恶作剧与间谍功能合一：CrystalX RAT新型MaaS威胁分析

🕵️ High 间谍软件

卡巴斯基在2026年3月发现一个名为CrystalX RAT的恶意软件即服务（MaaS），通过Telegram和YouTube渠道推广。该木马不仅具备远程访问、间谍软件、键盘记录、剪贴板劫持和凭证窃取等传统RAT功能，还集成了大量恶作剧模块，可执行屏幕旋转、鼠标按钮交换、桌面背景篡改等骚扰操作，是一个功能极为丰富的复合型威胁。

来源：Kaspersky Securelist | 2026-04-01 | 原文链接

🔍 关键发现

• CrystalX RAT以MaaS模式运营，提供三种订阅层级，通过Telegram和YouTube进行商业化推广，并曾借用WebRAT（Salat Stealer）的界面进行伪装。
• 该木马内置自动构建器，支持反调试、虚拟机检测、MITM检测、AMSI/ETW补丁等反分析功能，并使用zlib压缩和ChaCha20加密保护载荷。
• 除标准RAT功能外，CrystalX还包含独特的窃密模块（针对Steam、Discord、Telegram及Chromium浏览器）和恶作剧模块（屏幕旋转、BSoD模拟、鼠标按钮交换、外设禁用等）。

⚔️ 攻击链分析

1. 攻击者通过Telegram或YouTube渠道获取CrystalX RAT的访问密钥，使用控制面板自动构建定制化恶意载荷。 2. 载荷经zlib压缩和ChaCha20加密后分发至受害者，初始感染向量尚不明确但已有数十名受害者。 3. 受害者执行载荷后，建立WebSocket连接至C2，执行信息收集、凭证窃取、键盘记录、剪贴板劫持及远程控制等操作。 4. 攻击者可通过“Rofl”面板执行恶作剧命令，如屏幕旋转、桌面背景修改、鼠标按钮交换等，进一步骚扰受害者。

🚩 失陷指标 (IOC)

• Backdoor.Win64.CrystalX.*
• Trojan.Win64.Agent.*
• Trojan.Win32.Agentb.gen

🛡️ 缓解建议

• ✅ 部署端点检测与响应（EDR）解决方案，监控WebSocket异常连接和ChaCha20加密通信特征。
• ✅ 限制浏览器扩展的自动安装，特别是通过Chrome DevTools协议注入的脚本，并定期审核%LOCALAPPDATA%\Microsoft\Edge\ExtSvc等可疑目录。
• ✅ 启用应用程序控制策略，阻止未经签名的可执行文件（如%TEMP%\svc[rndInt].exe）运行，并监控ChromeElevator等工具的执行。

涉及漏洞：[]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。