网络安全公司ESET报告称，黑客组织TheWizards利用IPv6的SLAAC功能，通过中间人攻击劫持软件更新，以安装Windows恶意软件。攻击者伪造路由器通告，诱导系统使用其控制的IP地址作为网关，从而拦截通信并重定向流量。恶意软件伪装成合法软件，监控特定域名流量，尤其是中国软件更新服务器，一旦发现连接请求，就会下载恶意更新，安装后门程序，实现对设备的持续控制。

🛡️ 黑客组织TheWizards利用IPv6网络中的无状态地址自动配置（SLAAC）功能，发起中间人攻击（AitM），劫持软件更新来安装恶意软件。

📡 攻击者通过定制工具Spellbinder，发送伪造的路由器通告（RA）消息，诱导附近系统获取新的IPv6地址、DNS服务器及默认网关。而这个网关实际上是“Spellbinder”工具的IP地址，使得攻击者能够拦截通信并重定向流量。

📦 恶意软件通过名为“AVGApplicationFrameHostS.zip”的压缩文件传播，解压后伪装成合法软件目录，其中包含恶意文件“wsc.dll”，借助合法工具“winpcap.exe”加载“Spellbinder”至内存。

🌐 感染后，该工具监控特定域名流量，尤其是腾讯、百度、迅雷、优酷、爱奇艺等中国软件更新服务器相关的域名。一旦发现连接请求，它会重定向下载恶意更新，安装后门程序“WizardNet”，实现对设备的持续控制。

IT之家 5 月 1 日消息，网络安全公司 ESET 昨日（4 月 30 日）发布博文，报道称黑客组织 TheWizards 利用 IPv6 网络功能，发起“中间人攻击”（AitM），劫持软件更新以安装 Windows 恶意软件。

报告指出该组织利用 IPv6 协议中的“无状态地址自动配置”（SLAAC）功能，实施“SLACC 攻击”。IT之家注：SLAAC 无需依赖 DHCP 服务器，支持设备自动配置 IP 地址和默认网关。

该黑客组织通过其定制工具 Spellbinder，发送伪造的路由器通告（RA）消息，诱导附近系统自动获取新的 IPv6 地址、DNS 服务器及默认网关。而这个网关实际上是“Spellbinder”工具的 IP 地址，让攻击者能拦截通信并将流量重定向至其控制的服务器。

“Spellbinder”通过名为“AVGApplicationFrameHostS.zip”的压缩文件传播，解压后伪装成合法软件目录“% PROGRAMFILES%\AVG Technologies”。其中包含恶意文件“wsc.dll”，借助合法工具“winpcap.exe”加载“Spellbinder”至内存。

感染后，该工具监控特定域名流量，尤其是腾讯、百度、迅雷、优酷、爱奇艺、金山、芒果 TV、风行、有道、小米、小米 MIUI、PPLive、美图、奇虎 360 和暴风（按照原文排序）等中国软件更新服务器相关的域名。一旦发现连接请求，它会重定向下载恶意更新，安装后门程序“WizardNet”，让攻击者持续控制设备并安装更多恶意软件。