自2024年年中首次出現以來，名為"Hellcat"（地獄貓）的復雜勒索軟件已成為網絡安全領域的重大威脅。該惡意軟件迅速進化其攻擊能力，專門針對政府部門、教育機構和能源基礎設施等關鍵領域。

該組織不僅對數據進行加密，還運用心理戰術武器化手段，利用此前未知的漏洞來最大化對受害者業務的影響，從而提高贖金支付金額。

該勒索軟件采用RaaS（Ransomware-as-a-Service，勒索軟件即服務）模式運營，允許附屬機構部署惡意軟件，同時與開發者分享利潤。

這種商業模式加速了地獄貓在全球各行業的擴散，其攻擊手段也日趨復雜。

該組織采用雙重勒索策略，在加密前先竊取敏感數據，并威脅如果贖金要求得不到滿足將公開這些數據。

博通（Broadcom）研究人員發現地獄貓具備高級漏洞利用能力，能夠成功利用零日漏洞（包括最近發現的Atlassian Jira漏洞）在目標環境中建立初始立足點。

分析顯示，地獄貓通過多階段攻擊方式展現出繞過傳統安全控制的卓越能力，采用反射式代碼加載技術直接在內存中執行惡意代碼，有效規避基于文件的安全解決方案檢測。

地獄貓已對多個行業的實體造成嚴重影響，成為全球組織的重大威脅。

安全專家觀察到針對關鍵基礎設施的攻擊日益精準的令人擔憂趨勢，表明該組織的戰術正變得更加精細，目標選擇更具戰略性。

感染鏈與持久化機制

地獄貓的攻擊鏈始于通過魚叉式釣魚郵件（包含惡意附件）或利用面向公眾的應用程序（通常借助零日漏洞）獲取初始訪問權限。

感染鏈（來源：博通）

成功入侵后，攻擊者會部署復雜的多階段PowerShell感染鏈，通過修改Windows注冊表運行鍵值建立持久性，確保惡意腳本在用戶登錄時自動執行。

該PowerShell腳本隨后連接到攻擊者控制的基礎設施下載后續有效載荷，同時采用AMSI（反惡意軟件掃描接口）繞過技術禁用或修改安全工具。

最后階段通過shellcode有效載荷部署SliverC2（一種命令控制框架），獲取對受感染環境的持久遠程訪問權限。

為進行橫向移動，地獄貓利用Netcat和Netscan等"就地取材"二進制文件，使其與合法網絡活動融為一體，大大增加了檢測難度。