文章总结： 这篇文章分析了疑似海莲花APT组织使用的白加黑攻击样本，介绍了该组织的背景、攻击目标和常用攻击手法。海莲花是长期针对中国及东亚东南亚国家的APT组织，主要攻击政府科研机构和海运企业，擅长鱼叉攻击和水坑攻击，使用多种攻击武器。文章提供了对该组织攻击技术的深入分析，有助于安全研究人员了解和防范此类威胁。 综合评分： 75 文章分类： 威胁情报,恶意软件,漏洞分析,红队,APT

疑似海莲花APT组织白加黑攻击样本分析

原创

pandazhengzheng

安全分析与研究

2025年12月19日 22:00 广东

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

安全分析与研究，专注于全球恶意软件的分析与研究，深度追踪全球黑客组织攻击活动，欢迎大家关注，获取全球最新的黑客组织攻击事件威胁情报。

APT是全球企业面临的最大的安全威胁之一，需要安全厂商密切关注，未来APT组织还会持续不断的发起网络攻击活动，同时也会持续更新自己的攻击武器，开发新的恶意软件变种，研究各种新的攻击技术，使用新的攻击手法，进行更复杂的攻击活动，这将会不断增加安全威胁分析和情报人员分析溯源与应急响应的难度，安全研究人员需要不断提升自己的安全分析能力，更好的应对未来各种威胁挑战，安全对抗会持续升级，这是一个长期对抗的过程。

全球的APT组织从来没有停止过攻击活动，并不断开发新型的攻击武器和攻击样本针对特定的目标进行针对性攻击活动，笔者曾深度跟踪分析过十几个全球各地区不同的APT黑客组织，后面有空跟大家慢慢分享这些APT组织最新的攻击活动，目前全球各地区比较活跃的APT黑客组织如下图所示：

这些全球活跃的APT黑客组织大家都熟悉哪些？主要的国与国之前网络安全战，包含：

伊朗-以色列

朝鲜-韩国

巴基斯坦-印度

俄罗斯-乌克兰

美国-全球(嘿嘿)

OceanLotus(海莲花) APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织，该组织也是针对中国境内的最活跃的APT组织之一，该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播特种木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料，通过追踪它这些年的攻击手法和攻击目标，OceanLotus很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织。

OceanLotus(海莲花) APT组织擅长使用鱼叉攻击和水坑攻击，NSA武器库曝光后，还使用了永恒系列漏洞进行攻击，投递的攻击武器种类比较多，RTA包括：Denis、Cobalt Strike、PHOREAL、salgorea、类gh0st、Ratsnif等。

2019年OceanLotus仍然使用电子邮件投递诱饵的方式实施鱼叉攻击，投递的诱饵类型包含白加黑、LNK、CHM、漏洞Office文件，WinRAR RCE漏洞、文档图标的EXE等多种类型，在启动方式上，通过修改DOC、TXT等文档文件类型关联程序的方式来实现开机自启动，并通过在PE文件资源中添加大量的垃圾数据，扩充程序体积进行免杀，利用COM组件添加注册表从而绕过安全软件主动防御的技术等。

今天给大家分享一例疑似海莲花APT组织使用的白+黑攻击样本，这也是海莲花APT组织经常使用的攻击技术之一，文未分享该攻击样本完整威胁情报。

查看原文：《疑似海莲花APT组织白加黑攻击样本分析》