网络安全专家发现了一场复杂的攻击活动，攻击者利用 Cloudflare 的隧道基础设施来分发各种远程访问木马（RAT）。

　　自 2024 年 2 月以来，这一基础设施展现出了极强的韧性，它被用作恶意文件和木马的分发平台，使攻击者能够未经授权访问受害者的系统。

　　包括 Forcepoint、Fortinet、Orange 和 Proofpoint 在内的安全厂商已记录下这一持续存在的威胁，并强调了其不断演变的特性以及对全球各组织日益增长的影响。

　　附件通常使用 “application/windows-library+xml” 文件格式，与二进制文件相比，这种文件格式看似无害，因此常常能够绕过电子邮件安全网关。

　　当打开该文件时，它会与托管在 Cloudflare 隧道基础设施上的远程 WebDav 资源建立连接。

　　Sekoia 威胁检测与研究（TDR）团队的分析师一直在监测这一攻击基础设施，其内部将其称为 “利用 Cloudflare 隧道基础设施分发多种远程访问木马”。

　　即使在 2025 年，此次攻击的复杂性也表明了威胁行为者如何持续开发创新方法来绕过现代安全控制措施。

　　这一基础设施传送有效载荷，最终在被攻陷的系统上建立持久的远程访问权限，这可能导致数据被盗取，以及网络遭到进一步破坏。

　　这个快捷方式并不会打开合法文档，而是从同一远程服务器执行一个 HTA 文件。HTA 文件的内容揭示了攻击的进展过程：

　　这段脚本会触发一个 BAT 文件，该文件会安装 Python 并执行经过混淆处理的 Python 代码，然后将下一阶段的有效载荷注入到 “notepad.exe” 进程中。

　　为了实现持久化，恶意软件会在 Windows 启动文件夹中放置两个 VBS 文件和另一个 BAT 文件来创建启动项。

　　最后一个阶段使用 PowerShell 反射性地加载从带有嵌入式 base64 编码有效载荷的 JPEG 图像中下载的有效载荷。

　　这就建立了远程访问木马（RAT）与它的命令控制服务器之间的连接，通常会使用像 “ 这样的动态 DNS 服务进行通信。

　　这场攻击活动的演变表明，威胁行为者在不断调整他们的技术以绕过安全控制，这凸显了采用多层检测方法以及持续监测类似攻击模式的重要性隐藏vpn连接图标。