Steaelite RAT

信息安全研究人员发现了一种名为 Steaelite 的新型 Windows 远程访问木马 (RAT)。该木马最初于 2025 年 11 月在犯罪论坛上宣传为“最佳 Windows RAT”，声称具备完全无法检测 (FUD) 的功能。该恶意软件旨在 Windows 10 和 Windows 11 环境下无缝运行，这大大扩大了其潜在受害者群体。

统一的网络犯罪平台：数据盗窃与勒索软件的结合

与市面上面向网络犯罪分子的传统现成远程访问木马（RAT）不同，Steaelite 将多种攻击功能整合到一个集中式的 Web 控制面板中。值得注意的是，它将数据窃取和勒索软件部署合并到一个集成框架中。据报道，Steaelite 正在开发 Android 勒索软件模块，这表明其计划进行跨平台扩展。

管理面板还嵌入了各种面向开发者的实用工具，以简化恶意操作，包括：

• 键盘记录功能
• 攻击者和受害者之间的实时聊天
• 文件搜索功能
• 基于USB的传播
• 桌面壁纸修改
• 用户帐户控制 (UAC) 绕过
• Clipper 针对加密货币交易的功能

将间谍活动、破坏活动和盈利工具整合到一个控制面板中，反映了威胁行为者为提高运营效率而采取的刻意举措。

防御规避和持续生存机制

Steaelite 融合了多种激进的规避和系统控制功能，旨在持续控制受感染的系统。这些功能包括清除其他恶意软件、禁用 Microsoft Defender 以及配置安全排除项以避免被检测到。持久化机制确保恶意软件在系统重启后依然存在，并保持长期访问权限。

这种内置的防御性对策凸显了对终端安全控制和事件响应技术的深刻理解。

强大的远程控制和监控功能

Steaelite 的核心在于提供强大的远程管理和监控功能，旨在让攻击者完全控制受感染的系统。该恶意软件支持远程代码执行和全面的文件管理，包括任意文件执行。它能够实时传输屏幕内容，并直接访问受害者的网络摄像头和麦克风，从而实现实时监控。此外，它还提供进程管理、剪贴板监控和密码窃取功能，同时还能枚举已安装程序并追踪设备位置。攻击者可以通过该平台远程启动 URL、发起分布式拒绝服务 (DDoS) 攻击，甚至直接编译 VB.NET 有效载荷。

所有这些功能都通过一个基于浏览器的控制面板进行协调，该面板集中控制受感染的Windows计算机。通过这个单一界面，攻击者无需任何额外的工具或基础设施即可窃取凭据、窃取敏感文件、进行实时监控并部署勒索软件。

实现精简的双重勒索操作

Steaelite 的架构使单个攻击者无需切换工具即可执行全方位的入侵活动。他们可以从同一个控制面板浏览和窃取文件、收集凭据并部署勒索软件。

这种整合使得双重勒索活动得以简化，窃取的数据与加密技术相结合，最大限度地对受害者施加经济压力，所有这些都通过一个统一的平台进行协调。