一款盯上游戲少年的木馬：攝像頭偷拍、錄音、后臺(tái)下毒

「我們以為孩子在玩游戲，其實(shí)有人在玩孩子。」——這不是電影臺(tái)詞，是安全研究員看到KarstoRAT后的第一反應(yīng)。

一款從未在地下論壇公開售賣的新型遠(yuǎn)程控制木馬，正通過假游戲交易平臺(tái)和作弊工具網(wǎng)站，精準(zhǔn)收割未成年玩家。它不說話、不彈窗，兩秒一次心跳，把攝像頭、麥克風(fēng)變成攻擊者的眼睛和耳朵。

一張圖看懂攻擊鏈路

LevelBlue團(tuán)隊(duì)還原的完整攻擊路徑，像一份精心設(shè)計(jì)的「青少年捕獵說明書」：

第一層：假網(wǎng)站釣魚。攻擊者在命令控制服務(wù)器（C2）上搭建了兩個(gè)誘餌——「Blox Stocks」冒充Roblox低價(jià)道具交易站，「Venom Files」偽裝成FPS和GTA高級(jí)作弊下載站。前者針對(duì)想省錢買皮膚的小學(xué)生，后者瞄準(zhǔn)想開掛的中學(xué)生，人群切割精準(zhǔn)。

第二層：木馬落地。用戶下載的所謂「交易助手」或「作弊器」，實(shí)為64位Windows可執(zhí)行文件，用微軟Visual Studio 2022編譯，調(diào)試時(shí)間戳顯示2026年2月16日。文件未加殼，熵值中等，刻意保持「樸素」以避免觸發(fā)高級(jí)檢測(cè)。

第三層：隱蔽駐留。運(yùn)行后每?jī)擅胂?12.227.65[.]132的15144端口發(fā)送心跳，通過Windows網(wǎng)絡(luò)接口（WinINet）出站，流量特征與普通程序無異。C2服務(wù)器還套了多層馬甲：SSH隧道、Node.js接口、Cloudflare Argo WebSocket代理，TLS指紋偽裝成Firefox。

第四層：遠(yuǎn)程操控。攻擊者可隨時(shí)下發(fā)指令，調(diào)取攝像頭抓拍、錄制環(huán)境音、記錄鍵盤輸入、截取屏幕，或拉取新的惡意程序執(zhí)行。整個(gè)過程無窗口、無提示，臨時(shí)文件用完即刪。

攝像頭模塊：偷窺的工業(yè)化流程

PEStudio分析顯示，KarstoRAT的功能模塊高度模塊化。以攝像頭為例，其執(zhí)行流程堪稱「無聲電影拍攝指南」：

收到WEBCAM指令后，木馬先創(chuàng)建一個(gè)不可見的捕獲窗口——不是最小化，是根本不顯示。然后連接系統(tǒng)默認(rèn)攝像頭驅(qū)動(dòng)，抓取單幀畫面，保存為webcap.bmp臨時(shí)文件，上傳至/upload-webcam端點(diǎn)，最后刪除本地文件。

從觸發(fā)到清理，全程不超過數(shù)秒。受害者電腦屏幕上沒有任何變化，攝像頭指示燈是否亮起取決于硬件設(shè)計(jì)，多數(shù)筆記本的LED與驅(qū)動(dòng)并聯(lián)，理論上會(huì)被點(diǎn)亮，但孩子打游戲時(shí)注意力分散，極易忽略。

音頻錄制功能同樣調(diào)用Windows多媒體接口，具體實(shí)現(xiàn)因原文截?cái)辔赐耆叮珡募軜?gòu)一致性判斷，大概率遵循「靜默采集→臨時(shí)存儲(chǔ)→加密上傳→本地擦除」的同一套流水線。

為什么偏偏選游戲少年？

這不是隨機(jī)撒網(wǎng)，是精準(zhǔn)的人口學(xué)狩獵。

Roblox全球日活超過6000萬，其中半數(shù)以上未滿13歲。這個(gè)群體的典型特征：擁有獨(dú)立智能設(shè)備、缺乏網(wǎng)絡(luò)安全教育、對(duì)「免費(fèi)」「低價(jià)」「作弊」毫無抵抗力、遭遇異常時(shí)不會(huì)第一時(shí)間向家長(zhǎng)描述技術(shù)細(xì)節(jié)。

「Blox Stocks」的命名本身就經(jīng)過心理設(shè)計(jì)——「Stocks」暗示投資增值，迎合孩子對(duì)游戲資產(chǎn)的占有欲；「Blox」諧音Roblox官方術(shù)語，制造認(rèn)知混淆。Venom Files則利用FPS和GTA玩家對(duì)競(jìng)技優(yōu)勢(shì)的渴望，「Venom」一詞在作弊社區(qū)自帶暗黑酷感。

更值得玩味的是分發(fā)策略的「去市場(chǎng)化」。LevelBlue明確指出，KarstoRAT從未出現(xiàn)在地下論壇或網(wǎng)絡(luò)犯罪市場(chǎng)，屬于「私人定制工具」。這意味著攻擊者放棄了規(guī)模化變現(xiàn)，換取的是更低的曝光度和更長(zhǎng)的潛伏周期。

公開沙箱中出現(xiàn)多個(gè)樣本，反而說明一件事：這套工具已經(jīng)投入實(shí)戰(zhàn)足夠久，久到被不同來源的分析師多次捕獲。

C2架構(gòu)：把惡意流量藏進(jìn)正常業(yè)務(wù)

