2025年5月，微步情報局在日常威脅狩獵中，發現了一個以企業IT運維人員為主要攻擊目標的新黑產團伙。該團伙擁有較強的技術能力，已導致數百家企業用戶、大量PC和服務器中招。微步將其命名為夜梟，特點如下：

1、直指IT運維，危害較大：該團伙通過仿冒常見運維工具，誘導運維人員下載惡意軟件，竊取服務器IP地址、賬號密碼等敏感信息，遠程控制服務器，危害較大。

2、影響范圍廣，大量PC和服務器感染：本次攻擊活動已導致數百家用戶、大量PC和服務器感染，涉及教育、金融、國央企等多個行業，微步已檢測到攻擊達數萬次。

3、持續時間長，攻擊資源豐富：夜梟最早的攻擊活動出現于2024年底，期間高頻更新C2地址以及遠控樣本，目前仍在持續更新中。

4、技術手段高超，隱蔽性強：夜梟具備深度定制、開發惡意軟件的較強技術實力，同時使用了Windows和Linux惡意軟件，其Linux遠控木馬僅在使用時觸發惡意代碼，傳統殺毒軟件等檢測手段很難發現。

目前，微步威脅感知平臺TDP 、下一代威脅情報平臺NGTIP、威脅情報云API 、云沙箱S、沙箱分析平臺OneSandbox、互聯網安全接入服務OneDNS、威脅防御系統OneSIG、終端安全管理平臺OneSEC，均已支持對此次攻擊的檢測與防護。

“夜梟”利用SEM手段增加釣魚網站訪問量

2025年4月，微步情報局發現，在搜索引擎搜索“Xshell”、“WinSCP”、“PuTTY下載”、“寶塔”等運維軟件關鍵字，搜索引擎返回的結果中包含惡意的釣魚網站。釣魚網站來自網頁推廣商，利用了搜索引擎SEM機制將自己搜索結果排名靠前，甚至高于官方網站結果。

以仿冒寶塔釣魚為例。從2025年開始，寶塔技術論壇上就不斷有人討論關于仿冒寶塔釣魚網站的情況，論壇管理員也不斷發帖提醒。與此同時，夜梟不斷更新C2地址以及遠控工具，包括SparkRAT、Supershell等，每次回連的C2也會隨之發生變化，以混淆視聽并繞過安全設備的檢測，并且目前仍在持續更新中。

同時攻擊PC和服務器，竊取賬密完成遠控

木馬仿冒軟件主要分為兩大類。

第一類是針對Windows辦公終端的PuTTY，Xshell，WinSCP。當用戶訪問對應釣魚網站并點擊下載之后，會得到攜帶后門的軟件安裝包。

其中，針對開源的運維軟件（PuTTY，WinSCP）是基于源碼進行修改編譯，增加了后門代碼，運維人員在使用它們連接服務器時候觸發惡意代碼，將服務器的IP地址，端口，賬戶密碼等敏感信息上傳到攻擊者服務器。OneSEC檢測到偽裝為PuTTY的惡意軟件如下：

針對商業的運維軟件（Xshell）是基于nsis重新打包了軟件安裝程序，使用白加黑的技術加載惡意dll程序到Xshell進程中，hook ssh相關的導出函數去截獲敏感信息，最后上傳到攻擊者服務器。

第二類是針對服務器的寶塔軟件。當用戶點擊釣魚網站中的“立即免費安裝”，跳轉到寶塔安裝頁面，攻擊者替換了安裝腳本命令中的服務器地址，變成攻擊者服務器。

受害者使用攻擊者釣魚網站中的安裝命令，則會從攻擊者服務器下載安裝腳本。該腳本在寶塔官方的安裝腳本上添加了惡意代碼，竊取服務器外網地址、內網地址、用戶名和密碼等敏感信息，以及下載并執行惡意軟件，來遠程控制受害者服務器。微步云沙箱S對服務器惡意樣本檢出如下：

廣大企業安全運營團隊應當立刻采取措施，積極應對活躍黑產，成立專項運營小組、制定計劃，尤其是針對運維人員機器進行詳細排查：

1. 封禁釣魚網站、C2；

2. 排查運維人員管理服務器的登錄日志，確保沒有異常登錄行為；

3. 收斂企業對外登錄入口，避免賬密被攻擊者竊取后可直接登錄；

4. 當發現有失陷時，需明確中招員工身份，排查其經常訪問的系統，制定針對性的應急處置和修復計劃，使用EDR、HIDS等，分別檢測、清除PC終端和服務器上的惡意代碼；