奇安信威胁情报中心近日披露一款名为 SetcodeRat 的新型特种木马程序。该木马具有明显的地域针对性,主要面向中文使用环境,并内置基于 Telegram 的高度定制化攻击功能,具备较强的隐蔽性和危害性。
据奇安信分析,SetcodeRat 在传播阶段即通过 SEO 技术进行投放,引导用户访问被污染的搜索结果页面。木马在运行后会首先对受害主机进行地区校验,仅当检测到目标位于中文地区时(包括中国大陆、香港、澳门及台湾地区),才会继续执行后续恶意代码。
同时,该木马还会尝试访问 bilibili 相关 API 接口,以此作为环境验证手段之一。若访问失败,恶意程序将自动终止运行,从而降低在非目标区域暴露的风险。
奇安信监测数据显示,SetcodeRat 最早于 2025 年 10 月开始活跃,在短短一个月内已感染数百台计算机,受害范围涉及部分政府机构及企业单位,显示出明确的定向攻击特征。
在功能层面,SetcodeRat 具备多项高危能力,包括但不限于:
劫持 Telegram 聊天中的 USDT 钱包地址,实现资金转移
接收远程指令,执行控制操作
实时屏幕截图
键盘记录,窃取敏感信息
奇安信方面表示,目前其相关安全引擎已可对 SetcodeRat 木马进行默认识别与拦截,并建议政府及企业用户持续加强终端防护、关注异常 SEO 链接访问行为,同时提高对社交软件与数字资产安全的重视程度,以防范类似定向攻击威胁。
