APT34
APT34(亦被安全厂商追踪为 OilRig、Helix Kitten、Earth Simnavaz、Hazel Sandstorm 等多个别名)是一个与伊朗政府有关联的高级持续性威胁(APT)组织,自 2014 年以来持续活跃[^c1]。该组织被评估为代表伊朗情报与安全部(MOIS)开展网络间谍活动,主要目标集中于中东地区的政府、能源、电信和金融等行业[^c2]。APT34 以其持续不断的攻击活动、不断演进的恶意工具集以及灵活多变的攻击手法而闻名,被业界描述为"虽非技术最为精湛,但在执行任务方面极为执着"[^c3]。
APT34 的攻击活动覆盖了整个中东地区,尤其聚焦于波斯湾国家,包括沙特阿拉伯、阿联酋、卡塔尔、科威特、巴林、阿曼,以及以色列、约旦、伊拉克、黎巴嫩、也门和土耳其[^c1]。该组织还将其触角延伸至美国、英国、阿尔巴尼亚、中国、巴基斯坦和乌兹别克斯坦等国家。2024 年以来,APT34 针对中东地区的攻击活动显著增加,特别是针对海湾国家政府部门的基础设施[^c4]。2025 年初,该组织开始利用 [[技术/AI工具采用|人工智能技术(如 Google Gemini)]] 增强其攻击能力,用于编写恶意代码、识别漏洞和收集目标情报[^c5]。
APT34 拥有庞大的恶意软件武器库,涵盖超过 25 种已知工具家族,包括早期基于 PowerShell 的后门 Helminth、基于 DNS 隧道的 BONDUPDATER(Glimpse)、利用 Exchange 服务器通信的 Karkoff 和 STEALHOOK、以及具备内核级别隐蔽能力的 LIONTAIL 框架。该组织还曾开发破坏性擦除器 ZeroCleare,针对中东能源和工业组织实施数据销毁攻击。2019 年,一名化名为 [[历史/Lab_Dookhtegan泄露事件|Lab Dookhtegan]] 的泄密者在 Telegram 上公开了 APT34 的六款黑客工具源代码以及来自 66 个受害组织的凭证数据,同时曝光了伊朗情报部官员的个人信息[^c6]。这一事件成为该组织历史上最大规模的操作安全泄露。
APT34 的结构被认为由多个子团队组成,这些团队共享部分资源和工具,同时各自拥有定制化的恶意软件和攻击方法[^c7]。已知的子群组包括 Scarred Manticore(Check Point 追踪)、BladedFeline(ESET 发现,针对伊拉克库尔德斯坦地区长达八年的渗透)以及与 APT34 存在工具重叠的 FOX Kitten。该组织还通过拉文学院(Ravin Academy)等幌子机构招募和培训网络作战人员,该学院由两名 MOIS 高级官员于 2019 年创立,已被美国、英国和欧盟列入制裁名单。