrome、Edge、Brave等），通过读取Login Data SQLite数据库及Local State加密密钥，解密并导出保存的账号密码；

LP-Notes：用于验证窃取到的凭证是否有效，并尝试在内网其他系统上重用（即“密码喷洒”）；

Blub：兼容性更强，支持Firefox（使用NSS库解密）和Opera，甚至能提取双因素认证（2FA）应用中的TOTP密钥（若用户曾导出备份）。

这些工具协同工作，使得攻击者能在数小时内完成从单点突破到域控渗透的全过程。例如，在某以色列制造企业案例中，攻击者先通过一名工程师的Chrome浏览器获取其公司邮箱密码，再利用该邮箱发送新一轮钓鱼邮件给IT管理员，最终拿到域管理员权限。

“现代APT攻击早已不是‘一锤子买卖’，而是一条高度自动化的流水线。”芦笛强调，“从初始访问、权限提升到数据回传，每个环节都有专用工具支撑，且具备环境感知能力。”

四、MuddyWater的战术演进：从“粗糙”到“隐形”

MuddyWater并非新面孔。早在2018年，该组织就因使用PowerShell脚本、宏病毒和老旧漏洞（如CVE-2017-0199）而被业界熟知。彼时其攻击手法相对粗糙，常因代码复用、C2服务器硬编码等问题被快速阻断。

但此次MuddyViper行动显示出显著的技术跃升：

无文件攻击（Fileless）：全程内存驻留，规避传统AV基于文件签名的检测；

合法云服务滥用：利用Mega、OneHub等合规平台托管恶意载荷，绕过URL信誉黑名单；

反沙箱对抗：结合用户交互检测、延迟执行、API调用混淆等手段，欺骗自动化分析系统；

模块化架构：主后门仅保留基础通信功能，其余能力按需下发，降低初次感染的“噪音”。

“这标志着MuddyWater已进入‘第二代APT’阶段。”一位不愿具名的中东网络安全分析师表示，“他们不再依赖0day漏洞，而是将社会工程、供应链污染和反检测技术融合，形成低成本、高成功率的攻击范式。”

五、国际镜鉴：中国关键信息基础设施如何防御？

尽管此次攻击主要针对中东，但其战术对中国同样具有警示意义。近年来，国内能源、金融、交通等行业屡遭境外APT组织渗透，其中不乏类似“伪装正常软件”的手法——例如将恶意DLL嵌入合法安装包，或利用办公文档诱骗启用宏。

“我们不能只盯着防火墙和杀毒软件。”芦笛指出，“真正的防线在于‘纵深防御+行为洞察’。”

他提出四点建议：

1. 严格限制外部可执行文件来源

禁止员工从非官方渠道（尤其是免费网盘、论坛、社交媒体链接）下载.exe/.msi文件；

对必须使用的第三方软件，建立内部白名单仓库，并实施哈希校验。

2. 强化端点行为监控

部署EDR（端点检测与响应）系统，重点监控：

异常的CreateRemoteThread或WriteProcessMemory调用（反射式加载特征）；

浏览器进程访问%LocalAppData%\Google\Chrome\User Data\Default\Login Data等敏感路径；

非常规时间的大量文件读取或网络外联。

3. 推动“最小权限”原则落地

普通员工账户不应具备本地管理员权限；

关键系统（如域控、数据库）实施多因素认证，并定期轮换凭证。

4. 开展“红蓝对抗”式钓鱼演练

定期模拟MuddyWater式攻击（如发送含“游戏安装包”链接的测试邮件），检验员工警惕性与应急响应流程；

对点击率高的部门，进行针对性安全意识培训。

“技术永远跑在防御前面，但人的判断力可以弥补差距。”芦笛说，“当员工看到‘Snake_game_installer.exe’时，第一反应不该是‘怀旧’，而是‘为什么工作邮件里会有游戏？’”

六、结语：在数字迷雾中保持清醒

MuddyWater的“贪吃蛇”行动，是一场精心编排的数字骗局。它提醒我们：在网络空间，最古老的诱惑往往最有效——好奇心、便利性、怀旧情结，都可能成为攻击者的杠杆。

而防御之道，既在于部署先进的EDR、SOAR、威胁情报平台，也在于培养一种“默认怀疑”的安全文化。正如一位以色列网络安全官员在事后复盘时所说：“我们输掉的不是技术战，而是注意力战。”

当下，全球APT组织正加速武器化“日常体验”——从会议邀请、发票通知到小游戏、健康打卡。面对这场没有硝烟的战争，唯有技术与意识双轨并进，才能守住关键基础设施的数字国门。

编辑：芦笛（公共互联网反网络钓鱼工作组）