伊朗黑客用70年前冷戰套路，把蘋果微軟用戶騙得團團轉

去年有超過1200名科技從業者向企業安全團隊上報了同一類詭異事件：收件箱里躺著一封來自"老同事"的郵件，措辭親切，附件卻藏著能清空整臺電腦的后門程序。發件人域名只差一個字母，肉眼幾乎無法分辨。

這些攻擊的幕后操盤手，是一個代號"Charming Kitten（迷人小貓）"的伊朗背景黑客組織。他們的技術棧并不花哨——沒有零日漏洞，沒有供應鏈劫持，甚至沒有復雜的勒索軟件。但過去三年，他們成功滲透了中東、歐洲和北美數十家航空航天、防務技術企業的內部網絡。

安全圈有個黑色幽默：評估一個黑客組織的威脅等級，別只看他的工具箱，要看他的心理學學位。

把冷戰間諜手冊搬進收件箱

Charming Kitten的操作手冊，幾乎是從冷戰時期直接復印過來的。

當時西方情報機構培養"燕子"和"烏鴉"——用色相、信任和長期關系滲透目標。這個組織把這套邏輯數字化：偽造領英檔案，經營數月甚至數年的虛假社交身份，先點贊評論建立互動，再擇機發送"合作邀請"或"會議資料"。

微軟威脅情報團隊在2024年的一份追蹤報告中記錄了一個典型場景：攻擊者冒充某以色列防務公司的人力資源總監，向目標發送了一份"薪資調整方案"的加密壓縮包。密碼寫在郵件正文里，解壓后卻是能繞過macOS Gatekeeper的惡意程序。

這套流程的精妙之處在于，它把技術攻擊藏在了人類的本能反應之后——看到熟悉的名字、感受到被重視、急于處理"緊急"事務。

蘋果和微軟的雙平臺覆蓋并非偶然。Charming Kitten的惡意載荷通常以跨平臺腳本語言編寫，再根據目標設備類型分發不同版本的載荷。Windows用戶收到的是偽裝成PDF的可執行文件，Mac用戶則得到利用AppleScript漏洞的磁盤映像。

Recorded Future的高級分析師Nate Billings在2024年RSA大會上這樣評價：「他們不需要破解你的系統，只需要破解你的判斷力。最危險的武器從來不是導彈，而是你以為可以信任的那封郵件。」

為什么"低科技"反而更難防

企業安全預算的分配邏輯正在失效。

過去五年，CISO們把80%以上的資金砸在終端檢測、零信任架構和AI驅動的異常行為分析上。這些工具擅長識別內存注入、橫向移動和加密勒索的特征碼，卻對"員工主動輸入密碼"這個行為束手無策。

Charming Kitten的攻擊鏈通常只有三步：建立虛假身份→培養信任關系→誘導一次性操作。沒有漏洞利用，沒有持久化駐留的早期跡象，傳統EDR（終端檢測與響應）幾乎收不到任何告警。

更麻煩的是歸因難度。由于攻擊基礎設施大量租用云服務、使用被入侵的合法域名作為跳轉，安全團隊很難在數小時內確定這是國家背景行動還是普通網絡犯罪。而這幾小時的窗口期，足夠攻擊者完成初始訪問并建立備用通道。

以色列網絡安全公司Check Point在2023年底披露的一起案例中，某歐洲衛星技術企業的工程師被一名"同行研究者"添加了領英好友。六個月的學術討論后，對方發來一份"聯合研究項目的合作協議"。點擊鏈接后，工程師的MacBook被植入了能錄制屏幕和鍵盤輸入的監控程序，持續運行了11周才被發現。

整個過程中，防火墻沒有報警，終端安全軟件沒有攔截，SIEM（安全信息與事件管理）平臺沒有記錄任何異常流量。

當攻擊者比你的同事更懂"職場禮儀"

社交工程攻擊的進化速度，遠超安全培訓材料的更新頻率。

早期的釣魚郵件滿是語法錯誤和突兀的緊急措辭，現在的Charming Kitten成員能準確模仿特定行業的郵件節奏——防務圈的縮寫、初創公司的emoji使用習慣、學術機構的迂長簽名檔。他們甚至會根據目標公司的財報發布時間，編造"董事會材料預覽"之類的誘餌。

這種精細化運營意味著攻擊成本上升，但成功率同樣攀升。微軟的數據顯示，2023年針對企業高管的"鯨釣"攻擊中，采用長期身份偽造的比例從12%躍升至34%，平均得手時間從4.2天縮短到6小時。

對科技從業者而言，最諷刺的現實或許是：我們花十年訓練用戶識別"尼日利亞王子"，卻沒人教他們懷疑那個聊了半年、分享過三篇論文的"同行"。

蘋果和微軟近年都在強化針對社交工程的系統級防護。macOS Sonoma增加了對模糊化腳本的檢測，Windows 11的SmartScreen開始標記來自低頻聯系人的可執行附件。但這些功能默認關閉，且頻繁觸發誤報——安全與便利的古老矛盾，再次把選擇權扔回用戶手中。