想像一下,你在公司電腦上安裝了一個「ChatGPT Desktop」應用程式,期待能用 AI 提升工作效率。卻沒想到,隨著滑鼠的一次點擊,你打開的並不是 AI 工具,而是一扇 讓駭客直接入侵企業內網的大門。
這不是假設情境,而是正在全球多個產業上演的現實。
攻擊場景:從 AI 偽裝到系統淪陷
今年,微軟與卡巴斯基相繼揭露,Storm-2460正透過一款名為 PipeMagic 的模組化後門,入侵金融、IT、房地產甚至製造業。
整個攻擊鏈條令人不寒而慄:
- 社交工程引誘:駭客偽裝 ChatGPT Desktop 或 Google Chrome 更新檔,讓受害者誤以為是正常程式。
- 隱匿投放:惡意程式直接在記憶體中載入 PipeMagic,不留痕跡。
- 漏洞提權:利用 Windows CLFS 驅動程式漏洞(CVE-2025-29824) 取得系統最高權限。
- 勒索軟體佈署(如 RansomExx 或 Play):當權限到手,勒索程式隨即釋放,整個環境瞬間癱瘓。
這意味著,從「點擊安裝」到「整間公司被鎖死」,可能只需要幾分鐘。
PipeMagic:一個不只是後門的「惡意框架」
PipeMagic 並不是單純的木馬,而是一個 高度模組化的惡意程式框架。它有點像一個「駭客的瑞士刀」,能根據需要自由插入功能模組。
- 命名管道溝通:透過 \\.\pipe\1.<隨機代碼> 與 C2 伺服器交換加密資料。
- 模組化插件:可以進行檔案操作、載入新惡意程式、程式注入等。
- 完全記憶體運作:所有惡意模組存在記憶體中,透過雙向鏈結串列管理,不落地、不易被查覺。
- 持續進化:最新版本甚至能透過偽裝系統工具(如將 ProcDump 偽裝成 dllhost.exe)竊取憑證,進一步橫向移動。
這也就是為什麼研究人員稱 PipeMagic 不是單純的惡意程式,而是一整個「持續性威脅平台」。
全球受害案例
PipeMagic 的蹤跡遍布全球:
- 2022 年:首次出現在東南亞工業受害事件。
- 2024 年 10 月:利用假 ChatGPT 客戶端攻擊沙烏地阿拉伯。
- 2025 年 4 月:Storm-2460 利用 CVE-2025-29824 攻擊美國 IT 與房地產業、委內瑞拉金融業、沙烏地零售業、西班牙軟體公司。
- 2025 年近期:進一步擴張至 沙烏地與巴西製造業。
顯示攻擊者的策略已從「特定產業」走向「多國多產業滲透」。
如何自保?
對抗這種「假應用 + 零日漏洞 + 勒索軟體」的組合拳,企業必須升級思維:
- 立即修補 CVE-2025-29824:確保 Windows 更新完整,堵上提權漏洞。
- 端點防護落實:不論使用哪家防毒/EDR,都要確保功能完整開啟(惡意行為阻斷、憑證存取監控、記憶體攻擊防護)最小權限原則:減少駭客橫向移動的可能性。
- 自動化回應:啟用 EDR/XDR 自動調查與處理事件,降低人力延誤風險。
- 警覺假應用:任何來路不明的「ChatGPT 客戶端」或「更新檔」,都可能是陷阱。
結語:每一次更新,都可能是陷阱
PipeMagic 的再現,提醒我們一個殘酷事實:
在駭客眼裡,熱門的 AI 工具、日常的系統更新,甚至是企業最基本的漏洞,都能成為武器。
如果企業仍抱持「等事件發生再處理」的心態,那麼下一個遭遇勒索的,很可能就是你。
PipeMagic後門的部分入侵指標(Indicator of compromise -IOCs):
dc54117b965674bad3d7cd203ecf5e7fc822423a3f692895cf5e96e83fb88f6a
4843429e2e8871847bc1e97a0f12fa1f4166baa4735dff585cb3b4736e3fe49e
297ea881aa2b39461997baf75d83b390f2c36a9a0a4815c81b5cf8be42840fd1