一、 概述 二、 伪装对象 三、 功能分析 四、 与KidLogger的关系 五、 受害者分析 六、 总结 IOCs 一、 概述 Domestic Kitten组织（APT-C-50）最早被国外安全厂商披露，自2016年以来一直在进行广泛而有针对性的攻击，攻击目标包括中东某国内部持不同政见者和反对派力量，以及ISIS的拥护者和主要定居在中东某国西部的库尔德少数民族。值得注意的是，所有攻击目标都是中东某国公民。伊斯兰革命卫队（IRGC）、情报部、内政部等中东某国政府机构可能为该组织提供支持。 2020年9月27日，亚美尼亚与阿塞拜疆之间的冲突升级，在纳戈尔诺-卡拉巴赫地区交战，敌对双方持续发生激烈战斗，并且造成数十人伤亡。亚美尼亚与阿塞拜疆之间存在领土争端多年，最近再次爆发了近年最严重的冲突。由于中东某国与冲突两国的共同边界，中东某国的角色和当局的决定对此次冲突来说非常敏感。尽管中东某国对最近的紧张局势持中立态度以及外交部要求克制和和平解决冲突的坚定立场，但中东某国国内某些团体、民间社会组织和中东某国议会议员呼吁支持阿塞拜疆。或许正是这些原因，为了防止可能对中东某国政权稳定构成威胁，我们观察到Domestic Kitten组织再次发起了攻击行动。 Domestic Kitten组织此次攻击活动中使用了移动端攻击武器，伪装成居鲁士大帝和Mohsen Restaurant相关APP，从代码结构和功能上与商业监控软件KidLogger高度相似。我们在此次攻击活动中发现了一名活动在中东某国的疑似受害者，其可能参与了反政府相关活动。 二、 伪装对象 居鲁士大帝 Domestic Kitten组织在本次攻击活动主要使用了居鲁士大帝相关的样本发起攻击，其中样本信息见表1。样本运行界面如图1所示，应用主要介绍居鲁士大帝的历史以及其相关的事件和人物。 表1 居鲁士大帝样本信息 图1 样本运行界...