【安全资讯】伊朗政府背景黑客组织滥用网络犯罪工具，混淆攻击溯源

概要：

网络安全研究人员近期揭露，伊朗政府支持的黑客组织正越来越多地将网络犯罪恶意软件和勒索软件基础设施用于其攻击行动中。这不仅是为了伪装其破坏性网络活动，更显示出国家背景黑客与网络犯罪生态的深度融合。这种趋势增加了攻击溯源的难度，并对关键基础设施，特别是医疗和国防领域，构成了严重威胁。

主要内容：

根据Check Point Research的报告，与伊朗情报与安全部（MOIS）关联的黑客组织是此类行为的主要实施者。报告指出，MuddyWater和Void Manticore等伊朗情报机构附属组织，与多个犯罪组织及其工具服务存在“反复重叠”。

Void Manticore是一个使用数据擦除器、数据泄露和虚假信息来推进伊朗政府目标的黑客行动组织，通常针对以色列。该组织近期在其武器库中增加了在犯罪论坛上出售的商业信息窃取器Rhadamanthys。该组织在针对以色列目标的钓鱼邮件中，常将Rhadamanthys与自定义的数据擦除器配对使用，并频繁伪装成F5更新或以色列国家网络管理局（INCD）。

另一方面，自2018年起为MOIS从事间谍活动的MuddyWater组织，在近期攻击中使用了名为DinDoor的新型后门，这是与MuddyWater相关的Tsundere僵尸网络的新变种。该组织还使用名为FakeSet的下载器来投递CastleLoader。CastleLoader作为一种服务出售给多个附属机构和网络犯罪团伙，其与MuddyWater的关联源于一组代码签名证书的使用。

这种对犯罪工具的使用造成了显著的混淆，导致错误的归因和关联，将不一定相关的活动聚类在一起。这证明了使用犯罪软件可以有效混淆攻击溯源，并凸显了在分析重叠集群时需要极度谨慎。此外，报告还将伊朗操作员与2025年10月针对以色列沙米尔医疗中心的勒索软件攻击联系起来，指出这可能是MOIS和真主党针对以色列医院更大规模行动的一部分。