文章总结： 俄罗斯APT组织Calisto采用新型钓鱼策略，先发送无附件邮件诱导受害者回复，再发送恶意链接。其钓鱼网站采用强制聚焦密码框和AiTM中间人攻击技术，专门针对无国界记者等与俄罗斯对立的组织。防范建议包括不回复可疑空邮件、检查链接域名、注意登录页面异常等。 综合评分： 88 文章分类： 威胁情报,社会工程学,安全意识,WEB安全,红队

俄罗斯APT组织Calisto玩起“钓鱼连续剧”！给无国界记者发空邮件，逼你主动要毒附件

原创

紫队

AI紫队安全研究

2025年12月20日 11:59 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

    家人们，俄罗斯黑客组织Calisto（又名“冷河”“星暴”）最近整了个新活——不直接发病毒，反而给无国界记者（RSF）的核心成员发“缺斤短两”的邮件：正文写着“请查收重要文档”，结果连个附件影子都没有。这波操作直接把受害者整懵圈，忍不住回复“文件呢？”，殊不知已经掉进黑客的“欲擒故纵”陷阱里！

一、黑客版“欲擒故纵”：空邮件钓出你的信任

Calisto这波操作堪称“钓鱼界的演技派”，流程比电视剧还曲折：

第一步：伪装熟人发“空包裹”

  用仿冒的ProtonMail邮箱，假装是可信联系人，写着法语正文+标准签名，看起来比真的还真，唯独少了关键附件，主打一个“我忘带了，你快来问”；

第二步：切换语言发“补刀链接”

  受害者一追问，黑客立马切换成英语回复，甩个“ compromised网站”的链接，说“文件放ProtonDrive里了，点这就能下”；

第三步：假PDF里藏“终极陷阱”

  还有更损的套路：发个标着“.pdf”的文件，实则是ZIP压缩包，根本打不开。等受害者问“怎么回事”，再发个“加密PDF”，诱导点击链接跳转到钓鱼页面——这哪是发文件，分明是黑客在“陪你演对手戏”！

无国界记者怕是没见过这么执着的“发件人”，本来只是想收个文档，结果差点把自己的ProtonMail账号给赔进去。

二、钓鱼页面藏狠活：光标被锁死在密码框

最绝的是黑客自制的钓鱼网站，简直是“强迫症式攻击”：

强制聚焦密码框

  打开仿冒的ProtonMail登录页，用户名已经帮你填好了，可只要你想点其他地方，光标每隔250毫秒就自动弹回密码框——想退出？想查真假？门都没有！

AiTM中间人偷袭

  这不是普通钓鱼页，而是藏了“中间人攻击”脚本：你输的密码、收到的2FA验证码，会先被黑客截胡，再转发给真的ProtonMail服务器。等你登录成功，黑客也拿着你的账号密码同步上线，堪称“无缝偷号”；

域名伪装太逼真

  钓鱼域名叫“account.simpleasip[.]org”，乍一看和ProtonMail的官方域名有点像，再加上是从“熟人”那拿的链接，受害者很难怀疑。

有安全研究员测试后吐槽：“这页面比真的还难退出，光标跟焊死在密码框里一样，难怪有人中招！”

三、为啥专盯无国界记者？因为“得罪不起”俄罗斯

Calisto是俄罗斯FSB（联邦安全局）旗下的“数字间谍队”，专挑和俄罗斯对着干的目标下手：

无国界记者长期帮俄罗斯异见记者跑路，还曝光俄境内的新闻审查，2025年8月直接被俄方列为“不受欢迎组织”，妥妥的黑客重点关照对象；

除了NGO，北约机构、乌克兰国防承包商、研究俄罗斯问题的专家，都是他们的“狩猎清单”常客，主打一个“谁支持乌克兰就搞谁”。

更离谱的是，这伙人从2017年活跃到现在，域名换了一波又一波，还学会用免费DNS服务器藏踪迹，硬是没被彻底端掉，堪称“钓鱼界的老油条”。

四、防坑指南：3招拆穿黑客的“演技”

1. 空邮件直接“拉黑三连”

  不管是谁发的，只要说“有附件”却没附件，先别回复！直接去官方渠道（电话、企业微信）核实，别被黑客的“忘带附件”套路勾住；

2. 链接先“扒皮”再点击

  收到可疑链接，先复制到记事本里看域名：ProtonMail官方域名是“proton.me”，凡是带“simpleasip”“proton-decrypt”这些乱七八糟后缀的，全是假货；

3. 登录页“多瞅两眼”

  正规登录页不会强制锁死光标，也不会让你跳转到陌生域名。如果页面操作诡异，比如点不动其他按钮，立马关网页，改密码+查登录设备。

最后唠两句

现在的黑客都不拼技术拼“演技”了，知道硬发病毒容易被拦，就玩起“欲擒故纵”的心理战。只能说，对付这种“戏精黑客”，最好的办法就是“别配合演出”——空邮件不回，可疑链接不点，让他们的剧本演不下去！

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 紫队《俄罗斯APT组织Calisto玩起“钓鱼连续剧”！给无国界记者发空邮件，逼你主动要毒附件》