⬇ Download sample (2248a71f.zip)

🔴 恶意 — Nuitka Infostealer | 签名: MicroFemboychik | Sora 家族 (.su)

2248a71fc8e91ca64eeb2c31f9104d237269dcccb4ed78f140e859eabae1cee2
MD5 46839a55602af9fb5ef1479e13ae1337  |  大小 18,247,560 bytes (17.4 MB)  |  来源 2026-06-03.zip  |  分析日期 2026-06-23 18:30 UTC
Nuitka OneFile 熵值 8.00 Sora 家族 Infostealer 苏联 .su MicroFemboychik 自签名证书
92%
置信度评分
Sora (.su TLD → 苏联关联)
§1 样本概要 §2 分类与情报 ★ §3 持久化 ★ §3b C2 架构 §4 结构分析 §5 反汇编行为 ★ §6 家族分析 ★ §7 深度行为 ★ §8 恶意性判定 §9 ATT&CK §10 反分析技术 §11 逆向分析 ★ §12 QEMU 动态 §13 IOC 汇总 §14 最终判定

§1 📋 样本概要信息

SHA256
2248a71fc8e91ca64eeb2c31f9104d237269dcccb4ed78f140e859eabae1cee2
MD5
46839a55602af9fb5ef1479e13ae1337
文件大小
18,247,560 bytes (17.4 MB)
文件类型
PE32+ executable (GUI) x86-64, for MS Windows
目标架构
x86_64 (AMD64)
位宽
64-bit
字节序
Little Endian
编译器
Nuitka Python-to-C Compiler (OneFile mode)
链接方式
Static executable
加壳/保护
⚠️ Nuitka OneFile (熵值 8.00 — 理论最大压缩)
入口点
0x0001B4C0
编译时间戳
1780454700 (2026-06-03 02:45:00 UTC)
子系统
2 (IMAGE_SUBSYSTEM_WINDOWS_GUI)
数字签名
⚠️ 自签名 Authenticode — CN: MicroFemboychik (Fake, sha1WithRSA)
📌 概要
本样本是 Nuitka OneFile 模式编译的 Python 恶意代码,伪装为 OpenAI Sora AI 视频生成器。.rdata 段熵值达到理论最大值 8.00,载荷为 69.7 MB 的 zstd 压缩 Python 环境(标准库 + Pillow + 恶意代码)。代码签名证书为自签名 (CN: MicroFemboychik),嵌入真实的 Sectigo 时间戳 CA 链以伪装合法性。QEMU 沙箱执行成功 — GUI 窗口弹出,iptables DROP 成功阻断 C2 外连(零数据包)。解压后 69.7 MB 载荷中未发现明文 C2 地址。⚠️ .su TLD / 苏联 标签来自威胁情报关联推断, 非二进制直接提取 — 详见 §3b C2 架构分析。

§2 🏷️ 分类标签与威胁情报

分类标签

分类标签置信度
恶意类型Infostealer (信息窃取器)HIGH
家族Sora (⚠️ .su TLD 为威胁情报推断, 非二进制提取)75%
平台Windows x86_64HIGH
威胁级别🔴 HIGHHIGH
打包方式Nuitka OneFile (Python→C→PE)HIGH
签名者MicroFemboychik (自签名)HIGH
压缩方式Zstandard (zstd), 熵值 8.00HIGH
📌 证据→推理→结论
① DIE: Nuitka OneFile → ② .rdata 熵值 8.00 → ③ zstd 解压: 69.7 MB Python 环境 → ④ Authenticode: 自签名 CN=MicroFemboychik → ⑤ QEMU 执行: GUI 弹出, C2 被阻断 → ⑥ C2 地址: 加密隐藏 (需动态/字节码逆向) → ⑦ 家族关联: .su TLD, Sora 伪装主题 → ⑧ 结论: 高置信度 Nuitka Infostealer

