文章总结： 越南APT组织海莲花针对国产信创平台发起精准攻击，通过邮件探针筛选目标，使用Desktop、PDF、JAR、EPUB等多种诱饵文件进行渗透，甚至通过内网供应链实现一锅端式攻击。该组织专门为信创平台定制木马，具有规避安全软件检测的能力。文章建议信创用户遵循诱饵文件三不原则、及时更新系统和EDR软件、警惕恶意更新和异常连接，以防范此类攻击。 综合评分： 90 文章分类： 威胁情报,漏洞分析,应急响应,内网渗透,红队

信创平台遭“精准猎杀”！越南APT组织海莲花搞渗透，这些诱饵专坑政务人员

原创

紫队

AI紫队安全研究

2025年12月21日 11:59 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

    “刚换的国产信创电脑，怎么就被黑客盯上了？” 最近不少政务人员的疑问，揭开了境外APT组织的新动作。活跃多年的海莲花组织，带着对*擎的“心理阴影”，专门针对国产信创平台发动网络间谍活动，Desktop、JAR、带漏洞的EPUB文件齐上阵，连内网供应链都没放过，目标直指政务数据和国家战略信息。

从“广撒网探针”到“定制化木马”，这场针对信创平台的攻击，每一步都透着黑客的“精心算计”，连研究员都调侃：“这波攻击，海莲花把信创系统的‘脾气’摸得比用户还透！”

一、海莲花的“信创猎杀记”：从探针筛选到供应链偷袭

海莲花对付信创平台，套路一套接一套，完全是“有备而来”：

1. 第一步：先“探路”，精准筛选信创用户

黑客也怕“瞎忙活”，海莲花先通过邮件探针、文档探针广撒网，排除非信创设备，专门盯着已经迁移到信创环境的政务邮箱下手。虽然暂时没法精准定位，但架不住“量大管饱”，靠着群发钓鱼提升命中率，总有粗心的用户中招。

2. 第二步：多类型诱饵，总有一款能骗到你

信创平台的常见文件格式，全被海莲花改成了“陷阱”，每一个都精准拿捏用户习惯：

Desktop诱饵：堪比信创版“LNK文件”，双击就执行隐藏命令，悄悄创建计划任务，持续连接黑客的C2服务器，等着接收后续攻击指令；

PDF诱饵：要么藏在压缩包里，要么直接调用信创系统的WPS打开远程文档，一点击就中招；

JAR诱饵：打着“亚太自贸区方案”“立项审批表”的旗号，信创终端默认装的Java环境能直接运行，检测到是Linux系统就释放下载者，还不忘创建计划任务“赖着不走”；

EPUB漏洞诱饵：利用2024年就曝光的漏洞，打开后自动在系统里释放恶意文件，实现持久化，相当于给黑客留了个“永久后门”。

3. 第三步：内网供应链“一锅端”，国产软件成突破口

最狠的是，海莲花先通过鱼叉邮件潜入内网，尝试爆破信创服务器失败后，疑似用0day漏洞拿下服务器，然后向内网信创终端和Windows终端一起下发恶意更新。信创终端的恶意脚本靠OpenSSL反弹shell，Windows终端则释放恶意组件，实现“一锅端”式攻击，这也是国内首个信创平台供应链攻击事件。

二、黑客的“小心机”：怕*擎怕到直接退，信创木马量身造

海莲花这波攻击，藏着不少让人哭笑不得的“小心思”，连“心理阴影”都暴露了：

1. *擎PTSD：检测到就直接跑路

在最新的Windows平台攻击中，海莲花的loader加了个“神操作”——专门检测受害者电脑里有没有*擎相关进程，一旦发现直接退出。相当于黑客主动帮我们解决了“用户点击放行”的难题，被网友调侃：“这是被*擎打怕了，直接认怂？”

2. 信创定制木马：只在国产系统上跑

海莲花专门给信创平台做了“专属木马”：把ELF文件的关键标识字节置零，传统Linux系统认不出会拒绝执行，信创平台却能正常运行，精准实现“定向攻击”。更狠的是，木马里还嵌套了多层加密，最后执行shellcode化的Rust特马，免杀能力拉满。

3. 轻量化特马：适配内网，主打“一次性攻击”

为了配合供应链攻击，海莲花还搞了多种轻量化特马，指令简单直接：有的只支持“ping”和“init”命令，收到“init”就执行shellcode；有的用Python打包，解密后通过SSL连接C2，专门执行黑客下发的命令，堪称“内网间谍小工具”。

三、信创用户避坑指南：3招挡住黑客偷袭

针对海莲花的攻击套路，总结了3个“保命技巧”，政务人员和企业用户赶紧记好：

1. 诱饵文件“三不原则”：不双击、先验真、看来源

遇到“立项报告”“能源报表”这类JAR、Desktop、EPUB文件，先去内网群核实是否为官方下发，别直接双击；

压缩包里的PDF别着急打开，先用安全工具扫描，警惕“打开需要联网”“需要安装插件”的提示；

信创平台默认装的Java、Python环境，别随意运行来历不明的脚本文件。

2. 系统升级“别偷懒”：终端EDR软件及时更新

及时更新系统补丁和国产软件版本，尤其是终端EDR管理软件，避免被黑客利用漏洞突破内网。

3. 内网防护“守底线”：警惕恶意更新，监测异常连接

收到“系统更新”“软件升级”提示时，先通过官方渠道确认，别轻易运行陌生脚本；

关注内网是否有异常连接，尤其是指向未知IP的15001端口、32227端口通信，这些可能是黑客的木马在回连C2。

结语：信创安全，别让“国产”成“漏洞”

国产信创平台的普及，是网络安全的新防线，却也成了黑客眼中的“新目标”。海莲花的攻击证明，信创平台不是“天然安全”，反而因为用户安全意识不足、部分版本存在漏洞，容易被针对性攻击。

对政务部门和企业来说，升级安全软件、加强员工培训是基础；对个人用户而言，多一份警惕，少一次盲目点击，就能挡住大部分攻击。毕竟，再厉害的定制木马，也敌不过“不轻易中招”的好习惯。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 紫队《信创平台遭“精准猎杀”！越南APT组织海莲花搞渗透，这些诱饵专坑政务人员》