BlackHatIndian/QZK-RAT-2026-Exploit-LNK-HTA-Macro-Analysis
GitHub: BlackHatIndian/QZK-RAT-2026-Exploit-LNK-HTA-Macro-Analysis
该仓库是一个模块化远程访问木马框架,集成了多种恶意攻击能力,属于网络犯罪工具类别。
Stars: 0 | Forks: 0
简介:什么是 QZK RAT 2026?
QZK RAT 2026 是一个下一代模块化远程访问木马 (RAT) 框架,旨在将多种网络犯罪操作集中到一个单一的恶意软件管理平台中。与仅限于单一攻击功能的旧版恶意软件家族不同,QZK RAT 2026 在针对 Windows 系统的高度危险的生态系统中,结合了远程管理、凭证窃取、勒索软件部署、隐藏的加密货币挖矿、剪贴板劫持、远程执行、Windows 持久化、多向量漏洞利用分发以及高级监控能力。
网络安全研究人员认为,像 QZK RAT 2026 这样的恶意软件框架极其危险,因为它们大幅降低了发起高级网络攻击所需的技术门槛。通过其集中的图形界面,即使是低技能的威胁行为者也能部署针对企业、游戏玩家、加密货币交易者、开发者、政府基础设施和个人用户的复杂恶意软件活动。
QZK RAT 2026 集成了多个攻击模块,能够通过 HTA 漏洞利用、JavaScript payload、恶意 LNK 快捷方式攻击、Office 宏漏洞利用、PowerShell 无文件加载器、隐藏的 CPL payload、USB 传播机制以及滥用合法 Windows 二进制文件(如 mshta.exe、regsvr32.exe、powershell.exe、cmd.exe 和 wscript.exe)的“靠地生存”攻击来生成恶意 payload,从而绕过传统的杀毒软件防护。
QZK RAT 2026 – 完整的恶意软件功能
QZK RAT 2026 框架为攻击者提供了对受感染 Windows 系统的完全远程管理权限。该恶意软件支持远程桌面控制、CMD 和 PowerShell 执行、网络摄像头监控、麦克风录音、剪贴板劫持、键盘记录、浏览器密码提取、Discord token 窃取、VPN 凭证恢复、加密货币钱包定向攻击、进程注入、隐蔽持久化以及加密的命令与控制 (C2) 通信。
集中管理面板允许威胁行为者同时管理数百个受感染的系统,按国家或操作系统对受害者进行分类,部署勒索软件 payload,激活隐藏的加密货币矿工,窃取敏感文件,禁用 Windows 安全防护,并直接从命令中心远程执行二级恶意软件模块。
QZK RAT 2026 – Binder 模块
QZK RAT 2026 内部的 Binder 模块旨在将恶意 payload 与看似合法的文件合并,以掩盖恶意软件的传播并提高感染成功率。威胁行为者通常将 payload 与破解软件、游戏外挂、加密货币工具、虚假安装程序、Windows 激活工具、PDF 文档或盗版应用程序绑定在一起。
⚙️ Binder 模块中显示的功能:
🧩 Block Clients / Logs / Clients — 集中的受害者管理和感染追踪。
📂 Path — 定义 payload 在 Windows 内部的安装路径。
📏 Size Manipulation — 调整可执行文件的大小以模仿合法应用程序。
▶️ Silent Running — 在后台隐形执行恶意软件。
🔁 Run Once — 减少重复执行警报。
👁️ Hidden Mode — 阻止出现可见窗口。
📁 Drop Path — 将文件部署到隐藏或临时目录中。
🛡️ Registry Persistence — 创建 Windows 自动启动项。
🚫 WID Exclusion — 避免在虚拟机或沙箱环境中执行。
⚠️ 威胁等级:高 — Binder 模块显著提高了隐蔽性、持久性和社会工程学的有效性。
QZK RAT 2026 – JS 漏洞利用
