2019年11月26日，微软公司Defender ATP研究团队发布报告，称其通过监测发现新的恶意软件攻击活动并将其命名为“Dexphot”。该攻击活动自2018年10月开始，至今仍在继续。攻击者使用了一系列高级而复杂的攻击技术来逃避安全检测，包括多态、无文件、多层混淆、多层加密等，使该恶意软件具有较强的隐蔽性和持久性，最终会在受害者主机中植入恶意挖矿软件。 报告称，该攻击活动中，除安装程序以外，攻击者劫持了合法的系统进程以掩盖恶意操作，进程包括msiexec.exe（用于安装MSI软件包），unzip.exe（用于从加密压缩文件中提取文件），rundll32.exe（用于加载恶意DLL文件），schtasks.exe（用于计划任务） ，powershell.exe（用于强制更新），svchost.exe，tracert.exe和setup.exe。同时，攻击者利用了无文件攻击手法，使用process hollowing（进程镂空）技术将恶意代码隐藏在合法系统进程中，有效增强了隐蔽性。此外，攻击者还使用了监视服务和计划任务保障攻击的持久性。 报告指出，攻击者使用的大部分域名已被长期使用，且每个域名托管的MSI软件包都会经常更改或更新，至今仍然会每隔几日便新增更多域名用于托管恶意负载，截至目前，研究人员已发现被攻击者利用的约200个域名。 Dexphot攻击活动过程复杂，攻击手段多样化且具有很强的隐蔽性和持久性，一定程度上代表了恶意软件的技术发展趋势，应引起我国网络安全行业重视。