行业新闻与博客

2025 年 10 月，美国一家大型房地产公司遭到使用新兴的 Tuoni C2 框架的高级入侵攻击。

Morphisec 观察到的此次攻击，并在今天发布的一份安全公告中进行了描述，该攻击结合了社会工程、隐写术和内存内执行。

该活动表明，威胁行为者如何将模块化指挥控制 (C2) 工具与人工智能辅助的投放方法相结合，以绕过传统的防御措施。

社会工程学作为出发点

据 Morphisec 称，该行动很可能是从冒充 Microsoft Teams 开始的。 

攻击者似乎伪装成可信联系人，诱骗一名员工运行恶意 PowerShell 单行命令。该命令启动了一个隐藏的 PowerShell 进程，并从远程服务器检索了一个辅助脚本。研究人员注意到，该加载器包含脚本注释和模块化结构模式，这些通常与人工智能生成的代码相关。

脚本执行后，会下载一个看似无害的 BMP 文件，并利用最低有效位（LSB）技术提取嵌入的 shellcode。这种隐写方法有助于隐藏后续的有效载荷。提取的代码随后完全在内存中运行，避免了磁盘上的痕迹。

动态执行和反射加载

该脚本没有直接调用可能触发安全工具的 API，而是使用内联 C# 代码，并通过 `Marshal.GetDelegateForFunctionPointer` 进行基于委托的调用。这种间接方式允许有效载荷动态解析和执行函数，从而增加了检测难度。

该过程最终通过反射加载 TuoniAgent.dll，而没有留下传统的指示器。

Tuoni 本身是一个模块化的后渗透框架，可通过 HTTP、HTTPS 或 SMB 进行通信。它支持广泛的系统操作命令、自动提权至 SYSTEM 权限以及仅在运行时解码的混淆导出。

其配置数据隐藏在编码的资源部分中，指向与该战役连接的两个 C2 服务器。

人工智能辅助装载机的应用日益广泛

此次事件反映了攻击者技术方面的几个更广泛的趋势。威胁组织越来越多地采用免费且文档齐全的 C2 框架，例如 Tuoni，这些框架可以轻松地与自定义加载器结合使用。

许多此类加载器现在都集成了人工智能生成的代码组件、隐写术和动态委托技术，以规避监控。传统的防病毒和端点检测与响应 (EDR) 工具难以应对此类内存反射技术，这使得模块化的 C2 交付链对威胁行为者更具吸引力。

Morphisec 告诉Infosecurity：“Tuoni C2 攻击表明攻击者如何利用人工智能和隐写术、内存执行等先进技术来规避传统防御措施。” 

“我们的自动化移动目标防御系统（AMTD）在攻击执行前就将其阻止，凸显了预防优先策略的重要性。随着像 Tuoni 这样的工具越来越普及，立即采取先发制人的网络防御策略对于应对这些不断演变的威胁至关重要。”