FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全公司Securonix发现了一个名为SERPENTINE#CLOUD的新型恶意活动，该活动利用Cloudflare Tunnel子域名通过钓鱼邮件附件投递恶意载荷。这一复杂的多阶段感染链已在美国、英国、德国以及欧洲和亚洲多个国家被监测到。

钓鱼邮件触发攻击链

攻击初始阶段通过大规模发送钓鱼邮件展开，邮件主题涉及发票或付款相关内容。这些邮件包含ZIP格式附件，其中嵌入了伪装成PDF文档的Windows快捷方式(LNK)文件。一旦打开，该文件会从托管在Cloudflare Tunnel子域名上的远程WebDAV服务器下载脚本。攻击者利用这一手法，将广泛使用的云服务可信基础设施作为隐蔽传输层，规避了传统的基于域名的检测机制。

多阶段载荷投递

第二阶段通过cscript.exe执行Windows脚本文件(WSF)。这个用VBScript编写的脚本会从Cloudflare子域名获取外部批处理文件kiki.bat。为迷惑受害者，脚本会打开一个虚假PDF文档，同时检查杀毒软件并获取下一阶段载荷——基于Python的脚本。

最终阶段采用基于Python的加载器，使用知名开源内存shellcode加载工具Donut将恶意代码注入内存。已识别的远程访问工具(RAT)包括AsyncRAT、Revenge RAT、GuLoader、Remcos、PureLogs Stealer、XWorm和Venom RAT。这些工具完全在内存中运行，不在文件系统留下痕迹，极大增加了检测难度。

技术演进与隐蔽特性

研究人员指出，攻击者的初始访问载体正在演变——从过去依赖互联网快捷文件(URL)转向使用伪装成文档的标准Windows快捷文件(LNK)。这些文件通过.trycloudflare[.]com等子域名触发基于WebDAV的下载，使得恶意流量几乎无法与合法通信区分。

分析人员还在批处理和VBScript代码中发现了大量注释，暗示可能使用了大型语言模型(LLM)辅助生成代码。这些特性共同构成了一个高度规避、多层混淆的恶意活动。

新型攻击架构

SERPENTINE#CLOUD活动的有效性源于其结合了社会工程学、利用原生Windows工具的"就地取材"(LotL)技术以及隐蔽的内存执行。通过利用Cloudflare Tunnel，攻击者不仅确保了加密传输通道，还完全替代了传统的命令与控制架构，大幅降低了被网络安全专业人员检测或阻断的可能性。

Securonix警告称，该活动仍在持续并可能演变，或将针对新的地区和场景。虽然威胁行为者表现出熟练的英语能力，但其确切来源尚未确定。

参考来源：

SERPENTINE#CLOUD: Stealthy Malware Campaign Leverages Cloudflare Tunnels for In-Memory RAT Delivery

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）