
QuimaRAT 用 Java 跨 Windows、macOS、Linux,公司 IT 要醒神
可疑 JAR、釣魚附件同異常 Java process 要一齊睇
發生咩事
LevelBlue 喺 2026 年 6 月 25 日發表 QuimaRAT 分析,iThome 喺 7 月 7 日報道呢隻新 Java 遙距存取木馬以 MaaS 形式出售,可喺 Windows、Linux 同 macOS 上運作。講白啲,呢個案值得睇,唔係因為 RAT 呢類嘢新鮮,而係佢包裝到似一套可租用嘅惡意軟件平台,買家唔使自己砌晒工具鏈,就有跨平台投放同後續加功能嘅空間。
點解 Java 令件事麻煩
LevelBlue 分析嘅樣本係一個 JAR 檔,跑喺 Java SE 8,入面仲放咗支援 Windows、Linux、macOS 嘅 JNA native library。呢點好現實:好多公司防守習慣仍然 Windows 優先,MacBook、Linux dev box 反而當成「少啲毒」咁處理。但 Java app 一旦俾人包到似正常工具、插件或者附件,混合 OS 辦公環境就要一齊管,唔可以淨係守 Windows endpoint。
MaaS 化拉低攻擊門檻
LevelBlue 話賣家用「70+ modules」、加密、GUI panel 呢類字眼做宣傳,月費由 US$150 起,永久授權標到 US$1,200。呢啲數字唔係最值得驚,麻煩在於成套工具被包裝成有 builder、混淆、更新同支援嘅服務。iThome 報道亦提到,呢類跨平台 RAT 正向模組化同商業化走,防守方要面對嘅唔再只係一粒固定惡意檔案。
功能要分清楚已確認同賣家宣傳
LevelBlue 報告講得幾清楚:已分析 base client 入面確認咗 23 個 command,另外 212 個只喺協議入面見到,未代表全部功能已經寫入呢個 JAR。呢個分寸好重要,因為賣家廣告永遠會吹到好滿。不過,QuimaRAT 有 plugin 架構,可以由 C2 server 載入加密插件;即係初始樣本未必大包圍,但中招後嘅後續動作先係狩獵重點。
公司 IT 要點守
實務上,第一步係收緊 Java app 同 JAR 檔來源,尤其係電郵附件、即時通訊傳嚟嘅工具、假更新檔同來歷唔明嘅開發工具。EDR / 防毒唔應該淨係睇檔名,要留意異常 Java process 長時間出站連線、開機自動啟動項目、奇怪 plugin cache、下載再執行 payload、同可疑自我更新行為。macOS 同 Linux 亦要入 EDR 覆蓋範圍,唔好當成例外。
暫時唔好講到本地爆發
而家未見公開資料指向港企或者本地用戶已經中 QuimaRAT,所以唔使講到好似大規模攻擊已經殺到埋身。不過中小企、freelancer、開發者同用混合 OS 嘅團隊確實有實際風險:一個人開錯 JAR,後面可能就係憑證、檔案同內網活動俾人慢慢摸。下一步要睇防毒廠商同 EDR 會點補偵測,IT 團隊亦應該攞 LevelBlue 嘅 IoC 入 SIEM 對一對。
參考來源
- iThome — Java遠端存取木馬QuimaRAT現身,以MaaS模式販售並鎖定Windows、Linux與macOS — original report
- LevelBlue:Novel Java-Based QuimaRAT Targets Windows, macOS, and Linux — LevelBlue 官方 blog,確認 QuimaRAT 跨平台、MaaS 定價、JAR/JNA 同模組化重點。
- LevelBlue Research Report:QuimaRAT: A Java RAT with Burning Ambitions — primary research report 頁面,連到完整 PDF,核對 command 數量、plugin 架構、防守建議同 IoC 類型。
- The Hacker News:New Java-Based QuimaRAT MaaS Built to Run on Windows, Linux, and macOS — 可信資安媒體整理 LevelBlue 研究,用嚟交叉核對 builder、平台支援同防守脈絡。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







