VOID#GEIST多阶段恶意软件分发XWorm、AsyncRAT和Xeno RAT

2026年3月6日，Securonix威胁研究团队披露了一种名为VOID#GEIST的新型多阶段恶意软件攻击活动，该活动使用批处理脚本分发多种远程访问木马(RAT)。

攻击链分析

VOID#GEIST采用复杂的多阶段攻击链：

第一阶段：攻击者分发混淆的批处理脚本，该脚本负责：

• 部署第二阶段的批处理脚本
• 准备合法的嵌入式Python运行时
• 解密加密的shellcode blob

第二阶段：使用"Early Bird APC注入"技术将解密后的shellcode注入到独立的explorer.exe进程中执行。

第三阶段：根据攻击者的配置，部署以下RAT之一：

• XWorm：功能强大的远程访问木马
• AsyncRAT：开源远程管理工具
• Xeno RAT：新兴的恶意远程控制软件

技术特点

Securonix研究人员指出："现代恶意软件活动正越来越多地从独立可执行文件转向复杂的基于脚本的交付框架，这些框架密切模仿合法用户活动。"

VOID#GEIST的关键特征包括：

• 大量使用混淆技术逃避静态分析
• 内存执行避免留下磁盘痕迹
• 使用合法进程进行注入以逃避检测
• 模块化设计允许灵活更换最终载荷

感染指标(IOC)

安全团队已识别出以下感染指标：

• 异常的批处理脚本执行
• Python运行时的非预期实例
• explorer.exe的异常子进程
• 对已知恶意IP地址的网络连接

防御建议

Securonix建议组织采取以下措施：

1. 启用PowerShell和命令行日志记录
2. 实施应用程序白名单
3. 监控异常的进程注入行为
4. 使用行为分析检测内存威胁
5. 定期更新端点安全解决方案

来源：Securonix Threat Research、The Hacker News