212.227.65[.]132這臺(tái)服務(wù)器的配置，暴露了攻擊者的工程化思維。

端口15144承擔(dān)主控通信，但真正的設(shè)計(jì)亮點(diǎn)在443端口的VMess代理。VMess是V2Ray項(xiàng)目的傳輸協(xié)議，本身用于科學(xué)上網(wǎng)，攻擊者將其流量封裝在Cloudflare Argo WebSocket隧道內(nèi)，TLS指紋模擬Firefox瀏覽器。這套組合拳的防御穿透邏輯很清晰：

企業(yè)防火墻通常放行443端口的HTTPS流量；Cloudflare的IP池龐大且信譽(yù)良好，不易被整體拉黑；WebSocket讓長(zhǎng)連接看起來像網(wǎng)頁實(shí)時(shí)通信；Firefox指紋則繞過基于客戶端特征的異常檢測(cè)。

SSH隧道和Node.js API的存在，暗示服務(wù)器可能還承擔(dān)其他功能——也許是多租戶管理，也許是載荷分發(fā)，也許是攻擊者自己的遠(yuǎn)程辦公入口。多層服務(wù)堆疊，既增加了分析難度，也為應(yīng)急響應(yīng)制造了「該關(guān)哪個(gè)端口」的決策困境。

兩秒心跳：持久化的工程學(xué)取舍

KarstoRAT的輪詢間隔固定在2000毫秒，這個(gè)數(shù)值的選擇耐人尋味。

太短會(huì)增加網(wǎng)絡(luò)噪聲和電量消耗，容易被行為監(jiān)控發(fā)現(xiàn)；太長(zhǎng)則延長(zhǎng)命令響應(yīng)延遲，降低操控實(shí)時(shí)性。兩秒是平衡后的結(jié)果：既保證攻擊者操作跟手感，又讓流量模式接近某些自動(dòng)同步軟件的心跳特征。

無限循環(huán)的設(shè)計(jì)意味著木馬不會(huì)「完成任務(wù)后退出」，而是終身駐留，除非被手動(dòng)清除或系統(tǒng)重裝。這種設(shè)計(jì)哲學(xué)與勒索軟件的「一擊即走」截然相反，指向的是長(zhǎng)期監(jiān)控、持續(xù)數(shù)據(jù)收割的運(yùn)營(yíng)模式。

結(jié)合攝像頭和音頻模塊的調(diào)用方式，可以合理推測(cè)攻擊者的興趣不僅在于游戲賬號(hào)資產(chǎn)，更在于未成年人生活環(huán)境中的敏感信息——家庭作息、居住布局、家長(zhǎng)對(duì)話片段，這些數(shù)據(jù)的黑市價(jià)值遠(yuǎn)超虛擬道具。

未解之謎與防御盲區(qū)

原文截?cái)嗵幜粝铝岁P(guān)鍵空白：音頻模塊的完整技術(shù)細(xì)節(jié)、鍵盤記錄器的存儲(chǔ)機(jī)制、屏幕截圖的觸發(fā)條件、額外載荷的下載執(zhí)行邏輯，均未披露。這些黑箱意味著實(shí)際危害可能比已分析樣本更嚴(yán)重。

另一個(gè)懸而未決的問題是初始入侵向量。雖然假網(wǎng)站是明面上的分發(fā)渠道，但樣本如何首次進(jìn)入沙箱環(huán)境？是研究人員主動(dòng)爬取發(fā)現(xiàn)，還是來自真實(shí)受害者的上傳？時(shí)間線顯示「2026年初」已有樣本出現(xiàn)，但大規(guī)模感染是否發(fā)生、波及范圍多大，目前無公開數(shù)據(jù)。

對(duì)于家長(zhǎng)而言，現(xiàn)有的安全軟件對(duì)KarstoRAT的檢測(cè)能力存疑。未加殼的樸素設(shè)計(jì)降低了靜態(tài)特征識(shí)別難度，但兩秒心跳和Cloudflare隧道的組合，可能讓行為檢測(cè)產(chǎn)生大量誤報(bào)或漏報(bào)。更現(xiàn)實(shí)的困境是：有多少家長(zhǎng)會(huì)在孩子的游戲電腦上部署企業(yè)級(jí)端點(diǎn)防護(hù)？

行動(dòng)：現(xiàn)在該做什么

如果你身邊有玩Roblox、FPS或GTA的未成年人，今天做三件事：

第一，檢查路由器DNS或防火墻日志，攔截對(duì)212.227.65[.]132的任何連接請(qǐng)求。這個(gè)IP目前已被公開標(biāo)注，但攻擊者更換基礎(chǔ)設(shè)施的成本極低，不能依賴黑名單一勞永逸。

第二，在游戲設(shè)備上啟用攝像頭物理遮擋——貼紙、滑蓋、可旋轉(zhuǎn)擋板，任何硬件級(jí)阻斷都比軟件權(quán)限更可靠。告訴孩子，打游戲時(shí)攝像頭指示燈亮起要立即報(bào)告，無論屏幕有沒有變化。

第三，用具體場(chǎng)景替代抽象說教。不要講「不要下載不明軟件」，而是打開「Blox Stocks」或「Venom Files」的截圖（安全媒體已有披露），讓孩子辨認(rèn)這些頁面與官方網(wǎng)站的差異。識(shí)別釣魚的能力，比記住規(guī)則更有用。

安全研究者追蹤的是樣本，家長(zhǎng)守護(hù)的是具體的人。KarstoRAT的可怕之處不在于技術(shù)多新穎，而在于它把成人世界的監(jiān)控工具，精準(zhǔn)投放給了最缺乏防備的群體。這場(chǎng)不對(duì)稱對(duì)抗里，信息就是唯一的均衡器。