新型 Sorillus RAT 通过隧道服务攻击欧洲组织

2025 年 3 月，比利时 Orange Cyberdefense 托管威胁检测团队发现一个重要进展：一个欧洲客户成为使用 Sorillus 远程访问木马 (RAT) 的恶意感染链的攻击对象。

进一步分析显示，此次攻击活动影响西班牙、葡萄牙、意大利、法国、比利时和荷兰的组织。

此次行动在 2025 年 5 月初也被 Fortinet 称为“Ratty RAT”，它使用以发票为主题的网络钓鱼电子邮件作为其初始访问媒介，传递一个恶意 JAR 文件，该文件会安装 Sorillus RAT，这是一种基于 Java 的恶意软件，于 2019 年首次发现。

该活动利用 OneDrive、MediaFire 等合法服务以及 Ngrok 和 LocaltoNet 等隧道平台来掩盖其恶意流量并逃避检测，展示了社会工程和技术复杂性的战略结合。

感染链始于一封网络钓鱼电子邮件，通常从受感染的域名（例如西班牙中小企业的电子邮件地址）发送，其中包含伪装成发票的PDF 附件，标题为“Facture.pdf”。

此 PDF 嵌入了一个流对象，单击该对象时，受害者会重定向到 OneDrive 托管的 PDF，并带有“打开文档”按钮。

此按钮进一步通过 Ngrok（一种充当流量分配系统 (TDS) 的分布式反向代理）将用户转移到恶意服务器。

服务器会对受害者的浏览器和语言设置进行检查，将非目标用户重定向到良性发票，通过 MediaFire 将伪装成 PNG 图像的 JAR 文件传送到合适的目标。

执行后，JAR 文件通过修改注册表子项建立持久性并连接到命令和控制 (C2) 服务器，该服务器通常托管在 LocaltoNet 或 playit.gg 隧道代理后面。

该 JAR 文件由 Orange Cyberdefense 反编译，揭示了使用“[Il]{5,}”等模式和使用 AES ECB 加密配置的混淆代码，支持按键记录、网络摄像头/音频录制、文件泄露以及跨 Windows、macOS、Linux 甚至 Android 的系统操作等功能，这些功能在 2024 年的最新 V7 和 V8 版本中均有出现。

历史背景

Sorillus RAT 最初由名为“Tapt”的开发商在现已停用的 sorillus.com 网站上以低至 19.99 欧元的价格在线销售，自 2019 年以来，它通过以经济为目的的活动不断发展。

尽管其商业基础设施于 2025 年 1 月被拆除（可能与 FBI 针对 SellIX 的 Operation Talent 有关），但破解版本仍然可以在 Telegram 和 GitHub 等平台上广泛访问。

Abnormal AI、eSentire 和 Kaspersky 在 2022 年至 2024 年间观察到的历史感染链反映了当前的策略，通常通过 mega.nz 或 Firebase Hosting 等服务使用税收或发票诱饵。

值得注意的是，最近的发现，包括带有巴西葡萄牙语日志消息的植入器和嵌入巴西歌曲“Negro Drama”歌词的 VBS 脚本，强烈表明该恶意软件是使用巴西语的威胁组织所为。

混淆技术的变化，2025 年 2 月测试样本中的 Zelix KlassMaster 或 base64，以及通过 XOR 加密的 shellcode 传递 Sorillus 和 AsyncRAT 的双负载投放器，进一步凸显了这些参与者的适应性。

此次活动凸显了可访问的恶意软件工具对欧洲实体的持续威胁，它们利用合法服务以惊人的效率绕过传统安全措施。

技术报告：

https://www.orangecyberdefense.com/global/blog/cert-news/from-sambaspy-to-sorillus-dancing-through-a-multi-language-phishing-campaign-in-europe

新闻链接：

https://gbhackers.com/new-sorillus-rat-targets-european-organizations/