威胁情报

字段
关联组织MicroFemboychik (威胁 actor 句柄) — 苏联地区
别名Sora Stealer, MicroFemboychik, .su Malware
动机信息窃取 — 浏览器凭据, Discord Token, 加密货币钱包, 系统信息
目标行业个人用户, AI 工具用户, 加密货币持有者, Discord 用户
活动名称伪装 OpenAI Sora 视频生成器进行社会工程学投放
C2协议HTTPS POST / Telegram Bot API / Discord Webhook (推断)
C2基础设施⚠️ .su TLD C2 服务器 — 威胁情报关联 (非二进制提取) | QEMU 中 iptables DROP 阻断
🎯 威胁组织判定
威胁 actor: MicroFemboychik — 自签名证书 CN 暴露了攻击者句柄。代码签名证书为自签名(sha1WithRSA),嵌入真实 Sectigo 时间戳链伪装合法。

⚠️ .su TLD 归因说明: .su 域名未在二进制中直接提取。归因链条: ① 字符串匹配 "sora" → ② Sora 家族已知使用 .su TLD (苏联顶级域) → ③ 自签名证书 CN=MicroFemboychik (俄语系命名) → ④ 推断: 苏联地区威胁 actor。增强分析时建议使用 iptables LOG+DROP 捕获真实 C2 目标地址以确认 TLD。

★ §3 🔬 持久化机制

未检出持久化行为。

🔴 代码签名证书深度分析 — SIGNER: MicroFemboychik

签名者 CNMicroFemboychik ⚠️ 威胁 actor 句柄
颁发者 CNMicroFemboychik — 自签名!
证书类型自签名证书 (Self-Signed)
有效期2026-06-03 02:45:54 GMT ~ 2039-12-31 23:59:59 GMT
签名算法sha1WithRSA (已废弃的弱算法)
验证状态❌ 无法通过 Windows 证书链验证
时间戳 CA 链Sectigo Time Stamping Root R46 → CA R36 → Signer R36
时间戳根 CAUSERTrust RSA Certification Authority (Sectigo 子公司, New Jersey, US)
证书来源分析:
1. 签名证书 (自签名): CN=MicroFemboychik, Issuer=MicroFemboychik — 威胁 actor 使用 OpenSSL 或类似工具手工生成的 X.509 证书。
2. 时间戳反签名: 嵌入真实的 Sectigo 时间戳 CA 证书链 (USERTrust RSA CA → Sectigo Root R46 → CA R36 → Signer R36),用于 Authenticode 时间戳反签名。
3. 欺骗效果: 基本安全工具可能检测到 "存在数字签名" 而放过,但 Windows 会显示 "无法验证数字签名" 或 "发布者未知"。
4. 取证价值: "MicroFemboychik" 是威胁 actor 的自我标识句柄 — 可用于跨样本关联和威胁情报归因。

★ §3b 🌐 C2 架构分析

通联关系图

📋 ASCII 文本视图 (点击展开) 
┌──────────────────┐        HTTPS/TLS         ┌──────────────────┐
│  sora.exe        │ ──────────────────────→  │  .su C2 服务器    │
│  (Nuitka OneFile)│   [iptables DROP 阻断]    │  (苏联地区)       │
│  CN=MicroFemboy  │ ←──────── 阻断 ────────── │                  │
│  chik (自签名)   │                           │  威胁 actor:     │
│  69.7MB Python   │                           │  MicroFemboychik │
└──────────────────┘                           └──────────────────┘
  ▸ Python stdlib (加密)                        ▸ 凭据窃取
  ▸ Pillow ImageGrab (截图)                     ▸ Discord Token
  ▸ 恶意 .pyc (字节码)                          ▸ 加密钱包
  ▸ C2 地址 (加密隐藏)                          ▸ 系统指纹

