新型 GoSerpent 恶意软件瞄准东南亚政府与外交人员实施间谍活动
导语:卡巴斯基披露 GoSerpent 恶意软件,自 2025 年末起针对东南亚政府与外交机构实施长期间谍行动,并披露其与 TetrisPhantom 存在关联。
网络安全研究人员发现了一款此前从未公开记录的恶意软件 GoSerpent,自 2025 年末起被用于针对东南亚实体的网络攻击,攻击重点在于实现长期驻留并开展情报收集活动。
俄罗斯网络安全公司卡巴斯基(Kaspersky)于 2026 年 2 月揭露了这项攻击活动,并指出其针对的目标是该地区的政府与外交机构。GoSerpent 设计用于连接外部服务器,并在受感染系统上部署用于敏感数据采集与凭据转储的二级载荷。
卡巴斯基安全研究员 Noushin Shabab 表示:"对该威胁行为者活动的监测显示,他们于 2026 年 5 月再次回归,并带来了一套演进的恶意工具集:新的 Stowaway RAT 和代理工具,其与初始恶意软件相似;另外还包括一款具备高隐蔽性的工具,用于通过网络共享将在前几个月收集到的敏感数据外泄。"
这些行动的最终目标是收割敏感文件,并通过一款名为 ThumbcacheService 的数据采集工具进行暂存,以便随后实施外传。攻击者还通过 GoSerpent 部署凭据转储工具,以获取系统凭据,从而通过网络共享驱动器完成数据外传。早期的 Go 语言植入程序和远程访问木马(RAT)版本自 2021 年起便已被用于针对东南亚受害者的攻击,最近的变种甚至在 2026 年仍处于活跃部署状态。

该恶意软件通过接收经过加密与 Base64 编码的命令行参数来运行,参数中包含命令与控制(C2)服务器地址以及通信口令。一旦解密,后门会通过加密信道连接到 C2 服务器,其中通信口令的 SHA256 哈希值被用作加密密钥。卡巴斯基解释说:"GoSerpent 能够建立 SOCKS5 代理服务器,通过受感染主机路由流量,使攻击者能够在隐藏真实 IP 地址的同时访问其他网络。该后门能够部署额外的恶意工具,包括用于文件收集的 ThumbcacheService、用于凭据转储的 Mimikatz,以及用于本地账户密码哈希提取的 QuarksDumpLocalHash。"
在长达数月的隐蔽数据采集之后,该攻击活动幕后的威胁行为者据称于 2026 年 5 月重返受感染环境,部署了另一组工具。卡巴斯基指出:"这种威胁尤其令人担忧之处在于,他们对各类工具进行了战略化部署,具备复杂的数据采集与外泄能力。从 ThumbcacheService 到 TmcLoader/TmcPayload 的攻击链条展现了高度成熟的作战规划。"
尽管明确的归因仍扑朔迷离,但卡巴斯基表示,该活动在目标选择、技术能力与作战手法上与 TetrisPhantom 存在重叠。TetrisPhantom 是卡巴斯基于 2023 年 10 月首次披露的一类"技术高超、资源充足"的威胁行为者,其针对亚太地区(APAC)的政府实体实施攻击。卡巴斯基当时曾指出:"攻击者通过利用一种特定的安全 USB 驱动器隐蔽地对 APAC 政府实体进行监视和敏感数据采集,该驱动器采用硬件加密以确保数据在计算机系统之间的安全存储与传输。"该公司补充道:"该活动包含多个恶意模块,攻击者借此可对受害设备实施广泛控制,使其能够执行命令、从受感染机器上采集文件与信息,并通过相同或不同的安全 USB 驱动器作为载体将其传输至其他机器。"
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/new-goserpent-malware-targets-southeast.html
作者:info@thehackernews.com (The Hacker News)

