你可能会觉得,攻击者费那么大劲恢复对目标网络的访问,肯定是为了植入更厉害的恶意软件、扩大破坏范围。但在针对东南亚政府与外交机构的一连串间谍活动里,卡巴斯基的研究人员发现,攻击者时隔数月杀回来,真正的目的竟是要运走早已偷好的东西。一种名为GoSerpent的恶意软件,自2025年末开始活跃,专门帮背后操控者建立长期据点,窃取敏感文件,等到时机成熟再回来“提货”。
2026年2月,卡巴斯基在追踪一次针对东南亚地区政府与外交实体的攻击时,揭开了GoSerpent的面纱。这个用Go语言编写的后门之前从未被公开记录过,它的主要任务是与外部服务器取得联系,投递后续载荷,并专门负责搜集敏感数据、转储系统凭据。研究人员发现,这支攻击队伍的耐心远超一般网络犯罪团伙:他们并不急于一次性榨干目标,而是把窃取到的资料先囤积起来,等上几个月,再带着更新过的工具登场。
![]()
2026年5月,威胁行为者带着一套进化过的恶意工具重新出现。卡巴斯基安全研究员Noushin Shabab指出:“监控该威胁行为者的活动时,我们发现他们在2026年5月带着一套进化过的恶意工具杀了回来:全新的Stowaway RAT和代理工具,其外观形似最初的恶意软件,此外还有一款更隐蔽的工具,专门用来通过网络共享窃取此前数月收集到的敏感数据。”这种“先偷后取”的策略,让受害一方即便清除了初始感染,也难以察觉保存在内部共享上的文件早已被悄悄复制,等到攻击者建立的秘密通道再次打通,数据便被批量传出。
GoSerpent的底层设计十分精巧。它接收命令行参数时,这些参数以加密和Base64编码的形式传入,里面藏着命令与控制服务器的地址和通信密码。解密之后,后门通过加密连接连向C2服务器,而通信密码的SHA256哈希便充当会话密钥。这样一来,即便网络中的流量被截获,看到的也是一串乱码。与服务器接通后,后门首先会报备“已上线”,接着就可以执行五花八门的命令:在指定端口开始监听、关闭监听端口、连接至远程服务器、在受害主机上生成一个Shell、向服务器上传文件或整个目录、从服务器下载文件、在受感染机器上启动SOCKS5代理,甚至将流量转发到某一连接节点。
“……GoSerpent能够建立SOCKS5代理服务器,借此将流量通过失陷主机进行路由,这使得攻击者既能访问其他网络,又能隐藏自己的真实IP地址。”卡巴斯基解释称,“该后门还具备部署额外恶意工具的能力,包括用于文件搜集的ThumbcacheService、用于凭据转储的Mimikatz,以及用于提取本地账户密码哈希的QuarksDumpLocalHash。”
为了完成整个窃密链条,GoSerpent会先借助凭据转储工具把系统的账号密码拿到手,再利用网络共享驱动器悄悄搬运文件。而ThumbcacheService作为一个配套DLL,提供了一套精密的文件搜集机制,它能将被窃数据统一暂存,等待后续传出。攻击者不需要一直守在目标系统里,他们只需在初期部署好GoSerpent和文件收集工具,等文件积累到一定规模,再通过后期植入的Stowaway RAT或代理工具把数据打包运走。
从时间线来看,GoSerpent的早期版本最早可以追溯到2021年,当时就已在东南亚地区被投入使用。这些Go语言打造的后门和远程访问木马在随后的几年里不断变种,直到今年依然有新版本上线。也就是说,攻击者至少持续运营了五年多,期间不断打磨工具集,反复进入同一地区的目标网络。最新的变种在通信加密、命令集扩展和辅助工具链上均有所强化,反映出背后操控者并不是随兴而为的散兵游勇,而是一支资源充足、行动周密、以情报获取为终极目标的团队。
在已发现的工具清单中,除GoSerpent主后门外,还出现了多款辅助恶意软件。McMx RAT是一款基于Go的轻量级代理与远程访问工具,可以看作是GoSerpent的简化版,具备SOCKS5代理、端口转发、文件传输和远程Shell等基本功能。Stowaway RAT则是2026年回归时带来的新型RAT,与早期植入体在设计上一脉相承,但增加了更强的隐蔽通信和反检测能力。ThumbcacheService这个DLL专门为文件搜集而生,它与GoSerpent协同,把散落在磁盘各处的敏感文档汇集到固定位置。Mimikatz早就名声在外,用于从LSASS进程内存中抓取明文密码、NTLM哈希和Kerberos票据。QuarksDumpLocalHash则用来转储本地SAM数据库中的密码哈希,确保即便域控凭据拿不到,至少还能撬开本地账户。这些工具组合在一起,形成了一套“凭据获取→横向移动→文件收集→隐蔽外传”的完整攻击链。
GoSerpent所支持的命令集虽然算不上庞大,但每一道都切中要害。除了基本的反弹Shell和文件上传下载,SOCKS5代理功能尤其值得注意:攻击者可以依托受害主机搭建临时隧道,从而穿透内网边界,访问原本隔离的服务器,而所有恶意流量看上去就像从那台正常主机发出的,能有效绕开基于IP信誉的安全策略。与此同时,“转发至已连接节点”的能力意味着失陷主机之间可以彼此串联,形成层级传递的通信链路,进一步增加溯源难度。当攻击者需要打扫现场时,还可以远程关闭监听端口,静默退出,不留痕迹。
卡巴斯基在此次披露中并未将GoSerpent直接归于某个已知的APT组织,但攻击手法、地理焦点和长期情报收集的意图,都指向一个有着政府背景或至少为特定国家利益服务的间谍团伙。东南亚地区一直是网络间谍活动的前沿地带,涉及多边关系、领土争议和经济利益的敏感信息在该地区政府与外交网络中大量存在。攻击者选择用Go语言编写主要植入体,一是因为Go可以轻松交叉编译为Windows、Linux等多个平台的可执行文件,二是其生成二进制文件相对较大,反倒能逃避一些基于静态分析的反病毒引擎。在通信层面,GoSerpent通过加密加Base64双层包装来传递C2配置,即使安全研究人员捕获到样本,也需要先逆向解密逻辑才能获得服务器地址,延缓了分析和响应速度。
“先潜伏、再提货”的套路给防御方带来一个现实难题:初始感染有时仅表现为一个看似无害的后门进程,当企业或政府机构成功清除植入体、以为威胁已经终结时,储存在网络共享中的文件可能早已被同步拷贝了数个月。等到攻击者带着新的RAT和代理工具回归,这些文件就会在短时间内被搬运一空,受害者甚至难以确定哪些资料遭窃、何时遭窃。这也解释了为什么攻击者要专门开发ThumbcacheService这样的专用搜集模块——它能把数千个文件先统一整理、压缩,减少外传时的网络异常波动,让数据外泄变得低调而高效。
面对GoSerpent这类具备长潜伏周期、多重工具链的间谍威胁,单点的终端检测已明显不够。安全团队需要重点关注内部网络共享权限的滥用,实时监控对敏感文件目录的大规模读写操作,并对看似正常的进程衍生行为(如合法程序被注入、创建SOCKS5隧道)建立异常基线。此外,由于攻击者多次迭代并复用了部分早期代码,防守方可以尝试通过YARA规则或行为检测持续追踪这批Go语言木马的家族特征,一旦发现疑似McMx RAT或特定加密参数的Beacon,就应启动全面排查,避免重演“清掉木马却发现数据早已失窃”的困局。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.