PureHVNC远程访问工具（RAT）开发者利用GitHub托管源代码

PureHVNC远程管理工具（RAT）已成为Pure恶意软件家族中一个复杂的组成部分，在2025年年中针对性入侵活动增多的情况下逐渐崭露头角。

PureHVNC源自地下论坛和Telegram频道，由其作者PureCoder推出，同时还有PureCrypter、PureLogs和PureMiner等配套工具。

网络犯罪客户对其的采用，反映出市场对模块化恶意软件套件的需求日益增长，这类套件能够实现隐秘的全系统控制和数据窃取。

早期部署利用了ClickFix钓鱼技术，通过伪造工作机会引诱受害者执行恶意脚本，为多阶段入侵奠定了基础。

在一个值得注意的事件中，攻击者在八天的时间里部署了Rust Loader，随后又部署了PureHVNC远程访问木马（RAT）和Sliver命令与控制框架。

Check Point的分析师指出，在此次活动中，PureHVNC与其控制服务器进行通信，以获取三个托管支持模块的GitHub URL，这直接表明开发者自己的GitHub账户与该恶意软件的运营基础设施有关联。

这些GitHub代码仓库包含了TwitchBot和YouTubeBot功能所必需的浏览器驱动可执行文件和插件文件，这体现了一种不同寻常的、由开发者提供的恶意软件支持文件供应链。

除了其最初的渗透策略外，PureHVNC还展现出了先进的持久化和权限提升能力。

执行后，该远程访问工具会通过名为模仿合法谷歌更新程序服务的计划任务进行自我注册，以确保在重启时仍能正常运行。

如果在没有管理员权限的情况下运行，它会使用PowerShell触发一个用户账户控制（UAC）提升循环：

while ($true) {
    Start-Process -FilePath cmd[.]exe -Verb runas -ArgumentList 'regsvr32[.]exe MALWARE[.]dll --typerenderer'
    exit
}

一旦获得权限，加载程序会创建一个互斥体（MistyRoseNavy）以防止重复执行，并创建一个重复间隔为一分钟的计划任务。

这种方法与通过LdrLoadDll钩子实现的AMSI绕过相结合，使得PureHVNC能够在保持对端点控制的同时，不被实时防御系统检测到。

感染机制

PureHVNC的初始加载器是一个由Rust加载器外壳代码交付的.NET程序集。该加载器使用ChaCha20-Poly1305对其有效负载进行解密，根据1KB的阈值验证有效负载大小，并分配可执行内存来承载解密后的.NET程序集。

然后，嵌入的程序集被加载并执行，初始化远程访问工具（RAT）的主循环。通过SSL流建立通信，僵尸程序会向命令与控制（C2）服务器发送经过Gzip压缩的系统信息，包括操作系统版本、已安装的杀毒软件产品以及活动ID等元数据。

传入的命令以压缩缓冲区的形式被接收，随后经过解压缩、反序列化处理，并被分派到插件线程执行。

通过分割有效载荷传输并采用加密和压缩技术，PureHVNC能够规避静态特征检测，并增加基于网络的发现难度，这凸显了其隐蔽的感染机制。