XMRig 加密劫持活动

经过广泛调查，警方揭露了一起复杂的加密劫持活动，该活动利用盗版软件捆绑包感染系统，植入定制的 XMRig 挖矿程序。该行动大量运用社会工程学手段，通过宣传免费的高级应用程序（例如破解版的办公软件套件）来诱骗用户下载带有木马的安装程序。

这些恶意可执行文件是主要的攻击入口。一旦执行，它们就会启动精心策划的感染过程，旨在最大限度地提高加密货币挖矿产量，但往往会损害系统稳定性。此次攻击活动对欺骗性分发策略的依赖，凸显了软件盗版作为恶意软件传播渠道的持续有效性。

具有多种运行模式的模块化感染引擎

此次攻击的核心是一个多功能二进制文件，它充当感染生命周期的指挥中心。该组件集安装程序、监视程序、有效载荷管理器和清理工具于一体，负责部署、持久化、监控以及潜在的自我清除。

该恶意软件采用模块化设计，将监控功能与负责挖矿、提权和持久化的核心有效载荷分离。通过特定的命令行参数启用不同的执行模式，从而实现操作灵活性：

无参数：执行环境验证并处理早期安装和迁移。

002 Re:0 ：投放主要有效载荷，启动挖矿程序，并进入监控循环。

016 ：如果矿机终止，则重新启动矿机。

barusu ：启动自毁程序，终止恶意软件组件并删除相关文件。

这种结构化的模式切换方法增强了韧性，即使采取防御措施也能确保持续的采矿活动。

嵌入式逻辑炸弹和定时拆除

该恶意软件的一个显著特点是内置了逻辑炸弹。该二进制文件会获取系统本地时间，并将其与预设的截止日期（2025年12月23日）进行比较。

• 如果在 2025 年 12 月 23 日之前执行，恶意软件将继续进行持久性安装和挖矿程序部署。
• 如果在此日期之后执行，它将使用“barusu”参数自动重新启动自身，从而触发受控的自我停用过程。

预设的截止日期表明，此次攻击活动旨在持续进行至该日期。该截止日期可能对应于租用的指挥控制基础设施的到期、预期的加密货币市场变化，或向后续恶意软件毒株的战略性过渡。

通过 BYOVD 实现权限提升和挖矿优化

在标准的感染过程中，该二进制文件作为一个独立的载体，会将所有必要的组件写入磁盘。其中包括一个合法的 Windows 遥测服务可执行文件，该文件会被滥用以侧载恶意挖矿程序 DLL。

该恶意软件还部署了持久化机制，以及旨在禁用安全工具的组件。为了确保获得提升的执行权限，它采用了一种自带漏洞驱动程序 (BYOVD) 技术，使用存在缺陷的驱动程序“WinRing0x64.sys”。该驱动程序受 CVE-2020-14979 漏洞影响，该漏洞的 CVSS 评分为 7.8，允许攻击者提升权限。

通过将此漏洞直接集成到定制的 XMRig 挖矿程序中，攻击者可以获得对 CPU 配置的底层控制权。这种优化可以将 RandomX 挖矿性能提升约 15% 至 50%，从而显著提高盈利能力。

蠕虫状繁殖和横向移动

与仅依赖用户初始执行的传统木马不同，这种 XMRig 变种采用了积极的传播方式。它可以通过可移动存储设备主动传播，从而能够在系统间横向移动，包括那些处于物理隔离环境中的系统。

这种蠕虫般的能力将恶意软件转变为自我传播的威胁，大大扩大了其在组织网络中的影响范围，并增加了僵尸网络的规模。

行动时间表和战略意义

法医证据表明，2025 年 11 月期间采矿活动断断续续，随后从 2025 年 12 月 8 日开始出现明显的激增。这种模式表明，分阶段部署或启动策略旨在避免早期被发现。

此次攻击活动凸显了通用恶意软件的持续演变。攻击者结合了社会工程学、合法软件伪装、蠕虫式传播和内核级漏洞利用等手段，构建了一个持久且高性能的加密劫持僵尸网络，能够持续且优化地进行加密货币挖矿。