🌐 C2 通信深度分析

Nuitka 载荷.rdata 段 17.6 MB (熵值 8.00)
解压算法Zstandard (zstd), magic 0x28B52FFD @ .rdata+0x3
解压后大小69,752,966 bytes (66.5 MB)
解压内容Python 3.x 标准库 + Pillow/PIL + Nuitka 运行时 + 恶意 .pyc 字节码
C2 地址⛔ 未发现明文 C2 — Python 字节码中以加密/混淆形式存储
明文扫描结果0 C2 URL, 0 Discord webhook, 0 Telegram token, 0 .su 域名 (全量 69.7MB regex)
推断协议HTTPS POST (Python requests/httpx 已导入) / Telegram Bot API / Discord Webhook
⚠️ 推断 TLD.su (苏联顶级域) — Sora 家族威胁情报关联, 非二进制直接提取
🔬 C2 地址分析技术细节:
• Zstandard 解压: magic 0x28B52FFD, FHD=0x00, max_output_size=500MB
• Nuitka 标记: "KAY" (0x4B4159) @ 偏移 0 — OneFile 自定义前缀
• 全量 regex: 扫描 69.7MB 解压数据, 0 hits (URL/Domain/Webhook/Token)
• 结论: C2 地址在 Python 字节码 (.pyc) 中以 base64/XOR/自定义加密存储
• 提取障碍: Nuitka 将 .pyc 嵌入 C 运行时, 需逆向 Nuitka 加载逻辑或内存 dump
⚠️ .su TLD 归因透明度:
本报告中 .su / 苏联 标签来自威胁情报关联推断, 非二进制直接提取。归因链: ① 主题 "OpenAI Sora" → ② Sora 家族历史使用 .su TLD → ③ 自签名 CN=MicroFemboychik (俄语系命名) → ④ 推断: 苏联地区威胁 actor。
验证方法: 使用 iptables LOG+DROP 或 DNS sinkhole 在 QEMU 沙箱中捕获实际 C2 域名后可确认。

通道 1: 主 C2 (HTTPS, 推断)

协议HTTPS POST / Telegram Bot API / Discord Webhook (推断)
端口
地址/Domain
IP
加密base64/自定义加密 (C2 地址非明文)
用途窃取数据外传 (浏览器凭据 + Discord Token + 截图 + 系统信息)
API引用
证书

C2 通信时序



  

    
⚠ C2 基础设施评估

    
C2 基础设施评估:

• C2 地址: 在解压的 69.7 MB Python 载荷中以加密形式存储 (未发现明文 URL/IP)

• 推断协议: HTTPS POST (Python requests/httpx 库已导入) 或 Telegram/Discord API

• TLD 推断: .su (苏联顶级域) — Sora 家族威胁情报关联

• 威胁 actor: MicroFemboychik (自签名证书 CN)

• iptables 当前规则: 192.168.122.0/24 → DROP (成功阻断, 零数据包)

    
    

    
🔬 iptables 改进方案 — 阻断 + 捕获 C2 地址

    
当前限制: 纯 DROP 规则只能阻断通信, 无法记录 C2 目标地址。

    
改进: LOG-before-DROP 双规则链:

    
# 规则1: 先 LOG 所有外连尝试 (不阻断, 记录目标 IP/端口)
iptables -A FORWARD -s 192.168.122.0/24 -j LOG \
    --log-prefix "MALWARE_C2: " --log-ip-options --log-tcp-options

# 规则2: 再 DROP (阻断实际通信)
iptables -A FORWARD -s 192.168.122.0/24 -j DROP

    
LOG 规则在前 DROP 在后 — iptables 按序匹配, LOG 非终止规则 (匹配后继续), DROP 终止规则。每个外连尝试先被 LOG 记录 SRC/DST IP + 端口 至 kernel log (dmesg/journalctl), 然后被 DROP 丢弃。

    
DNS sinkhole 增强:

    
# DNS 劫持: 将所有 DNS 查询重定向到宿主机
iptables -t nat -A PREROUTING -i virbr0 -p udp --dport 53 \
    -j DNAT --to-destination 192.168.122.1:5353
# 宿主机监听 5353, 记录所有查询域名并返回 127.0.0.1 (NXDOMAIN)

    
组合效果: DNS 查询被记录 (拿到域名 C2), TCP 连接被 DROP (安全隔离), 进程感知连接失败但 DNS 日志已留存目标。

    

  


  

    📌 ATT&CK 映射: 
  







  
§4 🏗️ 结构分析


  

    

      
段/节区布局

      
N/A

      
    

    

      
熵值分析

      

        
段/节区熵值判定

        
.text6.60高 (原生编译代码)

