Infosecurity Magazine：Quantum Route Redirect助推凭证钓鱼在全球蔓延

近日，一款名为 Quantum Route Redirect 的钓鱼工具正悄然成为全球网络犯罪团伙的“新宠”。据国际权威安全媒体《Infosecurity Magazine》报道，该工具已被用于针对 Microsoft 365、Google Workspace 等主流企业云邮箱与协作平台的大规模钓鱼攻击，其高度自动化的架构和巧妙的绕过机制，正在显著拉低网络钓鱼的技术门槛。

更令人担忧的是，这款工具不仅支持模板化伪造登录页，还能根据受害者地理位置动态投递“本地化”钓鱼页面，并集成验证码（CAPTCHA）甚至OAuth授权请求，诱使用户主动“交出权限”。一旦得手，攻击者往往迅速转向线程劫持、虚假发票等高收益欺诈行为，给企业带来直接财务损失与数据泄露风险。

钓鱼也能“智能调度”？Route Redirect如何运作

Quantum Route Redirect 并非传统意义上的静态钓鱼页面生成器。它本质上是一个“钓鱼即服务”（PhaaS）平台，提供从流量分发、页面渲染到受害者追踪的一站式解决方案。

据安全厂商 KnowBe4 早期披露，该平台目前已在90多个国家部署了约1000个域名。其核心能力之一是 地理定位路由：当用户点击钓鱼链接后，系统会实时分析其IP地址、浏览器语言、设备类型等信息，自动跳转至最匹配的仿冒登录界面——比如美国用户看到英文版 Outlook 登录页，法国用户则被引导至法语版。

“这相当于给钓鱼攻击装上了‘智能导航’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报采访时表示，“过去攻击者可能只做一个通用页面，现在却能精准适配不同国家、行业的用户习惯，欺骗性成倍提升。”

更棘手的是，Quantum Route Redirect 广泛利用 可信第三方平台托管钓鱼内容，例如通过云存储服务、短链接平台或看似合法的协作工具（如伪装成 DocuSign 或 OneDrive 共享文档）分发恶意链接。这类链接往往能绕过传统邮件网关的URL黑名单检测，因为其初始跳转目标本身并无恶意代码。

不只是偷密码：钓鱼正在“接管会话”和“骗取授权”

与以往单纯窃取账号密码不同，当前的高级钓鱼攻击已进化到 会话劫持 与 权限滥用 阶段。

部分 Quantum Route Redirect 变体在伪造登录页后，还会模拟微软的多因素认证（MFA）流程，要求用户输入短信验证码或批准 Authenticator 推送通知。一旦用户完成验证，攻击者即可捕获有效的会话 Cookie 或访问令牌（Access Token），直接以合法身份登录账户——整个过程无需知道密码。

更隐蔽的手法是诱导用户 同意恶意 OAuth 应用。例如，钓鱼页面会弹出一个看似来自“公司IT部门”的提示：“请授权‘SecureMail Sync’应用以继续使用邮箱服务。”一旦用户点击“同意”，攻击者便获得对该账户邮件、联系人甚至日历的长期访问权限，且此类授权往往不会触发常规登录警报。

“很多企业以为开了MFA就高枕无忧，但攻击者早已绕开‘密码’这个环节，直接瞄准更高层的身份凭证。”芦笛指出，“真正的风险不在‘登录’那一刻，而在‘授权’和‘会话维持’阶段。”

攻击后果严重：从邮箱沦陷到百万级诈骗

一旦企业员工的云邮箱被攻破，后果往往远超数据泄露。攻击者通常会：

潜伏在邮件线程中，等待涉及付款、合同或财务沟通的关键对话，然后插入伪造的银行账户信息；

伪造高管邮件，要求财务人员紧急转账；

导出客户数据或知识产权，用于二次勒索或出售。

据《Infosecurity Magazine》援引的数据，在 Quantum Route Redirect 相关攻击中，76%的受害者来自美国，但欧洲、亚太地区的受害案例也在快速上升。由于攻击采用多跳重定向和匿名基础设施，溯源与封堵难度极大。

防御升级：从“防链接”到“防行为”

面对如此狡猾的对手，传统“黑名单+用户培训”的防御模式已显疲态。专家普遍认为，企业必须转向 纵深防御 + 行为感知 的新策略。

芦笛提出了三项关键建议：

1. 强制推行“无钓鱼MFA”（Phishing-Resistant MFA）

“不是所有MFA都一样。”他强调，短信验证码、基于时间的一次性密码（TOTP）仍可能被钓鱼或社会工程绕过。真正安全的方案是采用 FIDO2 安全密钥 或 Passkeys（通行密钥）——这类基于公钥加密的认证方式，即使用户被诱导点击，也无法将私钥泄露给攻击者。

2. 严格限制外部共享与不明文档链接

许多攻击始于一封“您有一份待签署文件”的邮件。芦笛建议企业：

默认关闭 Microsoft 365 / Google Workspace 对外部用户的共享权限；

禁用自动预览来自未知发件人的附件或链接；

对所有外部共享链接实施审批或水印追踪。

3. 部署浏览器隔离与CASB，看清“重定向链”

“用户点击的只是一个短链接，但背后可能经过5次跳转才抵达钓鱼页。”芦笛解释，云访问安全代理（CASB） 和 远程浏览器隔离（RBI） 技术可在后台自动解析整个跳转链条，在用户实际接触页面前识别并阻断恶意内容。

SOC需盯紧“看不见的风险”

对企业安全运营中心（SOC）而言，芦笛特别提醒关注三类高危信号：

异常OAuth同意行为：普通员工突然授权一个名为“Email Backup Tool”的第三方应用；

Token滥用或重放：同一访问令牌在短时间内从多个地理位置使用；

Impossible Travel（不可能旅行）：账号在两小时内先后出现在北京和伦敦。

“这些信号单看可能不明显，但结合上下文就能暴露攻击。”他说，“现代防御不是看‘有没有登录’，而是看‘登录是否合理’。”

此外，他还建议企业对 短链接服务（如 bit.ly、t.cn） 和 URL缩短API 实施策略级管控，或至少在邮件网关中强制展开短链进行深度检测。

写在最后：钓鱼已成“流水线”，防御也需“工业化”

Quantum Route Redirect 的出现，再次印证了一个趋势：网络攻击正在走向标准化、模块化和全球化。攻击者不再需要精通代码，只需在暗网下单，就能获得一套“开箱即用”的钓鱼工厂。

但好消息是，防御技术也在同步进化。从无密码认证到行为分析，从CASB到零信任架构，企业拥有比以往更多的工具来构筑防线。

“安全不是一场百米冲刺，而是一场持续的军备竞赛。”芦笛总结道，“关键在于，你是否愿意把防线从‘邮件收件箱’前移到‘用户点击之前’。”

在这场看不见硝烟的战争中，每一次谨慎的授权、每一个启用的通行密钥，都是对攻击者的有力回击。

参考资料：

Infosecurity Magazine: Quantum Route Redirect Phishing Kit Democratizes Cyber-Attacks (2025/11/11)

Microsoft Security: Guidance on phishing-resistant MFA and OAuth risk detection

编辑：芦笛（公共互联网反网络钓鱼工作组）