近期，网络安全研究人员披露了一项名为SHADOW#REACTOR的新型恶意软件活动，该活动通过隐蔽的多阶段攻击链成功投递商用远程管理工具Remcos RAT，建立持久的隐蔽远程访问能力。来自Securonix的安全研究员Akshay Gaikwad、Shikha Sangwan和Aaron Beardslee在技术报告中详细阐述了这一复杂的攻击机制。

引子：一封“绩效评估”邮件，让整个部门陷入瘫痪 2026年1月初，上海某科技公司市场部员工小陈（化名）在清晨打开邮箱时，看到一封来自“HR-通知中心”的邮件，标题赫然写着：“【紧急】2025年度绩效评估结果已生成，请于24小时内确认”。发件人地址显示为 mailto:hr@company-official.com——与公司官方域名仅一字之差（实际应为 mailto:hr@company-offic ...

网络安全研究人员披露了名为SHADOW#REACTOR的新攻击活动，该活动采用规避性多阶段攻击链来传播商业远程管理工具Remcos RAT。攻击从混淆的VBS启动器开始，通过PowerShell下载器获取文本载荷片段，经.NET Reactor保护的组件重构解码后，利用MSBuild.exe完成执行。该活动主要针对企业和中小型商业环境，采用文本中间载荷和内存重构等技术来规避检测和分析。