根据泄露资料显示,内部文件详细记录了APT35黑客组织的大规模网络间谍活动情况,包含完整的工作绩效报告、详细技术执行指南和日常操作记录。
2025年10月,一起重大网络数据泄露事件曝光了这个代号"迷人小猫"的APT35黑客组织的内部运作细节。该网络攻击团队长期隶属于伊朗情报部门管辖。
数千份泄露文件证实,该组织对中东和亚洲地区的政府机关与重点企业进行了系统性渗透。通过分析绩效报告、技术指南和操作日志,可以清晰还原这个受国家支持的黑客组织如何开展针对性网络间谍活动。
军事化运作体系
泄露资料表明,APT35的运作模式与传统军事组织高度相似,完全不同于普通黑客团体。DomainTools安全分析师发现,该组织建立了完整的绩效考核机制:操作人员需定期向主管汇报工作时长、任务完成情况和成功率,由主管汇总形成完整的行动报告。
这种严格的层级架构显示,操作人员都在配备门禁系统、固定工作时间和标准监管流程的集中化设施中工作。组织内部设有专门团队负责漏洞开发、凭证收集、钓鱼攻击和实时邮箱监控,从而获取有价值的情报信息。泄露文件中记载的攻击方式显示出高度的条理性和组织性。
攻击技术与目标范围
DomainTools安全研究人员指出,APT35主要通过ProxyShell漏洞利用链攻击Microsoft Exchange服务器,结合Autodiscover和EWS服务提取包含员工联络信息的全局通讯录。这些联系人清单成为后续精准钓鱼攻击的基础。
在获取初始访问权限后,该组织使用定制化工具建立持久化访问,并采用类似Mimikatz的技术从计算机内存中窃取更多凭证信息。这些被盗取的账号密码让攻击者能够在目标网络中横向移动并保持长期控制。
攻击活动的地理范围覆盖多个关键区域,具体目标包括土耳其、黎巴嫩、科威特、沙特阿拉伯、韩国和伊朗的政府部门、电信公司、海关机构和能源企业。泄露文件包含标注攻击成败情况的详细目标清单,以及用于维持访问权限的webshell路径。
战略情报搜集体系
从操作重点来看,该组织的攻击活动与伊朗政府战略目标保持高度一致,完全不是随机选择目标。获取外交通信、电信基础设施和关键能源领域的重要情报,为德黑兰政府进行地缘政治谈判和威胁评估提供了关键的决策依据。
漏洞利用与凭证收集流程
APT35的技术基础设施展现出对企业邮件系统的深入理解。该组织通过协调有序的漏洞利用流程攻击Exchange服务器:首先进行侦察扫描识别易受攻击的服务器,发现合适目标后部署伪装成合法系统文件的webshell以建立远程控制能力。
这些通常以m0s.*模式命名的webshell提供交互式命令行界面,操作人员通过特制HTTP头部进行访问。其基于Python的客户端工具将命令编码在Accept-Language头部中,并使用静态令牌进行认证,创建与合法网络流量融为一体的隐蔽通信渠道。
在获得初始访问权限后,该组织从Exchange服务器提取全局地址列表,将电子邮箱联系人信息转化为可用于后续钓鱼攻击的结构化数据。窃取的凭证会立即验证并重用于目标网络的其他系统。
泄露文件描述了可自动验证shell并提取邮箱内容的脚本,显示出成熟的能力建设水平。整个流程严格遵循内部手册记载的标准化模板,成功率记录在月度绩效报告中。这种系统化的Exchange入侵、凭证提取和钓鱼攻击整合方式,展现了APT35如何将技术漏洞转化为可量化产出的持续性情报收集行动。