JS 漏洞利用模块生成高度混淆的恶意 JavaScript payload,这些 payload 通过网络钓鱼活动、恶意 ZIP 压缩包、虚假 CAPTCHA 页面、被入侵的网站以及恶意软件路过式下载操作进行分发。这些 payload 通过 wscript.exe 或 cscript.exe 滥用 Windows 脚本宿主 (WSH) 以静默执行恶意命令。
一旦执行,JavaScript 下载器就会从远程基础设施(如 GitHub 仓库、Discord CDN 服务器、Telegram CDN、被入侵的云存储服务或攻击者控制的 Web 服务器)检索额外的恶意软件组件。一些变种还使用 PowerShell 无文件执行技术,将恶意软件直接加载到内存中,而无需将可检测的文件写入磁盘。
⚙️ JS 漏洞利用模块中显示的功能:
📂 Block Clients / Logs / Clients — 感染监控仪表板。
🌐 Virus Link — 远程 payload 分发基础设施。
🧰 Builder Menu — 自动化的恶意软件部署配置。
🏗️ Build — JavaScript payload 生成引擎。
⚡ PowerShell Loader — 无文件内存执行支持。
🛡️ Obfuscation Engine — 绕过基于特征的杀毒软件检测。
⚠️ 威胁等级:严重 — 由于 Windows 原生支持脚本以及广泛存在的网络钓鱼滥用,JavaScript 恶意软件仍然非常有效。
QZK RAT 2026 – HTA 漏洞利用
HTA 漏洞利用模块创建恶意的 HTML 应用程序 (.HTA) payload,能够通过 mshta.exe 执行 PowerShell 和 VBScript 命令,mshta.exe 是一个在“靠地生存”攻击中经常被滥用的合法 Windows 二进制文件。
网络犯罪分子通过网络钓鱼电子邮件、虚假的浏览器更新、恶意广告、破解软件安装程序和木马化下载来分发 HTA payload。一旦打开,HTA 文件就会在不依赖传统可执行文件的情况下,静默下载并执行 QZK RAT payload。
⚙️ HTA 漏洞利用模块中显示的功能:
🌐 Virus Link — 远程 payload 托管基础设施。
📝 Virus Name — 伪装合法软件名称。
🏗️ Build — 自动化的 HTA payload 生成。
⚡ Script Execution — 集成的 PowerShell 和 VBScript 执行。
🛡️ AMSI Bypass — 尝试规避 Microsoft Defender 防护。
⚠️ 威胁等级:高 — HTA payload 滥用了 Windows 原生组件,如果没有高级的终端限制,将很难被阻断。
QZK RAT 2026 – Ink 漏洞利用 (LNK 漏洞利用)
Ink 漏洞利用模块,也称为 LNK 漏洞利用生成器,用于生成恶意的 Windows 快捷方式文件,能够在受害者打开时执行隐藏命令。这种感染向量是目前现代网络钓鱼活动中被滥用最广泛的技术之一。
恶意 LNK 文件通常伪装成 PDF、私人文件夹、图像、发票、游戏文件或业务文档。执行时,该快捷方式会静默启动 PowerShell、CMD 或 mshta.exe,从攻击者控制的远程基础设施下载并执行 QZK RAT。
⚙️ Ink 漏洞利用模块中显示的功能:
🔗 Shortcut Execution — 隐藏的 Windows 命令执行。
⬇️ Background Downloader — 从远程服务器静默检索 payload。
🖼️ Icon Spoofing — 模仿合法的 Windows 或软件图标。
⚡ PowerShell Trigger — 直接在内存中执行无文件 payload。
📁 Hidden Execution — 隐形的后台执行技术。
⚠️ 威胁等级:严重 — 基于 LNK 的恶意软件攻击在现代网络钓鱼和基于 USB 的恶意软件活动中被大量使用。
