行业新闻与博客

2026 年 2 月下旬，有人试图在金融服务环境中部署一种此前未被记录的远程访问木马 (RAT)，该木马名为 STX RAT 。

eSentire 的威胁响应部门追踪到的这款恶意软件，使用与其命令和控制 (C2) 流量相关的独特通信标记，并表现出高度的技术复杂性。

研究人员表示，该恶意软件依靠机会主义的传播方式，包括通过浏览器下载的脚本和木马安装程序来获取初始访问权限。

复杂的交付和执行链

STX RAT 通过多阶段脚本进行传播，这些脚本能够提升权限并直接在内存中执行有效载荷，从而绕过传统的基于文件的检测。在一个已观察到的案例中，一个 VBScript 文件生成并启动了一个 JScript 组件，该组件随后检索了一个包含主有效载荷和 PowerShell 加载器的压缩存档。

主要特点包括：

• 使用 XXTEA 加密和 Zlib 压缩的多阶段解包

• 通过 PowerShell 和反射加载技术进行内存执行

• 多种持久化机制，包括基于注册表的自动运行和 COM 劫持

STX RAT 的一个显著特点是其加密通信协议。它采用现代加密技术来保护受感染系统和攻击者基础设施之间的数据交换，从而增加了拦截和分析的难度。

该恶意软件还会延迟执行凭证窃取功能，直到收到来自其命令服务器的明确指令。这降低了在自动分析过程中可检测到的行为。

防御规避措施十分全面。 STX RAT 会扫描虚拟环境，如果怀疑存在分析行为则终止执行，并使用多层加密技术模糊内部字符串。

广泛的监视和控制能力

一旦激活，该恶意软件即可让攻击者通过隐藏的虚拟桌面远程控制受感染的计算机。此功能允许攻击者在用户不知情的情况下执行各种操作。

它的功能包括从浏览器、 FTP 客户端和加密货币钱包中窃取敏感信息。它还可以执行其他恶意代码、创建网络隧道和模拟用户输入。

该命令结构支持多种后渗透操作，从凭证提取到完整的系统交互。 eSentire 指出，其设计表明仍在持续开发中，某些功能尚未完全实现。

研究人员表示，团队已隔离受影响系统以遏制威胁，并正在持续监控相关活动。该公司还敦促各组织加强终端安全防护，并限制其遭受脚本攻击的风险，此类攻击通常用于初始入侵阶段。