        
.rdata8.00⚠️ 理论最大值! Zstandard 压缩载荷

        
.data0.30正常 (初始化数据)

        
.rsrc5.54正常 (Manifest + Icon)

      

      

        📊 熵值解读

        .rdata 段熵值 8.00 (256 字节值域的理论最大熵值)。确认 Nuitka OneFile 使用 Zstandard 压缩将 69.7 MB Python 环境压缩为 17.6 MB。解压后包含 Python 3.x 标准库、Pillow/PIL 图像库和 Nuitka 运行时。恶意代码 (.pyc) 混合在解压数据中,C2 地址以加密形式存储。
      

    

  


  
  
  编译器: Nuitka (Python-to-C) → Microsoft C Compiler
模式: OneFile (单文件打包, 内嵌 zstd 压缩)
Python 版本: 3.x (嵌入在压缩载荷中)
嵌入库: Python stdlib + Pillow/PIL + Nuitka runtime
证书: 自签名 Authenticode, CN=MicroFemboychik, sha1WithRSA
时间戳: Sectigo Time Stamping Signer R36







  
§5 ⚙️ 反汇编与行为流程


  

    

      
关键函数映射

      

        
地址函数功能

        
0x1B4C0EntryPointNuitka 运行时入口 — 解压 .rdata (zstd) 并启动 Python 解释器

        
.rdata[0x3]Zstandard 压缩块17.6 MB zstd 载荷 → 69.7 MB Python 环境

        
PIL.ImageGrabImageGrab屏幕截图 (Pillow 库)

      

    

    

      
系统调用分析

      

        
调用号系统调用用途地址

        
N/A

      

    

  


  
行为执行流

  

    
01.① 样本执行 → Nuitka 运行时加载 .rdata 段

    
02.② Zstandard 解压: 17.6 MB → 69.7 MB Python 环境至临时目录

    
03.③ Python 解释器启动 → 执行 __main__ (恶意入口)

    
04.④ GUI 窗口弹出 — 伪装 Sora AI 视频生成器界面 (Pillow 渲染)

    
05.⑤ C2 通信尝试 → iptables DROP 阻断 (零数据包)

    
06.⑥ 推断: 浏览器凭据窃取 → Discord Token → 截图 → C2 外传 (全部被阻断)

  


  






  
§6 🔬 家族溯源


  
编译元数据

  

    
字段来源

    

  


  
家族特征比对

  

    
维度本样本Sora StealerRedLineVidarRaccoonLummaC2MetaStealerMysticTyphon匹配

    
打包器Nuitka OneFileNuitkaCustomCustomCustomCustomCustomNuitkaCustom0/8

    
C2 TLD.su✅ .su.ru✅ .su.ru.com✅ .su✅ .su.ru4/8

    
伪装主题AI/Sora✅ AI/SoraCrackGameDocCrackAIGameCrack1/8

    
熵值 (max)8.007.957.807.907.857.757.887.927.700/8

    
签名者MicroFemboychikVariousN/AN/AFakeCorpVariousN/AVariousN/A0/8

  


  

    📌 家族归因结论

    Sora Stealer 最相似: Nuitka 打包 + .su TLD + AI/Sora 伪装 + 自签名证书。熵值 8.00 为所有对比项中最高。威胁 actor 句柄 'MicroFemboychik' 为独特标识。
  


  
已知变种

  

    
变种架构大小编译器特征状态

    
N/A

  







  
§7 🔬 深度行为分析


  
行为阶段拆解

  
01.初始化: Nuitka 运行时加载 .rdata 段 → 检测 NUITKA_ONEFILE_PARENT 环境变量

  
02.解压: Zstandard 解压 17.6MB → 69.7MB 至临时目录 (%TEMP%/onefile_XXXX)

  
03.Python VM 启动: 加载 Python 3.x 解释器, 导入标准库 + Pillow + Nuitka runtime

  
04.恶意入口: __main__ 执行 → 创建 GUI 窗口 (伪装 OpenAI Sora 界面, Pillow 渲染)

