Trigona

报告编号: TIR-2026-0701-022 | 分类等级: TLP:AMBER | 发布日期: 2026年7月1日 | 情报来源: 多源交叉验证(OSINT + Symantec + Trend Micro + Zscaler + Arete Institute + SentinelOne + Unit 42 + The DFIR Report + GBHackers)


一、执行摘要

Trigona(Trend Micro 追踪代号:Water Ungaw,Symantec 追踪代号:Rhantus)是2022年6月首次出现的勒索软件即服务(RaaS)组织,以双重勒索模式和内核级防御瘫痪工具著称。该组织由 Symantec 命名为"Rhantus"的网络犯罪团伙运营,向关联成员提供 20%–50% 的收益分成。

Trigona 与 CryLock/Cryakl 在 TTPs 上高度重叠,并与 ALPHV/BlackCat 存在管理层面协作关系——利用 ALPHV 的声誉和数据泄露站点作为对受害者的施压手段。2023年10月,亲乌克兰黑客组织 Ukrainian Cyber Alliance (UCA) 攻陷了 Trigona 的数据泄露站点,使其运营一度停滞。然而,2026年初该组织以升级的战术重新活跃,包括自研数据窃取工具 uploader_client.exe 和大规模 BYOVD 攻击。

关键发现

维度关键指标
组织规模政府机构占受害者21.4%(最高)
首要目标土耳其(23.5%)、菲律宾(19.6%)、巴西(13.7%)
加密方式AES-256(OFB模式)+ RSA-4,112
编程语言Delphi(Windows版本)
商业模式RaaS(20-50%分成)
关联组织CryLock/Cryakl(TTPs重叠)、ALPHV/BlackCat(管理协作)
技术创新自研 uploader_client.exe、BYOVD 多驱动、数据擦除器功能
支付方式Monero(XMR),TOR 谈判门户
解密可能性不存在(无公开解密工具)
当前状态活跃(2026年初重新活跃)

威胁等级评估

评估维度等级说明
技术能力🔴 极高Delphi编写、RSA-4112、BYOVD多驱动、自研窃取工具、数据擦除器
运营成熟度🔴 极高RaaS模式、ALPHV协作、公开泄露站(倒计时+竞价)
攻击规模🟠 高政府机构21.4%(最高行业占比)
目标针对性🔴 极高政府/教育/制造/医疗/法律/金融
数据泄露风险🔴 极高双重勒索 + 公开泄露站 + 数据擦除器

二、威胁行为者画像

2.1 组织标识

属性
官方名称Trigona
别名Water Ungaw(Trend Micro)、Rhantus(Symantec)
组织类型RaaS(20-50%分成)
活跃周期2022年6月 – 至今(2023.10 UCA打击后2026年初重新活跃)
编程语言Delphi(Windows版本)
地理归属俄语地区(推断)
攻击目标全球(土耳其/菲律宾/巴西为主)
动机经济利益

2.2 关联组织

┌──────────────────────────────────────────────────────┐
│           Trigona 关联组织网络                          │
├──────────────────────────────────────────────────────┤
│                                                        │
│  ┌─────────────────┐                                  │
│  │ Trigona 核心     │ Water Ungaw / Rhantus           │
│  │(RaaS 提供者)    │ Delphi 编写                     │
│  └────────┬────────┘                                  │
│           │                                            │
│           ├──→ CryLock / Cryakl                        │
│           │    TTPs 高度重叠                            │
│           │    勒索信文件名和通信邮箱相似                │
│           │                                            │
│           ├──→ ALPHV / BlackCat(管理协作)             │
│           │    利用 ALPHV 声誉和泄露站施压              │
│           │                                            │
│           └──→ BlackNevas(衍生)                       │
│                Trigona 代码衍生变体                     │
│                                                        │
└──────────────────────────────────────────────────────┘

三、归因分析

3.1 地理归属

证据类型详情置信度
RAMP 论坛从 RAMP 内部聊天购买凭证
工具链HRSword/PCHunter 等俄语工具中-高
UCA 打击亲乌克兰组织攻陷其泄露站

四、技术能力评估

4.1 加密方案

属性
对称加密AES-256(OFB 模式,无填充)
非对称加密RSA-4,112
配置加密双层 AES-CBC
加密范围默认仅加密文件前 512KB(0x80000字节),/full 参数可加密全部
文件扩展名._locked
擦除扩展名._erased
勒索信how_to_decrypt.hta(HTA格式,内嵌 JavaScript)
编程语言Delphi

