摘要：微软观察到一个与曹县有关的 APT 组织，被命名为 Moonstone Sleet，自 2025 年 2 月以来在有限的攻击中部署了Qilin 勒索软件。该 APT 组织之前使用过自定义勒索软件，之后又使用了 Qilin 勒索软件。

微软观察到一个与曹县有关的 APT 组织，被命名为 Moonstone Sleet，自 2025 年 2 月以来在有限的攻击中部署了Qilin 勒索软件。该 APT 组织之前使用过自定义勒索软件，之后又使用了 Qilin 勒索软件。

微软在 X 上写道：“Moonstone Sleet 此前曾在攻击中专门部署过他们自己定制的勒索软件，这是他们第一次部署由 RaaS 运营商开发的勒索软件。”

2024 年 5 月，微软观察到与曹县有关的组织“Moonstone Sleet”（之前追踪为 Storm-1789）使用已知和新颖的技术（如虚假公司、木马工具、恶意游戏和定制勒索软件）来获取经济利益和进行间谍活动。

Storm-1789 最初与其他曹县威胁组织有联系，后来采用了独特的战术、工具和攻击基础设施。

Moonstone Sleet 组织使用木马软件、自定义恶意软件、恶意游戏以及 StarGlow Ventures 和 CC Waterfall 等虚假公司来瞄准金融和网络间谍受害者，以便在 LinkedIn、自由职业网站、Telegram 和电子邮件上吸引受害者。

该 APT 组织还通过欺诈性坦克游戏 (DeTankWar) 传播恶意软件，并使用 FakePenny 发动勒索软件攻击。此外，他们还试图通过冒充求职的软件开发人员来渗透组织。

Qilin 勒索软件组织至少从 2022 年开始活跃，但在 2024 年 6 月因攻击英国政府医疗服务提供商Synnovis而受到关注。该组织通常采用“双重勒索”的方式，窃取和加密受害者的数据，然后威胁除非支付赎金，否则将其公开。

2024 年 7 月，Sophos 的事件响应团队在组织的 Active Directory 域内的域控制器上观察到了 Qilin 的活动，其他域控制器也受到感染，但受到的影响不同。

微软威胁情报全文：

新闻链接：

来源：会杀毒的单反狗