文章总结： Goffee组织针对俄罗斯国防工业发起钓鱼攻击，利用伪造的邀请函及信函诱导受害者打开恶意XLL文件。该文件会下载EchoGather后门，用于窃取系统信息并执行指令。尽管攻击诱饵存在AI生成痕迹和技术缺陷，但显示攻击者正积极探索反侦测手段。 综合评分： 80 文章分类： 威胁情报,恶意软件,社会工程学

网络间谍伪装高级军官邀请函渗透俄罗斯国防工业

HackerNews

安全威胁纵横

2025年12月23日 11:20 湖北

高危漏洞

紧急修复指南

RCE Patch

一个鲜为人知的网络间谍组织发起了一轮全新攻击行动，目标直指俄罗斯军事人员及国防工业相关机构。

推测e

纽约网络安全公司Intezer的研究人员在10月初发现了这一活动，他们识别出一个上传至VirusTotal的恶意XLL文件，文件上传地址最早显示为乌克兰，后又出现在俄罗斯。该文件名为《敌军计划打击目标》，一旦在 Excel 软件中打开，便会自动执行恶意代码。

文件运行后，会下载一款此前未被记录在案的后门程序，研究人员将其命名为EchoGather。这款后门程序允许攻击者收集目标设备的系统信息、执行相关指令并传输文件，窃取的数据会被发送至一台伪装成外卖网站的命令与控制服务器。

1

事件详情

Intezer在上周五发布的一份报告中指出，为诱使受害者上钩，Goffee组织的黑客使用俄语编写钓鱼诱饵，其中包含一份面向俄军高级军官的虚假新年音乐会邀请函。

不过这份文档存在明显的人工智能生成痕迹，不仅有多处语言错误，文档上仿制的俄罗斯双头鹰国徽也严重失真，看上去更像一只普通鸟类，完全没有国徽的辨识度。

另一款钓鱼诱饵则伪装成俄罗斯工业和贸易部副部长的信函，要求收件方提供与国防合同相关的定价证明文件。该信函的接收对象为大型国防及高科技企业，Intezer表示，这些企业很可能就是黑客的预定攻击目标。

目前尚不清楚此次攻击行动的成功率究竟如何，也无法确定黑客的具体窃取目标。研究人员表示：“该威胁攻击者显然在积极探索新的反侦测手段。不过其攻击手段在技术执行和语言准确性两方面仍存在明显缺陷，表明他们的攻击技术尚处于发展阶段。”

02

Goffee黑客组织

Goffee组织又名Paper Werewolf，至少从2022年起就处于活跃状态。尽管其确切背景尚未得到证实，但研究人员认为该组织具有亲乌克兰倾向。此前关于该组织的相关报告大多出自俄罗斯本土的网络安全企业。

今年4月，卡巴斯基实验室曾发布报告称，Goffee组织利用定制恶意软件，从接入俄罗斯相关系统的U盘里窃取敏感文件。

8月，俄罗斯网络安全公司BI.ZONE披露，该组织在针对俄罗斯机构的攻击中，同时利用了一个零日漏洞和压缩软件WinRAR的一个已知漏洞。

虽然情报窃取仍是该组织的首要目标，但BI.ZONE此前也曾指出，该组织至少有过一次在已入侵的网络中实施运营中断攻击的记录。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews《网络间谍伪装高级军官邀请函渗透俄罗斯国防工业》