4.2 数据擦除器功能

┌──────────────────────────────────────────────────────┐
│           Trigona 数据擦除器功能                       │
├──────────────────────────────────────────────────────┤
│                                                        │
│  /erase 参数:                                         │
│  ├── 用 NULL 字节覆写文件(默认前512KB)               │
│  ├── 结合 /full 可覆写全部内容                         │
│  ├── 重命名为 ._erased 扩展名                          │
│  └── 删除文件                                          │
│                                                        │
│  影响:                                                │
│  ├── 阻碍取证分析                                      │
│  ├── 彻底摧毁受害者数据                                │
│  └── 即使支付赎金也无法恢复                            │
│                                                        │
└──────────────────────────────────────────────────────┘

4.3 内核级防御瘫痪工具

工具用途类型
HRSword(虎绒安全套件)内核驱动服务形式安装,深度控制系统安全套件
PCHunter利用脆弱内核驱动终止终端防护进程BYOVD
Gmer内核级 Rootkit 检测/对抗工具(被恶意利用)合法工具滥用
YDark安全软件禁用工具安全禁用
WKTools(wktools.sys)脆弱内核驱动,绕过用户态保护BYOVD
DumpGuard安全进程终止工具进程终止
StpProcessMonitorByovdBYOVD 攻击工具BYOVD
PowerRun以提升权限执行上述工具权限提升

五、攻击链分析

5.1 初始访问

技术MITRE ATT&CK详情
暴力破解T1110MSSQL 服务器(2023.04起)和 RDP
凭证购买T1588RAMP 论坛内部聊天从 IAB 购买
漏洞利用T1190CVE-2021-40539(Zoho ManageEngine ADSelfService Plus)
钓鱼邮件T1566鱼叉式钓鱼
暴露 RDPT1133远程桌面协议暴露

5.2 执行与持久化

技术MITRE ATT&CK详情
PowerShellT1059.001部署 Cobalt Strike beacon
Cobalt StrikeT1071后续载荷投递框架
注册表 Run 键T1547.001CID 反转 MD5 哈希命名
/autorun_onlyT1547仅创建持久化不执行加密

5.3 防御规避(内核级瘫痪)

技术MITRE ATT&CK详情
HRSwordT1562.001内核驱动安装,深度控制
PCHunterT1562.001脆弱驱动终止安全进程
GmerT1562.001Rootkit 工具恶意利用
WKToolsT1068BYOVD 绕过用户态保护
StpProcessMonitorByovdT1068BYOVD 攻击
PowerRunT1548提升权限执行工具

5.4 凭证窃取

技术MITRE ATT&CK详情
MimikatzT1003.001LSASS/内存/注册表凭证提取
Nirsoft 系列T1555Mail PassView/DialupPassView/RDPassView/MessenPass/IE PassView
MalExtractorT1003额外凭证提取

5.5 横向移动

技术MITRE ATT&CK详情
AnyDesk/ScreenConnect/SplashTopT1219合法远程工具
Advanced Port ScannerT1046网络侦察
SoftPerfect NetScanT1046网络扫描
SMB 传播T1021.002可通过配置开关控制

5.6 数据外传(2026年战术变化)

技术MITRE ATT&CK详情
uploader_client.exeT1567自研窃取工具(2026.03起取代 Rclone)
并行传输T1567每文件默认5个并行连接
连接轮换T1090每2048MB自动轮换TCP连接
精细过滤T1560--exclude-ext 跳过低价值大文件
集成认证T1567共享认证密钥防止未授权访问

5.7 防御规避与影响

技术MITRE ATT&CK详情
数据加密T1486AES-256 OFB + RSA-4112
数据擦除T1485/erase 参数 NULL 覆写
部分加密T1486默认前512KB,/full 全部
删除卷影副本T1490阻止恢复
强制关机T1529/shdwn 参数加密后关机

