用C++重写的Millenium RAT已感染全球160多个国家超6.2万台设备 一款名为Millenium RAT的远程访问木马正在全球范围内悄然传播其感染规模令人震惊。目前已有超过160个国家的6.2万台设备遭到入侵且感染速度未见减缓迹象。仅2026年第一季度就有超过3.9万台设备被感染表明攻击活动正在持续扩大。该恶意软件最初由CYFIRMA在2023年11月的威胁报告中披露当时版本号为2.4。如今已升级至第4版技术架构完全重构攻击能力显著增强主要针对全球Windows设备。攻击组织与传播模式Group-IB分析师将这一活跃攻击活动归因于名为Y2K Operators的黑客组织。该恶意软件的开发者使用shinyenigma作为代号在地下论坛和GitHub等平台公开推广。Group-IB向网络安全新闻(CSN)提供的报告显示该工具以恶意软件即服务(Malware-as-a-Service)形式出售首月费用50美元续费10美元或支付90美元获得终身使用权。技术架构升级第4版最重大的变化是从.NET完全重写为原生C消除了对受害者设备上.NET框架的依赖大幅提升了隐蔽性。该木马通过Telegram Bot API与攻击者通信将命令控制流量伪装成普通网络活动无需专用服务器。执行后RAT会从嵌入式文件资源加载加密配置包含Telegram机器人令牌、聊天ID、持久化设置和键盘记录选项。数据采用Base64编码并通过自定义XOR算法保护额外添加随机数据以改变文件哈希值规避基于签名的检测。多样化攻击能力该RAT功能全面可窃取浏览器凭据和Cookie、截取屏幕和摄像头图像、录制音频、记录键盘输入、获取Telegram和Discord会话数据以及加密受害者文件。所有命令都通过Telegram下发无需专用服务器。持久化机制通过将有效载荷复制到%APPDATA%并添加注册表自启动项实现。恶意软件还尝试通过标准Windows UAC提示进行权限提升依赖用户授权。所有功能都基于标准Windows API调用未使用0Day漏洞完全依赖用户信任实施攻击。社会工程传播手段Y2K Operators完全依赖欺骗手段传播Millenium RAT。文件被伪装成信用卡生成器、加密货币余额检查器、黑客工具包、破解软件和游戏实用程序。文件名经过精心设计诱使目标立即打开广泛撒网以覆盖尽可能多的受害者类型。攻击者甚至会将已知RAT和漏洞利用工具植入后门后重新分发。潜在攻击者下载看似可用的工具后反而被感染。在某次攻击活动中受害者收到伪装成PDF的快捷方式触发PowerShell静默运行在获取RAT有效载荷的同时下载诱饵文档并在前台打开文档作为掩护。感染后有效载荷会伪装成svchost.exe、MsEdgeUpdate.exe和Microsoft Antivirus.exe等常见进程。安全专家建议用户将意外的UAC提示视为可疑行为避免运行不可信来源的文件日常使用非管理员账户保持系统补丁更新并启用多因素认证以降低凭证被盗风险。入侵指标(IoCs)注IP地址和域名已进行无害化处理(如使用[.]代替.)防止意外解析或超链接。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中可恢复原始格式。