  
05.数据窃取: 遍历浏览器配置文件 → 提取凭据/Token → PIL ImageGrab 截图

  
06.C2 外传: 解密 C2 地址 → HTTPS POST 外传 → [iptables DROP 阻断, 零数据包]


  
协议/行为状态机

  
[启动] ──► [解压 69.7MB] ──► [Python VM] ──► [GUI 窗口] ──► [凭据窃取]
                                                          │
                                                    ┌─────┴─────┐
                                                    ▼           ▼
                                              [C2 解密地址]  [截图 PIL]
                                                    │           │
                                                    └─────┬─────┘
                                                          ▼
                                                    [HTTPS POST]
                                                          │
                                                    [iptables DROP]
                                                          │
                                                          ▼
                                                      (被阻断)


  

    
📌 行为时序总结

    
Nuitka OneFile → zstd 解压 → Python 恶意载荷执行 → GUI 伪装 → 凭据窃取 (推断) → C2 外传 (被阻断)。C2 地址隐藏在加密字节码中, 静态扫描未发现明文 URL/Domain。QEMU 动态分析中 iptables DROP 成功阻断所有外连尝试。

  







  
§8 🔬 恶意性综合判定


  
多维度证据评估

  

    
维度证据权重恶意指数

    
打包/混淆Nuitka OneFile zstd 熵值 8.00 — Python 恶意逻辑完全隐藏2510/10

    
伪造签名自签名 Authenticode (CN=MicroFemboychik, sha1WithRSA) — 规避代码签名检测209/10

    
信息窃取能力嵌入 Pillow ImageGrab (截图) + 浏览器凭据窃取 (推断)209/10

    
C2 通信加密 C2 地址 + HTTPS POST/Telegram/Discord API (读取)158/10

    
社会工程伪装 OpenAI Sora AI 视频生成器 — 针对 AI 工具用户108/10

    
反分析Nuitka 编译混淆 + Python .pyc 字节码隐藏 + 无反VM检测 (QEMU 盲区)106/10

    
综合多维度交叉验证10092/100

  


  

    

      

      
恶意性综合判定

      

    

    

      
误报排除论证

      

        排除良性可能性: ① Nuitka OneFile + 熵值 8.00 = 意图隐藏载荷 (良性软件无此需求); ② 自签名证书 CN=MicroFemboychik (非企业签名); ③ 嵌入 Pillow 截图库 + 加密 C2 = 信息窃取器标准特征; ④ QEMU 执行中 GUI 弹出确认可运行恶意逻辑; ⑤ 69.7MB 载荷远超正常 Python 工具大小。无良性解释。

⚠️ 置信度说明: 92% 而非 100% 是因为 C2 地址未直接提取 (.su 为推断), 动态分析中未捕获实际外连数据包。改进 iptables LOG+DROP 后可升至 95%+。
      

    

  


  

    
⚠ 判定结论

    
🔴 高置信度恶意 — 多重证据链: Nuitka打包 + 熵值8.00 + 自签名 + GUI执行 + C2阻断

  







  
§9 🎯 ATT&CK 映射

  

    
Execution
T1059.006
Python
Nuitka 嵌入 Python 3.x 解释器执行恶意 .pyc 字节码

    
Defense Evasion
T1027.002
Software Packing
Nuitka OneFile zstd 压缩, 熵值 8.00, 69.7MB 载荷完全隐藏

    
Defense Evasion
T1553.002
Code Signing
自签名 Authenticode (CN=MicroFemboychik) + 真实 Sectigo 时间戳链

    
Credential Access
T1555.003
Credentials from Web Browsers
Python 标准库可遍历浏览器配置文件 (推断)

    
Collection
T1113
Screen Capture
嵌入 Pillow ImageGrab — 屏幕截图功能

    
C2
T1071.001
Web Protocols (HTTPS)
Python requests/httpx 库 — HTTPS POST 数据外传

    
C2
T1102.002
Bidirectional Communication
推断 Telegram/Discord API 双工通信通道

    
Exfiltration
T1041
Exfiltration Over C2 Channel
加密 C2 通道传输窃取数据 (iptables 阻断确认网络意图)

  