六、受害者分析

6.1 规模与地理分布

指标
首要国家土耳其(23.5%)、菲律宾(19.6%)、巴西(13.7%)
其他目标德国、泰国(Top 5)

6.2 行业分布

行业占比说明
政府机构21.4%最高行业占比
教育🔴 高
制造业🔴 高
医疗健康🟠 高
法律服务🟠 高
金融服务🟡 中

七、RaaS 运营模式分析

7.1 命令行参数

参数功能
/erase覆写文件(数据擦除模式)
/full加密/擦除完整文件内容
/r随机化文件加密顺序
/shdwn加密后强制关机
/p/path指定递归加密路径
/!local不加密本地文件
/!lan不加密网络共享文件
/autorun_only仅创建持久化注册表项
/is_testing设置测试标志
/test_cid强制指定计算机 ID
/test_vid强制指定受害者 ID

7.2 泄露站特色

  • 公开网站(非 TOR 隐藏服务)
  • 倒计时器:显示数据公开倒计时
  • 数据竞价功能:允许第三方竞价购买泄露数据

八、IOC 完整列表

8.1 文件哈希

类型SHA-256说明
勒索软件8cbe32f31befe7c4169f25614afd1778006e4bda6c6091531bc7b4ff4bf62376载荷
勒索软件efb688214c3fe5d9273ec03641cf17af5f546b11c97a965a49f8e617278ac700载荷
窃取工具396aa1f8f308010a3c76a53965d0eddd35e41176eacd1194745d9542239ca8dcuploader_client.exe
BYOVD4adbb1906762c757764ffc5fa64af96e091966f4f5a43aae12fcc4f05f1c26b5StpProcessMonitor
BYOVD1433aa8210b287b8d463d958fc9ceeb913644f550919cfb2c62370773799e5a5wktools.sys
凭证工具205818e10c13d2e51b4c0196ca30111276ca1107fc8e25a0992fe67879eab964RDPassView

8.2 文件特征

特征
加密扩展名._locked
擦除扩展名._erased
勒索信how_to_decrypt.hta
配置资源名CFGS(PE 资源段)

8.3 被利用漏洞

CVE影响组件说明
CVE-2021-40539Zoho ManageEngine ADSelfService PlusRCE

8.4 攻击工具链

暴力破解(MSSQL/RDP)/ RAMP 凭证购买 / CVE-2021-40539 / 钓鱼
    ↓
PowerShell + Cobalt Strike(执行与持久化)
    ↓
HRSword / PCHunter / Gmer / WKTools / StpProcessMonitorByovd(内核级防御瘫痪)
    ↓
Mimikatz / Nirsoft 系列 / MalExtractor(凭证窃取)
    ↓
AnyDesk / ScreenConnect / SplashTop(横向移动)
    ↓
uploader_client.exe(自研窃取工具,5并行连接,2048MB轮换)
    ↓
Trigona 载荷(AES-256 OFB + RSA-4112 加密 / 数据擦除 / ._locked 扩展名)

九、检测规则

9.1 Sigma 规则

规则 1:Trigona BYOVD 驱动加载

title: Trigona - BYOVD Driver Loading
id: tg001-byovd
status: experimental
description: 检测 Trigona 使用 BYOVD 技术加载脆弱内核驱动
logsource:
  category: driver_load
  product: windows
detection:
  selection:
    ImageLoaded|endswith:
      - '\wktools.sys'
      - '\PCHunter*.sys'
  condition: selection
level: critical
tags:
  - attack.defense_evasion
  - attack.t1068

规则 2:Trigona 自研窃取工具

title: Trigona - Custom Uploader Client
id: tg002-uploader
status: experimental
description: 检测 Trigona 自研数据窃取工具 uploader_client.exe
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    Image|endswith: '\uploader_client.exe'
  condition: selection
level: critical
tags:
  - attack.exfiltration
  - attack.t1567

规则 3:Trigona 数据擦除

title: Trigona - Data Wiper Function
id: tg003-wiper
status: experimental
description: 检测 Trigona 数据擦除器功能(._erased 扩展名)
logsource:
  category: file_event
  product: windows
detection:
  selection:
    TargetFilename|endswith: '._erased'
  condition: selection
level: critical
tags:
  - attack.impact
  - attack.t1485