QZK RAT 2026 是一个下一代模块化远程访问木马 (RAT) 框架,旨在将多种网络犯罪操作集中到一个单一的恶意软件管理平台中。与仅限于单一攻击功能的旧版恶意软件家族不同,QZK RAT 2026 在针对 Windows 系统的高度危险的生态系统中,结合了远程管理、凭证窃取、勒索软件部署、隐藏的加密货币挖矿、剪贴板劫持、远程执行、Windows 持久化、多向量漏洞利用分发以及高级监控能力。
网络安全研究人员认为,像 QZK RAT 2026 这样的恶意软件框架极其危险,因为它们大幅降低了发起高级网络攻击所需的技术门槛。通过其集中的图形界面,即使是低技能的威胁行为者也能部署针对企业、游戏玩家、加密货币交易者、开发者、政府基础设施和个人用户的复杂恶意软件活动。
QZK RAT 2026 集成了多个攻击模块,能够通过 HTA 漏洞利用、JavaScript payload、恶意 LNK 快捷方式攻击、Office 宏漏洞利用、PowerShell 无文件加载器、隐藏的 CPL payload、USB 传播机制以及滥用合法 Windows 二进制文件(如 mshta.exe、regsvr32.exe、powershell.exe、cmd.exe 和 wscript.exe)的“靠地生存”攻击来生成恶意 payload,从而绕过传统的杀毒软件防护。
QZK RAT 2026 – 完整的恶意软件功能
QZK RAT 2026 框架为攻击者提供了对受感染 Windows 系统的完全远程管理权限。该恶意软件支持远程桌面控制、CMD 和 PowerShell 执行、网络摄像头监控、麦克风录音、剪贴板劫持、键盘记录、浏览器密码提取、Discord token 窃取、VPN 凭证恢复、加密货币钱包定向攻击、进程注入、隐蔽持久化以及加密的命令与控制 (C2) 通信。
集中管理面板允许威胁行为者同时管理数百个受感染的系统,按国家或操作系统对受害者进行分类,部署勒索软件 payload,激活隐藏的加密货币矿工,窃取敏感文件,禁用 Windows 安全防护,并直接从命令中心远程执行二级恶意软件模块。
QZK RAT 2026 – Binder 模块
QZK RAT 2026 内部的 Binder 模块旨在将恶意 payload 与看似合法的文件合并,以掩盖恶意软件的传播并提高感染成功率。威胁行为者通常将 payload 与破解软件、游戏外挂、加密货币工具、虚假安装程序、Windows 激活工具、PDF 文档或盗版应用程序绑定在一起。
⚙️ Binder 模块中显示的功能:
🧩 Block Clients / Logs / Clients — 集中的受害者管理和感染追踪。
📂 Path — 定义 payload 在 Windows 内部的安装路径。
📏 Size Manipulation — 调整可执行文件的大小以模仿合法应用程序。
▶️ Silent Running — 在后台隐形执行恶意软件。
🔁 Run Once — 减少重复执行警报。
👁️ Hidden Mode — 阻止出现可见窗口。
📁 Drop Path — 将文件部署到隐藏或临时目录中。
🛡️ Registry Persistence — 创建 Windows 自动启动项。
🚫 WID Exclusion — 避免在虚拟机或沙箱环境中执行。
⚠️ 威胁等级:高 — Binder 模块显著提高了隐蔽性、持久性和社会工程学的有效性。
QZK RAT 2026 – JS 漏洞利用
JS 漏洞利用模块生成高度混淆的恶意 JavaScript payload,这些 payload 通过网络钓鱼活动、恶意 ZIP 压缩包、虚假 CAPTCHA 页面、被入侵的网站以及恶意软件路过式下载操作进行分发。这些 payload 通过 wscript.exe 或 cscript.exe 滥用 Windows 脚本宿主 (WSH) 以静默执行恶意命令。
一旦执行,JavaScript 下载器就会从远程基础设施(如 GitHub 仓库、Discord CDN 服务器、Telegram CDN、被入侵的云存储服务或攻击者控制的 Web 服务器)检索额外的恶意软件组件。一些变种还使用 PowerShell 无文件执行技术,将恶意软件直接加载到内存中,而无需将可检测的文件写入磁盘。
⚙️ JS 漏洞利用模块中显示的功能:
