俄罗斯医疗和 IT 行业正遭遇新一轮钓鱼攻击，幕后黑手被认定为行踪诡秘的 “彩虹鬣狗”（Rainbow Hyena）威胁团伙。据 BI.ZONE 威胁情报团队透露，该团伙部署了一款此前未被记录的后门程序PhantomRemote，展现出较高的技术成熟度和不断升级的攻击策略。

攻击者利用合法机构的 compromised 电子邮件账户发送邮件，主题包括：

《运输单 TTN 第 391-44 号（2025 年 6 月 26 日）》《合同 RN83-371》

每封邮件均附带一个 “多语言” ZIP 附件，表面看似合法压缩包，实则包含 PE32 + 格式的 DLL 文件，内部还藏有一个.LNK 文件，用于启动隐蔽的感染链。

该.LNK 文件的设计功能包括：

在用户目录中搜索上述 “多语言” ZIP 文件通过 rundll32.exe 执行嵌入的 DLL 文件将诱饵文档解压至 TEMP 文件夹以降低用户怀疑通过隐蔽的 PowerShell 命令打开诱饵文件

BI.ZONE 解释道：“这些邮件包含‘多语言’ZIP 附件…… 其中隐藏了一个诱饵文档和一个含.LNK 文件的 ZIP 压缩包。”

从.LNK 文件中的一个示例命令可见，此次攻击链嵌入极深且经过混淆处理，融合了 PowerShell、ZIP 解压和 DLL 注入等多种技术。

BI.ZONE 最重要的发现是一个全新的恶意软件家族 ——PhantomRemote，这是一款用 C++ 编写的 PE32 + 格式 DLL 文件。

PhantomRemote 一旦执行，会进行以下操作：

收集系统元数据，包括 GUID、计算机名和域名在 % PROGRAMDATA% 目录下创建隐藏工作目录，如 “YandexCloud” 或 “MicrosoftAppStore”与命令控制（C2）服务器建立通信，服务器地址为 http://91.239.148 [.] 21/poll?id=&hostname=&domain=通过 cmd.exe 执行命令、下载文件，并通过 HTTP POST 请求发送结果

值得注意的是，其通信流量使用 “YandexCloud/1.0”“MicrosoftAppStore/2001.0” 等自定义 User-Agent 头部，以伪装成合法软件流量。

PhantomRemote至少支持两种命令类型：

cmd:<命令>：执行系统命令并捕获输出结果download:<URL>：从指定 URL 获取文件并存储至工作目录

执行命令后，PhantomRemote 会等待 10 秒；若命令执行失败，则等待 1 秒。这一机制表明其具备基础但有效的延迟控制功能。

报告指出：“该后门程序收集受 compromise 系统的信息，从命令控制服务器加载其他可执行文件，并通过 cmd.exe 解释器运行命令。”

BI.ZONE 提到，“彩虹鬣狗” 最初被认为是一个黑客激进组织，如今已逐渐转向间谍活动和以经济利益为目的的网络犯罪。

报告总结道：“黑客激进组织正越来越多地转向间谍活动、敛财等更常规的非法活动，同时采用更复杂的方法和工具。”