微软威胁情报团队披露，名为 PipeMagic 的复杂模块化后门正被黑客利用，伪装成开源 ChatGPT 桌面应用程序，借助零日漏洞实施针对性攻击。该后门与 CVE-2025-29824 漏洞相关，主要在 IT、金融及房地产等行业活动，可进行持久化与远程控制，并可能配合勒索软件。PipeMagic 架构高度模块化，通信方式隐蔽，增加了检测难度。

🔍 PipeMagic 是一种复杂的模块化后门，被黑客用来伪装成开源 ChatGPT 桌面应用程序，利用零日漏洞 CVE-2025-29824 进行针对性攻击，主要针对 IT、金融和房地产等行业。

🛡️ 该后门的主要功能是进行持久化与远程控制，并可能配合勒索软件进行攻击。微软威胁情报团队对其进行了全面分析，并发布了相关报告，旨在提高公众对该威胁的认识。

🔧 PipeMagic 采用高度模块化的架构，通过双向链表结构管理任务，包括 Payload 链表、Execute 链表、Network 链表和未知链表，增加了检测与分析难度。

📡 其通信方式隐蔽，利用命名管道将模块传入内存，并经过 RC4 解密和 SHA-1 校验后再运行。同时，C2 通信则交由专用网络模块完成，采用加密的 TCP/WebSocket 通道。

🔐 一旦激活，PipeMagic 就能为攻击者提供对系统的全面操控能力，包括添加、删除或修改有效负载模块；在内存中直接执行恶意代码；收集系统与域环境信息；枚举运行进程并执行侦察；自删除机制。

2025-08-20 12:31 四川

微软威胁情报团队近日披露，一种名为 PipeMagic 的复杂模块化后门正被黑客利用，并伪装成开源 ChatGPT 桌面应用程序，借助零日漏洞实施针对性攻击。