研究人员发现一场名为“Operation PhantomCLR”的攻击活动，正滥用一款受信任的英特尔（Intel）实用程序，通过劫持.NET的AppDomain机制，悄无声息地加载高级恶意软件。攻击者利用经过Authenticode签名的合法英特尔存储实用程序IAStorHelp.exe作为主要加载器，启动一个多阶段的漏洞利用后框架。由于该二进制文件被广泛信任，安全工具更可能允许其执行，从而使攻击者能够通过一个已知的良好进程代理所有恶意活动。 攻击的核心技巧是滥用.NET的AppDomainManager功能。攻击者通过一个恶意的IAStorHelp.exe.config配置文件，将AppDomainManager重定向到其恶意的IAStorHelpMosquitoproof.dll和一个名为“stylohyoideus”的自定义类，确保其代码在进程初始化时首先运行。这使得未签名的、经过混淆的DLL能够静默继承已签名的英特尔宿主程序的信任。入侵通常始于鱼叉式网络钓鱼邮件，其中包含一个ZIP压缩包，内有签名的IAStorHelp.exe、恶意配置文件、混淆的.NET加载器DLL、加密载荷以及一个具有欺骗性的“.pdf.lnk”快捷方式和诱饵PDF文档。 该活动主要针对中东及更广泛EMEA（欧洲、中东和非洲）地区的金融等组织。恶意软件采用高度规避技术，例如使用60秒的CPU密集型质数计算循环来延迟恶意行为，并通过892,007次迭代的AES密钥派生循环来解密大型加密载荷。在内存执行方面，它使用即时编译（JIT）“蹦床”技术，强制.NET生成可执行代码，然后用shellcode覆盖该内存区域并通过函数指针调用，以减少传统遥测数据。其命令与控制（C2）通信使用HTTPS协议，并利用亚马逊CloudFront作为域前置层，背后是托管在AWS Elastic Load Balancing上的攻击者基础设施。 安全团队应监控与已签名二进制文件放在一起的异常.exe.config文件，特别是其中AppDomainManager设置引用未知或未签名.NET程序集的情况。建议搜寻从用户可写目录执行的IAStorHelp.exe、可疑的.pdf.lnk快捷方式，以及英特尔进程向CloudFront或其他CDN发起的出站HTTPS连接。防御者可通过加强应用程序允许列表、检查.NET配置更改以及采用针对JIT滥用、异常AppDomain活动和反射式内存加载的行为检测来增强防护。