📂 Block Clients / Logs / Clients — 感染监控仪表板。
🌐 Virus Link — 远程 payload 分发基础设施。
🧰 Builder Menu — 自动化的恶意软件部署配置。
🏗️ Build — JavaScript payload 生成引擎。
⚡ PowerShell Loader — 无文件内存执行支持。
🛡️ Obfuscation Engine — 绕过基于特征的杀毒软件检测。
⚠️ 威胁等级:严重 — 由于 Windows 原生支持脚本以及广泛存在的网络钓鱼滥用,JavaScript 恶意软件仍然非常有效。
QZK RAT 2026 – HTA 漏洞利用
HTA 漏洞利用模块创建恶意的 HTML 应用程序 (.HTA) payload,能够通过 mshta.exe 执行 PowerShell 和 VBScript 命令,mshta.exe 是一个在“靠地生存”攻击中经常被滥用的合法 Windows 二进制文件。
网络犯罪分子通过网络钓鱼电子邮件、虚假的浏览器更新、恶意广告、破解软件安装程序和木马化下载来分发 HTA payload。一旦打开,HTA 文件就会在不依赖传统可执行文件的情况下,静默下载并执行 QZK RAT payload。
⚙️ HTA 漏洞利用模块中显示的功能:
🌐 Virus Link — 远程 payload 托管基础设施。
📝 Virus Name — 伪装合法软件名称。
🏗️ Build — 自动化的 HTA payload 生成。
⚡ Script Execution — 集成的 PowerShell 和 VBScript 执行。
🛡️ AMSI Bypass — 尝试规避 Microsoft Defender 防护。
⚠️ 威胁等级:高 — HTA payload 滥用了 Windows 原生组件,如果没有高级的终端限制,将很难被阻断。
QZK RAT 2026 – Ink 漏洞利用 (LNK 漏洞利用)
Ink 漏洞利用模块,也称为 LNK 漏洞利用生成器,用于生成恶意的 Windows 快捷方式文件,能够在受害者打开时执行隐藏命令。这种感染向量是目前现代网络钓鱼活动中被滥用最广泛的技术之一。
恶意 LNK 文件通常伪装成 PDF、私人文件夹、图像、发票、游戏文件或业务文档。执行时,该快捷方式会静默启动 PowerShell、CMD 或 mshta.exe,从攻击者控制的远程基础设施下载并执行 QZK RAT。
⚙️ Ink 漏洞利用模块中显示的功能:
🔗 Shortcut Execution — 隐藏的 Windows 命令执行。
⬇️ Background Downloader — 从远程服务器静默检索 payload。
🖼️ Icon Spoofing — 模仿合法的 Windows 或软件图标。
⚡ PowerShell Trigger — 直接在内存中执行无文件 payload。
📁 Hidden Execution — 隐形的后台执行技术。
⚠️ 威胁等级:严重 — 基于 LNK 的恶意软件攻击在现代网络钓鱼和基于 USB 的恶意软件活动中被大量使用。标签:AI合规, CPL载荷, HTA漏洞利用, IP 地址批量处理, JavaScript恶意载荷, Living-off-the-Land, LNK快捷方式攻击, LotL攻击, Office宏攻击, OpenCanary, PE 加载器, PowerShell攻击, RAT, USB传播, Windows恶意软件, Windows持久化, 下一代木马, 代理, 凭据窃取, 剪贴板劫持, 勒索软件部署, 多向量漏洞利用, 威胁行动者, 密码窃取, 恶意框架, 恶意软件, 恶意软件管理平台, 挖矿木马, 搜索语句(dork), 摄像头监控, 数据可视化, 文件加载器, 无文件攻击, 模块化恶意软件, 白利用, 知识库安全, 绕过杀毒软件, 网络安全, 网络犯罪, 远程执行, 远程控制, 远程访问木马, 隐私保护, 隐藏加密货币挖矿, 集中化控制, 高级监控, 黑产, 黑帽黑客