為了增加作案成功機率，勒索軟體CrazyHunter被發現設有備用攻擊工具

攻擊手法與技術細節

Trellix提及，攻擊者有可能透過Donut Loader（bb.exe），於記憶體內載入Shellcode，檔名是crazyhunter.sys，目的是避免在磁碟上留下作案痕跡。比較特別的是，攻擊者會使用合法驅動程式zam64.sys（來自Zemana防護軟體），以隱藏其惡意行為。

自2025年2月起，駭客組織CrazyHunter陸續針對臺灣醫學中心發動「系統性攻擊」，首先鎖定馬偕醫院，導致核心醫令系統與掛號系統停擺，隨後擴展至彰化基督教醫院，並攻擊多家上市櫃公司，造成嚴重運作中斷。

該組織被認為來自中國，其攻擊工具約80%取自GitHub開源軟體平臺，並未自製病毒，而是改造現成工具快速組裝成攻擊系統。作案後會留下一封《Decryption Instructions.txt》勒索文件，作為威嚇與索賠之用。

衛生福利部在彰化基督教醫院遭攻擊後，迅速啟動全國資安應變機制，並協調資安署協助應對。刑事警察局於4月公佈駭客身分，地檢署已發布通緝，但對於駭客實際動機與背景仍持續調查。

資安業者指出，CrazyHunter善於結合心理操作與系統漏洞，透過橫向攻擊擴散至內部主機，建議企業加強系統更新、資安監控與員工訓練，以降低被攻擊風險。