以色列 DevilsTongue 间谍软件攻击 Windows 系统

这些基础设施既包括可能用于 Candiru DevilsTongue 间谍软件部署和 C2 的面向受害者的组件，也包括间谍软件运营商使用的更高级别的基础设施。

Insikt Group 研究人员发现，不同集群的基础设施设计和管理实践存在显著差异。有些集群直接管理面向受害者的基础设施，而其他集群则通过中间基础设施层或 Tor 网络进行管理。

已识别出八个不同的集群。其中五个集群被评估为极有可能目前处于活跃状态，包括与匈牙利和沙特阿拉伯相关的集群。

其中一个集群极有可能与位于印度尼西亚的一位客户有关，该集群一直活跃至2024年11月；另外两个与阿塞拜疆相关的集群状态仍不确定。

Insikt集团还发现了一家疑似属于Candiru更广泛企业网络的独立公司。该公司成立于Candiru资产被一家美国公司收购的同一时期，这表明它可能在收购过程中发挥了作用。

根据该报告，“基础设施既包括可能用于部署和控制 Candiru DevilsTongue 间谍软件的面向受害者的组件，也包括间谍软件运营商使用的更高级别的基础设施。” 虽然一些集群直接处理面向受害者的基础设施，但其他集群则针对中间层基础设施或通过 Tor 网络。

像 DevilsTongue 这样的雇佣间谍软件在世界各地臭名昭著，因其用于严重犯罪和反恐行动而闻名。据 Recorded Future 称，它给目标用户、其公司甚至记者带来了各种法律、隐私和安全风险。

关于DevilsTongue部署技术的报道并不多，但泄露的材料表明，它可以通过恶意链接、中间人攻击、物理访问 Windows 设备以及武器化文件进行传播。

DevilsTongue 的安装方式有两种：一种是通过威胁组织控制的 URL（存在于鱼叉式网络钓鱼电子邮件中）；另一种是通过被称为“水坑攻击”的网站攻击（利用网络浏览器漏洞）。

Candiru 是一家以色列公司，由 Eran Shorer 和 Yaakov Weizmann 于 2014 年创立。公司原名 Candiru，源于一种臭名昭著的寄生鱼，以其隐秘性和侵略性而闻名，以此隐喻该公司的间谍软件功能。

据报道，Candiru据信从2017年开始开发针对移动设备的间谍软件。2021年7月，公民实验室和微软披露，Candiru的间谍软件已被多个政府客户广泛部署，全球至少有100名受害者受到影响。

微软报告称，其观察到的受害者中约有一半位于巴勒斯坦。其余受害者分别位于以色列、伊朗、黎巴嫩、也门、西班牙（加泰罗尼亚）、英国、土耳其、亚美尼亚和新加坡。该间谍软件的基础设施被追踪到多个国家，包括沙特阿拉伯、以色列、阿联酋、匈牙利和印度尼西亚。

相关资源：技术报告

新闻链接