2017年，一個名叫ShadowBrokers的神秘黑客團體，在網絡上公布了名為“LostinTranslation”的數據轉儲，其中包含了一系列據稱來自美國國家安全局（NSA）的漏洞利用和黑客工具。

此后臭名昭著的WannaCry、NotPetya和BadRabbit勒索軟件攻擊，都基于這里面提到的EternalBlue漏洞。現在，卡巴斯基研究人員又發現了另一座冰山，它就是一個名叫

sigs.py

（題圖viaZDNet）

據悉，該文件是一個名副其實的情報數據寶庫。作為內置的惡意軟件掃描程序，黑客利用它來掃描受感染的計算機，以查找是否存在其它高級可持續威脅（APT/通常指背后能量巨大的黑客團體）。

總sigs.py腳本包括了用于檢測其它44個APT的簽名，但在2017年泄密之初，許多網絡安全行業從業者并沒有對此展開深入研究，表明NSA知曉且有能力檢測和追蹤許多敵對APT的運行。

在上月的一份報告中，卡巴斯基精英黑客手雷部門GReAT表示，他們終于設法找到了其中一個神秘的APT（通過sigs.py簽名的#27展開追蹤）。

研究人員稱，DarkUniverse組織從2009到2017年間一直活躍。但在ShadowBrokers泄漏后，他們似乎就變得沉默了。

GReAT團隊稱：“這種暫?；蛟S與‘LostinTranslation’泄漏事件的發生有關，或者攻擊者決定改用更加現代的方法、開始借助更加廣泛的手段”。

該公司稱，其已在敘利亞、伊朗、阿富汗、坦桑尼亞、埃塞俄比亞、蘇丹、俄羅斯、白羅斯、以及阿聯酋等地，找到了大約20名受害者。其中包括了民間和軍事組織，如醫療、原子能機構、以及電信企業。

不過，卡巴斯基專家認為，隨著時間的推移和對該集團活動的進一步深入了解，實際受害者人數可能會更多。至于DarkUniverse惡意軟件框架，卡巴斯基表示，其發現代碼與ItaDuke惡意軟件/APT重疊。