从 2023 年 1 月 1 日到 7 月 31 日，QakBot 负责观察到的事件的 30% ，SocGholish 负责其中的 27%，Raspberry Robin 负责 23%。

据该公司称，并非所有观察到的事件都会导致网络受损，因为加载程序在引起问题之前就被检测到并停止了。

QakBot （QBot 或 Quakbot）自 2009 年以来一直活跃，最初是一种银行木马，但后来演变为恶意软件加载程序，可以部署额外的有效负载、窃取敏感信息并实现横向移动。

QakBot 通常通过网络钓鱼电子邮件传递，与 BlackBasta 勒索软件组织有关联，该组织由前 Conti 勒索软件团伙成员组成。

“QakBot 是一种不断演变的持续威胁，用于伺机针对任何行业或地区。他们的运营商有能力、足智多谋地适应变化，在可预见的未来他们很可能会继续存在，”ReliaQuest 指出。

SocGholish（又名 FakeUpdates）至少从 2018 年开始活跃，通过偷渡式下载进行部署，使用广泛的受感染网站网络提供虚假更新。

该加载程序与总部位于俄罗斯的 Evil Corp 网络犯罪组织（该组织至少自 2007 年以来一直活跃）以及名为 Exotic Lily 的初始访问经纪人 (IAB) 有关。

2023 年上半年，SocGholish的运营商被发现利用大型组织受感染的网站进行激进的水坑攻击。

图片

Raspberry Robin 是一种 Windows 蠕虫，最初于 2021 年 9 月发现，主要通过可移动设备（例如 USB 驱动器）传播，并与包括 Evil Corp 和 Silence 在内的各种威胁参与者存在关联。

据观察，Raspberry Robin 在针对主要在欧洲的金融机构、政府组织、电信和制造公司的攻击中部署了广泛的勒索软件和恶意软件系列，包括 Cl0p、LockBit、TrueBot 等。

ReliaQuest 表示，除了这三个加载程序之外，Gootloader、Chromeloader、Guloader 和 Ursnif 在今年前 7 个月也非常活跃。