行業新聞與部落格

2026 年 2 月下旬，有人試圖在金融服務環境中部署一種此前未被記錄的遠端訪問木馬 (RAT)，該木馬名為 STX RAT 。

eSentire 的威脅響應部門追蹤到的這款惡意軟體，使用與其命令和控制 (C2) 流量相關的獨特通訊標記，並表現出高度的技術複雜性。

研究人員表示，該惡意軟體依靠機會主義的傳播方式，包括透過瀏覽器下載的指令碼和木馬安裝程式來獲取初始訪問許可權。

複雜的交付和執行鏈

STX RAT 透過多階段指令碼進行傳播，這些指令碼能夠提升許可權並直接在記憶體中執行有效載荷，從而繞過傳統的基於檔案的檢測。在一個已觀察到的案例中，一個 VBScript 檔案生成並啟動了一個 JScript 元件，該元件隨後檢索了一個包含主有效載荷和 PowerShell 載入器的壓縮存檔。

主要特點包括：

• 使用 XXTEA 加密和 Zlib 壓縮的多階段解包

• 透過 PowerShell 和反射載入技術進行記憶體執行

• 多種持久化機制，包括基於登錄檔的自動執行和 COM 劫持

STX RAT 的一個顯著特點是其加密通訊協議。它採用現代加密技術來保護受感染系統和攻擊者基礎設施之間的資料交換，從而增加了攔截和分析的難度。

該惡意軟體還會延遲執行憑證竊取功能，直到收到來自其命令伺服器的明確指令。這降低了在自動分析過程中可檢測到的行為。

防禦規避措施十分全面。 STX RAT 會掃描虛擬環境，如果懷疑存在分析行為則終止執行，並使用多層加密技術模糊內部字串。

廣泛的監視和控制能力

一旦啟用，該惡意軟體即可讓攻擊者透過隱藏的虛擬桌面遠端控制受感染的計算機。此功能允許攻擊者在使用者不知情的情況下執行各種操作。

它的功能包括從瀏覽器、 FTP 客戶端和加密貨幣錢包中竊取敏感資訊。它還可以執行其他惡意程式碼、建立網路隧道和模擬使用者輸入。

該命令結構支援多種後滲透操作，從憑證提取到完整的系統互動。 eSentire 指出，其設計表明仍在持續開發中，某些功能尚未完全實現。

研究人員表示，團隊已隔離受影響系統以遏制威脅，並正在持續監控相關活動。該公司還敦促各組織加強終端安全防護，並限制其遭受指令碼攻擊的風險，此類攻擊通常用於初始入侵階段。