2024年11月，FortiGuard 事件响应团队（FGIR）在中东某关键基础设施（CNI）网络中发现了一起长期渗透攻击，追溯可至2023年5月，部分痕迹甚至可追溯至2021年5月。攻击者被高度确信与**伊朗国家支持的威胁组织 Lemon Sandstorm（又名 Fox Kitten / Pioneer Kitten）**有关。此次入侵显示了国家级APT对CNI环境持久化控制与纵深渗透的强大能力。 攻击者最初通过被盗用的SSL VPN账号进入网络，利用多种自定义或开源恶意软件（HanifNet、HXLibrary、NeoExpressRAT、RemoteInjector、SystemBC、MeshCentral 等）维持持久访问。其关键目标包括：邮件系统、虚拟化基础设施、凭证收集系统及模拟的OT网络。攻击工具组合灵活，涵盖 webshell、反向代理、密码钩子DLL、PowerShell远控、SSH、RDP隧道等。 此外，攻击者还部署了一系列针对性极强的钓鱼活动与Web门户篡改手段（如修改Exchange OWA登录页面的JavaScript以拦截密码），并通过PoC代码利用已知Web漏洞实施渗透。 此事件展示了伊朗APT在关键基础设施网络中进行**情报收集与冲突准备定位（prepositioning）**的真实意图。报告详细列出入侵时间线、恶意代码分析、TTP行为模式、MITRE ATT&CK映射、IOCs、C2域名/IP、APT归属线索与具体防御建议。