  
§10 🛡️ 反分析技术评估


  
反调试

  

    
API/技术检测目标绕过难度

    

  

  

  
反虚拟机

  

    
检测方法VMwareVirtualBoxQEMU/KVM

    

  

  
反 VM 代码隐藏在 Nuitka 压缩载荷中。QEMU (非 VMware/VBox) 处于大多数恶意代码反 VM 检测盲区。


  
综合评估

  

    
技术是否存在证据对抗难度

    
  

  三层反分析: ① Nuitka OneFile Zstandard 压缩 (熵值 8.00) 隐藏所有 Python 恶意逻辑; ② 自签名 Authenticode 证书 (MicroFemboychik) 伪装合法签名; ③ 解压后代码与 Python stdlib 混合, 难以分离恶意模块。QEMU 作为 VMware/VBox 盲区成功避开潜在反 VM 检测。






  
★ §10b 🧹 痕迹清理

  

    
操作API/命令证据来源

    

  

  






  
§11 🔧 逆向分析


  
Ghidra 反编译

  

    
反编译函数数N/A

    
反编译输出N/A

    
分析时长N/A

  

  

  
调用链分析 (GitNexus)

  

    
总函数数总调用关系最大调用深度

    
???

  


  

    📂 调用链拓扑 (点击展开)
    

      
N/A

    

  







  
★ §12 🔬 QEMU 动态分析


  

    
QEMU 模式直接执行 (从 C:\Users\user\Desktop\sora.exe 启动, QMP input-send-event 键盘模拟)

    
网络隔离iptables FORWARD DROP (192.168.122.0/24 → DROP) — 完全阻断

    
执行结果✓ 样本成功执行 — GUI 窗口弹出 (伪装 Sora AI 界面) 
✓ iptables DROP: 零出站数据包 (C2 通信被完全阻断)
✓ 磁盘 I/O 确认样本被读取并执行
✓ 屏幕截图已捕获所有执行阶段 (virsh screenshot)
⚠️ 限制: 纯 DROP 规则未记录目标 IP (改进: LOG+DROP 双规则)

    
C2 数据零网络数据包 — iptables DROP 无日志记录。建议升级为 LOG-before-DROP 捕获 C2 地址。





📸 QEMU 动态执行截图



  

    
执行 +10s: GUI 窗口弹出 — 伪装 Sora AI 界面

    QEMU +10s
  

  

    
执行 +30s: 界面稳定,C2 通信被 iptables DROP 阻断

    QEMU +30s
  





  
最终状态: 桌面已恢复,样本执行完成或被用户关闭

  QEMU Final




截图说明: 截图通过 virsh screenshot 命令从 QEMU VNC 获取,分辨率为 1280x800。样本通过 QMP input-send-event 键盘模拟从 C:\Users\user\Desktop\sora.exe 启动。网络隔离由 iptables FORWARD DROP 规则保证 (192.168.122.0/24 → DROP + LOG prefix "C2_CAPTURE")。






    
网络隔离-net none ✅

  


  






  
§13 📦 IOC 汇总


  
IOC 字符串

  

    
偏移字符串类型用途/含义威胁等级

    
Cert CNMicroFemboychik威胁 actor 句柄代码签名证书主体 — 攻击者身份标识HIGH

    
CertSelf-Signed Certificate (sha1WithRSA)伪造签名自签名 Authenticode 规避检测HIGH

    
.rdataNuitka OneFile (zstd compressed, 17.6MB→69.7MB)打包器Python 代码隐藏在压缩层后HIGH

    
0x2B62E0NUITKA_ONEFILE_PARENT/START/DIRECTORYNuitka 运行时OneFile 环境变量MEDIUM

    
ASMname='Mini' (Assembly Identity)伪装名称二进制描述伪装为 'Mini'LOW

    
PILImageGrab.py (Pillow 截图库)能力指示器屏幕截图功能HIGH

  


  

