MarsSnake 后门：全球间谍活动的隐秘网络工具

又一个数字威胁浮现

在全球网络间谍活动中，一种名为MarsSnake的新发现后门程序正引起安全分析师的关注。MarsSnake 与一个名为UnsolicitedBooker的神秘威胁组织存在关联，该组织据信与中国有联系。该后门程序是在针对位于沙特阿拉伯的一家国际组织的一系列网络攻击中浮出水面的。

据报道，UnsolicitedBooker 虽然相对隐蔽，但曾使用高度精准的网络钓鱼活动来获取初始访问权限。这些电子邮件被精心设计，看似合法，通常以机票预订为诱饵，并已发送至亚洲、非洲和中东各地的组织。这些攻击持续不断，记录在案的事件分别发生在 2023 年、2024 年和 2025 年初，表明该组织对特定地缘政治目标有着持续的兴趣。

攻击剖析

MarsSnake 攻击活动所使用的渗透手段体现了其精心策划的行动。攻击者发送伪装成沙特阿拉伯航空公司通讯的电子邮件，并附带一个 Microsoft Word 附件，内容疑似航班行程单。虽然该文档看似无害，但实际上被植入了一个宏，一旦启用，就会在受害者计算机上部署一个名为smssdrvhost.exe的可执行文件。

该文件充当加载器，最终安装 MarsSnake 后门。一旦激活，MarsSnake 就会与外部命令与控制 (C&C) 服务器建立联系，使攻击者能够与受感染的系统进行交互。MarsSnake 提供的访问权限包括执行命令、操作文件，甚至可能安装其他恶意软件——所有这些都是通过攻击者的基础设施进行远程控制的。

MarsSnake 是什么？它为何重要？

MarsSnake 不仅是一款后门程序，更是一款功能强大且灵活的网络间谍工具。由于其操作范围广泛，使其成为任何高级持续性威胁 (APT) 组织的有力工具。MarsSnake 目前由 UnsolicitedBooker 独家开发，这表明其开发和部署具有一定的专业性。

这种排他性也引发了人们对其背后战略目标的质疑。网络安全专家认为，MarsSnake 并非大规模攻击工具，而是一款旨在精准定位、渗透特定高价值机构的工具。针对沙特阿拉伯某个机构的多次攻击表明，其目标是长期情报收集，而非快速获取经济利益或破坏秩序。

与其他威胁行为者的联系

尽管 UnsolicitedBooker 在 APT 生态系统中相对较新，但其策略和工具集与其他与中国相关的组织类似。他们使用 Chinoxy、 DeedRAT 、Poison Ivy 和 BeRAT 等常见后门，这与Space Pirates和APT15等威胁集群的行动中观察到的行为一致。

此外，APT15 旗下的另一个实体DigitalRecyclers等组织也开展了类似的攻击活动。DigitalRecyclers 使用其自有的恶意软件套件（包括一个名为HydroRShell 的后门）攻击了欧洲政府机构。与 MarsSnake 类似，HydroRShell 旨在执行远程命令，并使用复杂的方法与其控制服务器通信，包括 Google 的协议缓冲区 (Protobuf)。

更大的图景：其含义是什么？

MarsSnake 及其相关活动的发现凸显了日益演变的网络威胁环境，其中后门程序正变得越来越先进，并针对其目标进行定制。对于国际组织，尤其是政府、外交或关键基础设施领域的组织而言，像 MarsSnake 这样的工具的存在凸显了健全网络安全实践的重要性。

这些攻击也反映了数字领域更广泛的地缘政治紧张局势。随着各国争夺战略优势，网络间谍活动已成为一种受青睐的策略。像MarsSnake这样的工具正体现出一种更广泛的趋势：与国家结盟的组织会进行长期监控，以收集敏感情报。

前进

虽然MarsSnake可能不会影响普通用户，但它的存在表明，网络安全领域的国际合作日益重要。各组织必须警惕鱼叉式网络钓鱼活动，并投资于能够识别隐蔽、长期入侵的威胁检测工具。

对于研究人员和防御者来说，追踪像 MarsSnake 这样的恶意软件家族，能够深入了解威胁行为者的能力和意图。持续分析和共享威胁情报，对于防范这些复杂的攻击活动至关重要。

MarsSnake 可能只是更大网络谜题中的一块碎片，但它的出现清楚地提醒我们，争夺数字主导权的斗争依然十分激烈，并且还在不断演变。