Stealth Soldier战役标志着自2019年上一次行动以来被称为“尼罗河之眼”的威胁行为者可能再次出现。

Check Point Research最近在利比亚发现了一系列针对性很强的间谍攻击，揭示了之前未公开的名为Stealth Soldier的后门。这种复杂的恶意软件作为自定义模块化后门运行，具有监视功能，包括文件泄露、屏幕和麦克风录音、击键记录以及窃取浏览器信息。

该活动似乎以利比亚组织为目标，标志着自2019年上一次行动以来被称为“尼罗河之眼”的威胁行为者可能再次出现。

Stealth Soldier是一种用于有限和有针对性的攻击的植入物，已显示出对2023年2月编译的最新版本第9版的积极维护。Check Point Research的调查始于发现在2022年11月至2023年1月期间提交给VirusTotal的多个文件利比亚。

这些以阿拉伯语命名的文件，例如“هام وعاجل.exe”（重要和紧急.exe）和“برقي 401.exe”（Telegram 401.exe），原来是不同版本的Stealth Soldier恶意软件的下载程序。

Stealth Soldier的执行流程从触发感染链的下载器开始。虽然下载器的传递机制仍然未知，但怀疑是社会工程。

恶意软件的感染过程涉及从命令和控制(C&C)服务器下载多个文件，包括加载程序、看门狗和有效负载。这些组件协同工作以建立持久性并执行监视功能。

首先，加载程序下载名为PowerPlus的内部模块以启用PowerShell命令并创建持久性。然后，看门狗定期检查加载程序的更新版本并相应地运行它。最后，payload收集数据，接收来自C&C服务器的命令，并根据攻击者的指令执行各种模块。

Stealth Soldier的有效载荷收集的受害者信息包括主机名、用户名、驱动器列表和特定目录中的文件。该恶意软件支持各种命令，包括目录列表、文件上传、屏幕截图捕获、麦克风录音、键盘记录、浏览器凭据提取和PowerShell命令执行。

Check Point Research确定了Stealth Soldier的三个不同版本（版本6、8和9），每个版本在功能、文件名和持久性机制方面都略有不同。

此外，调查还发现了一组与该活动相关的网络钓鱼域，其中一些伪装成属于利比亚外交部的网站。托管在与先前恶意活动相关的IP地址上的网络钓鱼域表明可能有意进行网络钓鱼活动。

Check Point Research还发现了最近的行动与“尼罗河之眼”运动之间的相似之处，后者之前与国际特赦组织和Check Point Research的政府支持机构有关。重叠的基础设施表明这两个活动之间可能存在联系，表明它们背后的威胁参与者的持久性和适应性。

针对利比亚组织的Stealth Soldier恶意软件活动凸显了网络间谍活动的日益复杂。使用自定义后门和高级监视功能对目标实体的数据安全和隐私构成重大威胁。

检测和缓解Stealth Soldier等高级威胁需要结合主动威胁情报、用户意识和有效的安全解决方案，以确保对不断变化的网络威胁进行弹性防御。