MoustachedBouncer是白俄罗斯政府支持的黑客组织，自2014年以来一直活跃。白俄罗斯MoustachedBouncer黑客组织被曝在国家支持下对外国大使馆进行间谍活动。ESET Research揭露了一项针对南亚、非洲和欧洲外交官长达数年的活动。黑客采用多种技术，包括C++后门和ISP级攻击。MoustachedBouncer篡改了受害者的互联网访问，通过虚假的强制门户欺骗Windows。研究人员建议使用加密VPN，以增强安全性，抵御这种复杂的间谍活动。

ESET Research的网络安全研究人员表示，白俄罗斯政府多年来一直通过MoustachedBouncer黑客组织监视驻该国的外国外交官。

研究证实，至少有一个来自南亚的大使馆、一个来自非洲的大使馆和两个来自欧洲的大使馆是自2014年以来一直活跃的国家支持的间谍活动的目标。

黑客利用了广泛的攻击技术，包括C++模块化后门、中间对手攻击和基于电子邮件的C&C协议，并从国内对ISP级别进行攻击以进行间谍活动。

ESET的报告中写道：“为了破坏他们的目标，MoustachedBouncer运营商可能会在ISP级别篡改受害者的互联网访问，让Windows相信它是在一个强制门户后面。”

供您参考，中间对手攻击依赖于“合法拦截”间谍基础设施，例如SORM。在俄罗斯和许多其他国家/地区，它由安全服务部门部署在ISP场所。

该间谍活动始于2014年，考虑到这是第一次被披露，这令人惊讶。自2014年以来，该组织已使用众多恶意软件家族来实现网络干预。

最初，MoustachedBouncer使用基于电子邮件协议（SMTP和MAP）的恶意软件框架，后来改用可以窃取文件、截取屏幕截图和记录对话的植入程序。

研究人员怀疑MoustachedBouncer得到了白俄罗斯政府的全力支持，并且可能与其他黑客组织有联系。MoustachedBouncer与另一个高度活跃的黑客组织Winter Vivern有着密切的联系，这一事实强化了这一观点。

Winter Vivern组织于2021年被发现，以欧洲外交官为目标而闻名。他们的攻击技术与名为StrongPity和Turla的两个不同的威胁行为者产生了共鸣。这两个木马软件安装程序都是在ISP级别进行的。

根据恶意软件研究员Matthieu Faou撰写的ESET报告，黑客篡改了目标的流量，以显示看似真实但虚假的Windows更新URL。该页面向他们承诺紧急需要安装的关键系统安全更新。

根据ESET遥测，此页面提供了一个包含恶意可执行文件的虚假更新文件，两个本地ISP网络参与了此次活动，包括Beltelecom和Unitary Enterprise A1。

Faou写道：“我们强烈建议白俄罗斯的外国组织使用端到端加密VPN隧道，最好是带外（即不是来自端点），从可信网络提供互联网连接。”

有证据表明，自2017年6月以来，来自4个国家的外交官成为MoustchedBouncer的目标，其中两名来自欧洲，一名来自东北非，一名来自南亚。两名欧洲外交官中的一名在2020年11月至2022年7月期间两次成为攻击目标。

这个之前没有记录的网络间谍组织仅针对白俄罗斯的外国大使馆，并且自2020年以来很可能一直在执行ISP级别的中间对手攻击。该黑客组织更喜欢使用NightClub和Disco工具集，并在此次活动中也使用了它们。

研究人员将MoustachedBouncer记录为一个独立团体，但相信它与Winter Vivern合作。该漏洞于2021年被发现。Proofpoint报告称，该组织利用Zimbra邮件门户的XSS漏洞窃取了欧洲国家外交官的网络邮件凭据。