FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

2025年10月，一次重大数据泄露事件曝光了APT35（又称"迷人小猫"）黑客组织的内部运作细节。该网络攻击单位隶属于伊朗情报组织。

数千份泄露文件显示，该组织对中东和亚洲地区的政府与企业实施系统性攻击。泄露内容包含绩效报告、技术指南和操作记录，清晰展现了这一国家支持的黑客组织如何开展大规模网络间谍活动。

军事化运作模式

泄露资料表明，APT35的运作方式更接近传统军事组织而非松散的黑客团体。DomainTools安全分析师发现，该组织建立了详细的绩效追踪系统：操作人员需向主管汇报工作时长、完成任务和成功率，由主管汇总形成完整的行动报告。

这种官僚架构显示，操作人员在一个配备门禁系统、固定工作时间和正式监督机制的集中化设施中工作。该组织设有专门团队负责漏洞利用开发、凭证收集、钓鱼攻击和实时邮箱监控，以获取人力情报。泄露文件中记载的攻击方法显示出高度的条理性和组织性。

攻击技术与目标范围

DomainTools安全研究人员指出，APT35主要通过ProxyShell漏洞利用链攻击Microsoft Exchange服务器，结合Autodiscover和EWS服务提取包含员工联系信息的全局地址列表。这些联系人清单成为针对性钓鱼攻击的基础。

获取初始访问权限后，该组织使用定制工具建立持久化访问，并采用类似Mimikatz的技术从计算机内存中窃取更多凭证。这些被盗信息使攻击者能够在网络中横向移动并保持长期访问。

攻击活动的地理范围覆盖多个关键地区，目标包括土耳其、黎巴嫩、科威特、沙特阿拉伯、韩国和伊朗的政府部门、电信公司、海关机构和能源企业。泄露文件包含标注攻击成败情况的详细目标清单，以及用于维持访问的webshell路径。

战略情报收集体系

操作重点显示，该组织的攻击活动与伊朗政府目标保持战略一致，而非随机机会主义攻击。获取外交通信、电信基础设施和关键能源领域的信息，为德黑兰政府提供了地缘政治谈判和威胁评估的重要情报。

Exchange漏洞利用与凭证收集流程

APT35的技术基础设施展现出对企业邮件系统的深入理解。该组织通过协调有序的漏洞利用流程攻击Exchange服务器：首先进行侦察扫描识别易受攻击服务器，发现合适目标后部署伪装成合法系统文件的webshell以建立远程命令执行能力。

这些通常以m0s.*模式命名的webshell提供交互式命令界面，操作人员通过特制HTTP标头进行访问。其基于Python的客户端工具将命令编码在Accept-Language标头中，并使用静态令牌进行认证，创建与合法网络流量混为一体的隐蔽通信通道。

获取初始访问后，该组织从Exchange服务器提取全局地址列表，将电子邮件联系人信息转化为结构化数据用于后续钓鱼攻击。窃取的凭证会立即验证并重用于目标网络的其他系统。

泄露文件描述了可自动验证shell并提取邮箱内容的脚本，显示出成熟的能力建设水平。整个流程遵循内部手册记载的标准化模板，成功率记录在月度绩效报告中。这种系统化的Exchange入侵、凭证提取和钓鱼攻击整合方式，展现了APT35如何将技术漏洞转化为可量化产出的持续性情报收集行动。

参考来源：

APT35 Hacker Groups Internal Documents Leak Exposes their Targets and Attack Methods

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）