9.2 YARA 规则

rule Trigona_Ransomware {
    meta:
        description = "检测 Trigona 勒索软件载荷"
        author = "Threat Intelligence Team"
        date = "2026-07-01"
        reference = "Water Ungaw / Rhantus"
    strings:
        $s1 = "._locked" ascii
        $s2 = "._erased" ascii
        $s3 = "how_to_decrypt.hta" ascii
        $s4 = "Trigona" ascii
        $s5 = "CFGS" ascii
        $s6 = "uploader_client" ascii
        $hex1 = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 }
    condition:
        3 of ($s*) and $hex1
}

十、风险评估矩阵

风险维度评分说明
加密强度9/10AES-256 OFB + RSA-4112,密码学强度极高
传播能力8/10RaaS 模式 + ALPHV 协作 + CryLock 关联
规避能力10/10内核级 BYOVD 多驱动瘫痪,用户态检测完全失效
数据泄露威胁10/10双重勒索 + 数据擦除器 + 公开泄露站(竞价)
漏洞利用能力8/10Zoho ManageEngine CVE + MSSQL/RDP 暴力破解
基础设施韧性7/10UCA 打击后2026年重新活跃
综合风险🔴 极高内核级 BYOVD + 数据擦除器 + RSA-4112 + 政府21.4%

十一、缓解建议

11.1 即时行动

  1. HVCI 启用:启用基于虚拟化的代码完整性保护,阻止脆弱驱动加载
  2. Zoho 修补:修复 CVE-2021-40539(ManageEngine ADSelfService Plus)
  3. MSSQL 加固:禁用 SA 账户,强制 MFA
  4. 监控 uploader_client.exe:检测自研窃取工具

11.2 短期加固

  1. 内核驱动审计:审计所有第三方内核驱动加载
  2. 网络分段:隔离关键资产
  3. 备份验证:离线/不可变备份

11.3 长期策略

  1. 零信任架构
  2. BYOVD 防护:驱动白名单策略
  3. 威胁狩猎:针对 Trigona TTPs

11.4 解密恢复路径

维度详情
解密器状态无公开解密工具
加密强度AES-256 OFB + RSA-4112,密码学强度极高
数据擦除/erase 参数覆写后数据不可恢复
建议优先从备份恢复;联系执法部门

十二、核心建议

  1. 内核级威胁:Trigona 使用6种以上 BYOVD 工具在内核层面瘫痪安全防御,HVCI 是首要防御措施
  2. 数据擦除器/erase 参数可彻底摧毁数据,即使支付赎金也无法恢复
  3. 自研窃取工具:uploader_client.exe 取代 Rclone 表明技术成熟度提升,规避已知工具检测
  4. ALPHV 协作:利用 ALPHV 声誉施压表明网络犯罪生态的协作趋势
  5. UCA 打击后重建:2023年打击后2026年重新活跃,证明执法打击效果有限

十三、附录

附录 A:信息来源

编号来源日期
[1]Symantec: Rhantus/Trigona Analysis2026.04
[2]Zscaler ThreatLabz: Trigona TTPs2023.04
[3]Trend Micro: Water Ungaw Tracking2023.11
[4]Arete Institute: Trigona-ALPHV Collaboration2023.02
[5]SentinelOne: Trigona Analysis2023.07/2025.09
[6]Unit 42: Trigona Research2023
[7]The DFIR Report: Trigona Case Study2024
[8]GBHackers: Trigona 2026 Resurgence2026.04

附录 B:术语表

术语定义
BYOVDBring Your Own Vulnerable Driver,自带易受攻击驱动程序
HRSword虎绒安全套件,被 Trigona 恶意利用
PCHunter系统信息工具,被用于终止安全进程
数据擦除器用 NULL 字节覆写文件使数据不可恢复的功能
uploader_client.exeTrigona 2026年自研数据窃取工具

附录 C:追踪计划

维度说明
组织状态活跃(2026年初重新活跃)
BYOVD 演化关注新型脆弱驱动利用
自研工具监控 uploader_client.exe 功能更新
ALPHV 协作关注与 ALPHV/BlackCat 的协作深化
解密工具关注是否有公开解密工具发布