行業新聞與博客

2026 年 2 月下旬，有人試圖在金融服務環境中部署一種此前未被記錄的遠程訪問木馬 (RAT)，該木馬名為 STX RAT 。

eSentire 的威脅響應部門追蹤到的這款惡意軟件，使用與其命令和控制 (C2) 流量相關的獨特通信標記，並表現出高度的技術複雜性。

研究人員表示，該惡意軟件依靠機會主義的傳播方式，包括通過瀏覽器下載的腳本和木馬安裝程序來獲取初始訪問權限。

複雜的交付和執行鏈

STX RAT 通過多階段腳本進行傳播，這些腳本能夠提升權限並直接在內存中執行有效載荷，從而繞過傳統的基於文件的檢測。在一個已觀察到的案例中，一個 VBScript 文件生成並啓動了一個 JScript 組件，該組件隨後檢索了一個包含主有效載荷和 PowerShell 加載器的壓縮存檔。

主要特點包括：

• 使用 XXTEA 加密和 Zlib 壓縮的多階段解包

• 通過 PowerShell 和反射加載技術進行內存執行

• 多種持久化機制，包括基於註冊表的自動運行和 COM 劫持

STX RAT 的一個顯著特點是其加密通信協議。它採用現代加密技術來保護受感染系統和攻擊者基礎設施之間的數據交換，從而增加了攔截和分析的難度。

該惡意軟件還會延遲執行憑證竊取功能，直到收到來自其命令服務器的明確指令。這降低了在自動分析過程中可檢測到的行為。

防禦規避措施十分全面。 STX RAT 會掃描虛擬環境，如果懷疑存在分析行為則終止執行，並使用多層加密技術模糊內部字符串。

廣泛的監視和控制能力

一旦激活，該惡意軟件即可讓攻擊者通過隱藏的虛擬桌面遠程控制受感染的計算機。此功能允許攻擊者在用户不知情的情況下執行各種操作。

它的功能包括從瀏覽器、 FTP 客户端和加密貨幣錢包中竊取敏感信息。它還可以執行其他惡意代碼、創建網絡隧道和模擬用户輸入。

該命令結構支持多種後滲透操作，從憑證提取到完整的系統交互。 eSentire 指出，其設計表明仍在持續開發中，某些功能尚未完全實現。

研究人員表示，團隊已隔離受影響系統以遏制威脅，並正在持續監控相關活動。該公司還敦促各組織加強終端安全防護，並限制其遭受腳本攻擊的風險，此類攻擊通常用於初始入侵階段。