用C++重写的Millenium RAT已感染全球160多个国家超6.2万台设备
一款名为Millenium RAT的远程访问木马正在全球范围内悄然传播,其感染规模令人震惊。目前已有超过160个国家的6.2万台设备遭到入侵,且感染速度未见减缓迹象。
仅2026年第一季度就有超过3.9万台设备被感染,表明攻击活动正在持续扩大。该恶意软件最初由CYFIRMA在2023年11月的威胁报告中披露,当时版本号为2.4。如今已升级至第4版,技术架构完全重构,攻击能力显著增强,主要针对全球Windows设备。
攻击组织与传播模式
Group-IB分析师将这一活跃攻击活动归因于名为"Y2K Operators"的黑客组织。该恶意软件的开发者使用"shinyenigma"作为代号,在地下论坛和GitHub等平台公开推广。
Group-IB向网络安全新闻(CSN)提供的报告显示,该工具以"恶意软件即服务"(Malware-as-a-Service)形式出售,首月费用50美元,续费10美元,或支付90美元获得终身使用权。
技术架构升级
第4版最重大的变化是从.NET完全重写为原生C++,消除了对受害者设备上.NET框架的依赖,大幅提升了隐蔽性。该木马通过Telegram Bot API与攻击者通信,将命令控制流量伪装成普通网络活动,无需专用服务器。
执行后,RAT会从嵌入式文件资源加载加密配置,包含Telegram机器人令牌、聊天ID、持久化设置和键盘记录选项。数据采用Base64编码,并通过自定义XOR算法保护,额外添加随机数据以改变文件哈希值,规避基于签名的检测。
多样化攻击能力
该RAT功能全面,可窃取浏览器凭据和Cookie、截取屏幕和摄像头图像、录制音频、记录键盘输入、获取Telegram和Discord会话数据,以及加密受害者文件。所有命令都通过Telegram下发,无需专用服务器。持久化机制通过将有效载荷复制到%APPDATA%并添加注册表自启动项实现。
恶意软件还尝试通过标准Windows UAC提示进行权限提升,依赖用户授权。所有功能都基于标准Windows API调用,未使用0Day漏洞,完全依赖用户信任实施攻击。
社会工程传播手段
Y2K Operators完全依赖欺骗手段传播Millenium RAT。文件被伪装成信用卡生成器、加密货币余额检查器、黑客工具包、破解软件和游戏实用程序。文件名经过精心设计,诱使目标立即打开,广泛撒网以覆盖尽可能多的受害者类型。
攻击者甚至会将已知RAT和漏洞利用工具植入后门后重新分发。潜在攻击者下载看似可用的工具后反而被感染。在某次攻击活动中,受害者收到伪装成PDF的快捷方式,触发PowerShell静默运行,在获取RAT有效载荷的同时下载诱饵文档,并在前台打开文档作为掩护。
感染后,有效载荷会伪装成svchost.exe、MsEdgeUpdate.exe和Microsoft Antivirus.exe等常见进程。安全专家建议用户将意外的UAC提示视为可疑行为,避免运行不可信来源的文件,日常使用非管理员账户,保持系统补丁更新,并启用多因素认证以降低凭证被盗风险。
入侵指标(IoCs)
注:IP地址和域名已进行无害化处理(如使用[.]代替.),防止意外解析或超链接。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中可恢复原始格式。
