CRESCENTHARVEST：针对伊朗抗议支持者的间谍活动部署远程访问木马

CRESCENTHARVEST活动针对伊朗抗议支持者部署RAT恶意软件

网络安全研究机构Acronis威胁研究团队（TRU）近日揭露了一起复杂的网络间谍活动——CRESCENTHARVEST，该活动针对伊朗持续抗议活动的支持者。此次行动自2026年1月9日以来一直处于活跃状态，旨在部署**远程访问木马（RAT）**以窃取信息并进行长期监控。

技术细节

尽管完整的入侵指标（IOCs）尚未公开披露，Acronis TRU确认该活动利用RAT恶意软件在受感染系统上建立持久访问。RAT使威胁行为者能够：

• 窃取敏感数据（如文档、凭证、通信记录）
• 通过键盘记录、屏幕截图或麦克风/摄像头访问进行监控
• 维持长期持久性以进行持续间谍活动

针对伊朗抗议支持者的目标选择表明，该威胁行为者可能具有国家背景或政治动机，尽管归因尚未确认。该活动的基础设施和战术与**高级持续性威胁（APT）**方法论一致，优先考虑隐蔽性和数据窃取。

影响分析

CRESCENTHARVEST活动对目标个人构成重大风险，包括：

• 隐私泄露：个人通信、联系人及抗议相关活动信息的暴露。
• 操作安全（OPSEC）失效：受感染设备可能泄露抗议网络、策略或其他支持者的身份。
• 人身安全风险：在高压政权下，数字监控往往是逮捕或骚扰的前兆。

对于与伊朗或区域倡导组织有联系的机构而言，此次活动凸显了针对有针对性间谍活动保持高度警惕的必要性。

防护建议

安全团队及高风险个人应采取以下措施：

1. 增强终端防护：部署能够识别RAT行为的高级威胁检测工具（如异常网络流量、未经授权的进程执行）。
2. 监控IOCs：等待Acronis TRU或其他威胁情报提供商的进一步详情，并相应更新防御措施。
3. 采用OPSEC最佳实践：使用加密通信，避免在个人设备上存储敏感数据，将抗议相关活动与日常数字使用分开。
4. 开展安全意识培训：教育用户了解钓鱼风险、社会工程学及RAT感染迹象（如系统卡顿、意外弹窗）。

Acronis TRU正在持续调查该活动，预计将随着更多IOCs和攻击向量的识别发布更新。