Microsoft Project Ire 自主发现 LOTUSLITE 新变种——72家安全厂商中仅1家作出响应
Microsoft 自主 LLM 智能体 Project Ire 识别出一个此前未见的 LOTUSLITE 恶意软件变种——发现之时,仅有72家安全厂商中的1家检测到该样本。Ire 完全依赖静态逆向工程分析,无需任何人工干预或上下文元数据。
本文由人工智能基于一手来源生成。
2026年6月12日,Microsoft 研究团队发布了一个正在改变高级威胁检测范式的项目的最新细节:Project Ire,一个完全依赖静态逆向工程分析的恶意软件自主分类智能体——无需任何人工分析师介入,也无需任何关于样本的元数据。
自主逆向分析二进制代码的智能体
Project Ire 将大型语言模型与工业级反汇编器和二进制分析工具相结合,自主解构未知恶意软件样本。智能体不接收任何关于文件来源、攻击目标或既往分类的输入信息。唯一的输入是二进制文件本身;唯一的输出是覆盖安装流程、C2 命令结构和代码混淆技术的详细行为报告。
这种方法直接应对了现代网络安全的最大挑战之一:恶意软件作者持续轮换攻陷指标(IOC),以规避基于特征的检测。传统防病毒系统寻找已知的哈希值和 IP 地址,而 Ire 分析的是代码行为——这使其即便在没有任何公开 IOC 匹配的情况下,也能识别变种。
什么是 LOTUSLITE?Ire 如何识别它?
LOTUSLITE 是一种 Windows DLL 后门,由 Acronis 记录,并以中等置信度归因于 Mustang Panda 组织。其特征包括:分离的加载器与 DLL 架构、通过自定义二进制协议与 C2 服务器进行 HTTPS 通信、通过管道实现的交互式 Shell,以及通过写入 Windows 注册表(HKCU Run 键)实现的持久化。C2 流量被伪装成与 Google 和 Microsoft 服务的合法通信。
2026年5月28日,Project Ire 分析了 SHA-256 哈希值为 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 的样本——一个大小为 253 KB 的 PE DLL 文件。当时,72家安全厂商中仅有1家将该样本标记为恶意。到6月4日,这一数字仅上升至 70家中的7家——比例依然低得惊人。未检测出威胁的厂商包括 CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto Networks 和 ESET。
Ire 在没有与任何已知 IOC 重叠的情况下,仅凭行为特征判断该样本为 LOTUSLITE 变种。与此前记录样本相比,关键差异在于:
- 安装目录:
C:\ProgramData\SmartPrint\(此前为Technology360NB) - 持久化注册表键:
DadaBank(此前为Lite360) - C2 魔数 DWORD:
0xB2EBCFDF(此前为0x8899AABB)
这些差异——攻击者刻意进行的轮换——足以令基于特征的检测系统完全失效。而对于分析代码语义而非字面值的 Ire 来说,这并不构成障碍。
归因:对内嵌字符串保持审慎
二进制文件中发现了一个未经混淆的字符串 BelievemeIamMustang-Panda。Acronis 基于基础设施及战术、技术和程序(TTP),将 LOTUSLITE 家族归因于 Mustang Panda。然而,Microsoft 研究团队明确表示未作独立归因。
原因显而易见:内嵌的归因字符串可能是故意设置的虚假信息——所谓的「假旗」,其目的正是误导使用 LLM 分析的自动化系统。Ire 的设计已充分考虑到这一风险:智能体构建的证据链完全基于二进制行为,而非可能由攻击者植入的元数据或字符串。
对安全行业的启示
Project Ire 展示了基于 LLM 的静态逆向工程在生产安全场景中的实际应用价值。以下几点结论尤为重要。
首先,基于特征的检测在同一恶意软件家族变种面前存在结构性缺陷:攻击者只需修改几个常量,就能绕过几乎所有商业 EDR 系统。首次扫描时仅有 1.4% 的厂商检测到威胁,足以说明问题。
其次,行为分析可以自主扩展——Ire 无需分析师介入,即可处理数千个样本。第三,该项目证明 LLM 智能体能够生成可用于取证的证据链,而不仅仅是非结构化注释。
Project Ire 并非取代人工研究人员,而是能力倍增器。当分析师专注于处理高优先级事件时,Ire 在处理积压的可疑样本——这些样本本可能在分析队列中等待数天乃至数周,同时作为活跃威胁持续危害受害者系统。
常见问题
- Microsoft Project Ire 是什么?
- Project Ire 是 Microsoft 基于大型语言模型的自主智能体,在无需任何人工监督或样本元数据的情况下,对恶意软件进行静态逆向工程分析。
- LOTUSLITE 变种首次发现时,有多少安全厂商检测到了它?
- 在2026年5月28日首次发现时,72家安全厂商中仅有1家将该样本标记为恶意。到6月4日,这一数字仅微增至70家中的7家。
- LOTUSLITE 被归因于哪个黑客组织?
- Acronis 以中等置信度将 LOTUSLITE 家族归因于 Mustang Panda 组织,但 Microsoft Research 未作独立归因,因为内嵌的归因字符串可能是故意设置的虚假信息。
📬 AI 新闻直达您的邮箱
按您的方式定制每日摘要——自选主题、来源和频率,一键退订。