微软在今年4月的例行更新（Patch Tuesday）修补零时差漏洞CVE-2025-29824，并发布部落格文章指出，骇客组织Storm-2460锁定有限数量的目标，将此漏洞用于散布勒索软件RansomEXX，后续资安业者赛门铁克发现勒索软件骇客组织Play也加入漏洞利用的行列，如今又有资安业者公布新的调查结果。

资安业者卡巴斯基与BI.Zone联手，针对骇客于近期勒索软件RansomEXX的攻击行动当中，利用后门程序PipeMagic触发上述漏洞的情况进行说明。

卡巴斯基指出，RansomEXX于攻击行动里使用PipeMagic的情况最早可追溯到2022年，当时骇客针对东南亚工业而来，利用永恆之蓝（EtneralBlue，CVE-2017-0144）入侵受害组织的基础设施。但从2024年10月，骇客改以提供ChatGPT用户端应用程序做为诱饵，对中东组织发动攻击并散布PipeMagic，一旦这个假的ChatGPT用户端程序启动，就会透过AES解密，并利用Shell Code载入执行档。值得一提的是，此恶意程序可藉由外挂程序扩充功能，骇客以Azure代管相关模组。

而到了今年1月，卡巴斯基在中东及巴西发现新的PipeMagic感染迹象，此时骇客开始运用CVE-2025-29824。究竟攻击者如何入侵受害组织，卡巴斯基没提出说明，但指出他们运用微软的说明索引文件metafile.mshi充当恶意程序载入工具，解密并以WinAPI功能执行Shell Code。

但除了上述MSHI文件，卡巴斯基也看到以冒牌ChatGPT用户端程序做为PipeMagic恶意程序载入工具的情况，此外，也有透过合法执行档进行DLL挟持手法来达到目的，这次攻击者使用的是Chrome更新元件，以此载入有问题的DLL档。

无论用那一种恶意程序载入工具，骇客最终都在受害电脑执行PipeMagic。此外，该后门程序至少支援3种外挂模组，其中一种可建立非同步通讯，一种能在记忆体内注入其他有效酬载并执行，最后一种是以C#及.NET打造而成的有效酬载注入工具。

一旦骇客成功对目标电脑造成损害，他们就会试图广泛地横向移动，并挖掘帐密资料。而在其中一项活动里，骇客试图执行dllhost.exe，并藉由Sysinternals套件提供的公用程序ProcDump，将LSASS处理程序的记忆体内容，转存到指定的文件，而这样的手法，与先前微软提及Storm-2460利用CVE-2025-29824的手段一致。

BI.Zone对于骇客如何利用漏洞，以俄语提出说明，例如，为了和clfs.sys进行互动，攻击者事先建置名为PDUDrv.blf的组态文件，然后他们试图进行权限提升，并将有效酬载注入winlogon.exe，接着就是利用ProcDump试图取得使用者帐密，最终导致勒索软件加密文件。