FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

图：Outpost24提供的"Olymp Projects"网络面板截图

一款名为Olymp Loader的新型恶意软件即服务（MaaS）产品正在地下市场快速流行。该产品于2025年6月首次被发现，已从僵尸网络原型发展为成熟的加载器和加密器平台，主要服务于中低阶网络犯罪分子。

产品演变与技术特性

Outpost24报告显示："Olymp Loader是自2025年6月5日起在地下论坛和Telegram上推广的MaaS服务。销售者'OLYMPO'宣称该产品完全采用汇编语言编写，并经常以'完全不可检测（FUD）'作为卖点。"

该工具最初命名为"Olymp Botnet"，在其网络开发人员退出后放弃了集中式C2功能，转而专注于加载器和加密器开发。OLYMPO自称是由三名拥有十余年汇编编程经验的开发者组成的团队。

Olymp Loader具有以下防御规避和持久化特性：

• 完全采用汇编语言实现
• 支持32/64位、.NET、Java及原生恶意软件等多种载荷
• 二进制文件大小12MB至70MB（取决于用于注入的合法程序）
• 采用独特的shellcode初始化技术，可动态增删功能
• 具备自启动功能
• 通过UAC-Flood技术实现权限提升
• 自动将可执行文件加入Windows Defender排除列表
• 对模块和客户端载荷实施深度XOR加密
• 采用特殊算法绕过机器学习和启发式分析
• 所有模块和加载器存根均经过代码签名
• 支持LummaC2、StealC等窃密软件的LoadPE注入方法

商业模式与传播途径

该服务采用分级定价策略：基础版50美元，含个性化注入例程的高级版200美元，体现了专业化服务模式。

Outpost24研究人员发现其通过多种渠道传播：

• 上传至GitHub仓库的虚假Node.js安装程序
• 利用Amadey等付费安装（PPI）服务进行分发
• 伪装成PuTTY、OpenSSL、Zoom等合法工具的恶意程序
• 仿冒NodeJS、CapCut等知名品牌，使用盗取的证书和伪造图标

载荷分发与功能扩展

部署后，Olymp Loader主要分发以下恶意软件：

• 46%样本投放LummaC2
• 31%分发被归类为WebRAT的可执行文件
• 15%投放QasarRAT
• 8%关联Raccoon窃密软件

该平台还内置多种窃密模块，包括浏览器数据窃取、Telegram会话窃取（如tgsteal.py模块会终止Telegram进程，压缩本地数据与截图后通过代理外传）以及加密货币钱包窃取功能。

未来发展规划

OLYMPO的野心远超普通加载器。其发展路线图显示，Olymp将作为包含僵尸网络、加载器、加密器、安装服务和杀毒测试工具的综合套件。这种"一站式"犯罪软件栈显著降低了攻击门槛，加速了恶意工具从发布到实际利用的时间周期。

Olymp Loader体现了网络犯罪的工业化趋势——恶意软件不仅作为商品出售，还提供专业支持、功能更新和营销策略。通过整合加载器、加密器和窃密模块，OLYMPO正在将Olymp打造成可加速全球恶意软件活动的MaaS生态系统。

参考来源：

Olymp Loader: New Assembly-Based MaaS Is a Turnkey Solution for Low-Tier Cybercriminals

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）