本文分析了一组恶意活动，编号为 CL-STA-0049。自 2023年3月 以来，该活动疑似由中国背景的威胁行为者发起，主要针对 东南亚和南美地区 的政府、国防、电信、教育和航空领域的组织。攻击者的主要目标包括 窃取敏感信息，特别是涉及高层官员及相关个人的数据。 调查过程中，研究人员揭示了该攻击者的 战术、技术与程序（TTPs），包括 攻击流程、通过Web Shell进行初始渗透 及 隐蔽通信渠道。其中，攻击者利用了一种 新型复杂的后门程序——Squidoor（又名FinalDraft），适用于 Windows 和 Linux 平台。本研究首次揭示了 Squidoor 的 Windows 变种，并深入分析了其 指挥与控制（C2）通信机制。 Squidoor 具备以下特性： 采用 模块化设计，支持多种隐蔽通信方式，包括： Outlook API DNS 隧道 ICMP 隧道 具备 信息收集、远程命令执行、进程注入 和 横向移动 等功能。 通过 Microsoft Console Debugger (cdb.exe) 进行 代码注入，以规避检测。 利用 Web Shell 进行 初始访问，并部署多个变种，如： OutlookDC.aspx Error.aspx TimeoutAPI.aspx 通过 Pastebin 存储和管理恶意组件及 API 访问令牌。 研究表明，攻击者 主要利用 IIS 服务器漏洞 进行入侵，并使用多种技术 在受害网络内部扩展控制权，以增强 持久性和隐匿性。Squidoor 具备 10种Windows C2通信方法 和 9种Linux C2通信方法，能够适应不同攻击场景并降低被发现的风险。