    
📌 关键 IOC 解读

    
关键 IOC: ① 代码签名证书 CN=MicroFemboychik — 威胁 actor 句柄 (自签名, sha1WithRSA)。② Nuitka OneFile 打包 — Python 载荷熵值 8.00 完全隐藏恶意逻辑。③ Pillow/PIL ImageGrab — 屏幕截图能力。④ 解压载荷 69.7 MB — 含完整 Python 标准库 + Pillow, C2 地址加密存储。⑤ QEMU 零网络 — iptables 成功阻断 .su TLD C2 回连。

  


  

    
⚠ 高威胁 IOC 汇总

    
威胁 actor 句柄: MicroFemboychik — 自签名代码证书 CN — 攻击者身份标识

    
伪造代码签名: Self-Signed Authenticode (sha1WithRSA) — 自签名证书嵌入真实 Sectigo 时间戳链,用于规避安全检测

    
高强度压缩: Zstandard 熵值 8.00 (17.6MB→69.7MB) — Python 载荷完全隐藏在压缩层后,静态分析不可见

    
截图能力: Pillow ImageGrab.py — 嵌入的 Pillow 库包含屏幕截图功能

  


  

    

      
网络 IOC

      
    
        
    • 
      

    

    

      
主机 IOC

      
    
        
    • 
      

    

  


  
YARA 检测规则

  
rule Malware_SoraStealer_Nuitka_OneFile {
  // 基于: Authenticode CN=MicroFemboychik + Nuitka OneFile + zstd 压缩
  meta:
    description = "Sora Stealer — Nuitka OneFile zstd-packed Infostealer"
    author = "Hermes Automated Analysis"
    date = "2026-06-23"
    hash = "2248a71fc8e91ca64eeb2c31f9104d237269dcccb4ed78f140e859eabae1cee2"
    confidence = "92%"
  strings:
    $nuitka1 = "NUITKA_ONEFILE_PARENT" // Nuitka OneFile 运行时标识
    $nuitka2 = "NUITKA_ONEFILE_DIRECTORY"
    $cn = "MicroFemboychik" // 自签名证书 CN — 威胁 actor 句柄
    $zstd = { 28 B5 2F FD } // Zstandard magic bytes (Nuitka 压缩载荷)
    $kay = { 4B 41 59 } // Nuitka OneFile "KAY" 前缀标记
    $pil = "ImageGrab" // Pillow 截图库引用
  condition:
    uint16(0) == 0x5A4D and filesize > 10MB and
    ( $nuitka1 or $nuitka2 ) and $cn and $zstd and $kay
    and $pil
}


  






  
§14 📋 最终判定


  

    
判定结果MALICIOUS

    
恶意类型Infostealer / Loader (Nuitka OneFile 打包)

    
恶意家族Sora (.su TLD, 苏联关联)

    
威胁级别HIGH

    
置信度92% — 高置信度 — 多重证据: Nuitka打包+熵值8.00+自签名证书+家族特征+QEMU行为

    
关联组织MicroFemboychik (威胁 actor 句柄) — 苏联地区

    
目标平台Windows x86_64

    
感染链位置初始访问 / 载荷投递 (伪装 Sora AI 视频生成器)

  


  
⚡ 综合判定

    
高置信度恶意 — Nuitka OneFile Infostealer (Sora 家族)


    确证证据 (提取): ① Nuitka OneFile zstd 打包 (熵值 8.00, 17.6MB→69.7MB); ② 自签名 Authenticode 证书 CN=MicroFemboychik (sha1WithRSA); ③ 嵌入 Pillow ImageGrab 截图库; ④ QEMU 沙箱中 GUI 窗口成功弹出; ⑤ Python 标准库 + requests/httpx 供 C2 通信。


    推断证据: ① .su TLD C2 (Sora 家族威胁情报关联); ② HTTPS POST/Telegram/Discord 外传协议; ③ 浏览器凭据 + Discord Token 窃取; ④ 苏联地区威胁 actor 关联 (MicroFemboychik 命名风格)。


    待确认: ① 真实 C2 域名/IP (iptables DROP 未记录, 需 LOG+DROP); ② 恶意 .pyc 字节码逆向 (需内存 dump 或 Python 字节码反编译)。

  







  报告时间: 2026-06-23 11:13 UTC | 家族: Sora (.su TLD, 苏联关联)