文章总结： SEQRITELabs揭露针对以色列的UNG0801攻击，利用伪装成合法杀毒软件的Word和PDF文档进行钓鱼。该行动涉及两条链：具备破坏性擦除功能的PYTRIC通过TelegramC2控制；侧重侦察的RUSTRIC使用专用服务器。攻击滥用安全厂商品牌，结合破坏与间谍活动，展示了复杂的APT战术，建议加强对伪装文档的识别与防范。 综合评分： 88 文章分类： 威胁情报,恶意软件,社会工程学,数据安全,网络安全

复杂攻击活动利用武器化的防病毒主题 Word 和 PDF 文档攻击以色列

会杀毒的单反狗

军哥网络安全读报

2025年12月25日 09:00 湖北

导读

SEQRITE Labs 的高级持续性威胁 (APT) 团队发现一起针对以色列组织的复杂攻击活动，该活动利用伪装成合法杀毒软件的武器化 Microsoft Word 和 PDF 文档进行攻击。

该行动被追踪为 UNG0801 或“IconCat 行动”，利用安全厂商 SentinelOne 和 Check Point 的可信品牌，诱骗受害者部署恶意载荷。

该威胁集群据信源自西亚，自 2025 年 11 月中旬以来一直活跃，主要针对以色列信息技术、人力资源和软件开发行业的企业环境。

这些网络钓鱼活动利用希伯来语钓鱼诱饵，模仿常规的企业通讯，包括合规更新、安全公告和网络研讨会通知，以建立合法性并提高受害者互动率。

PYTRIC 和 RUSTRIC 植入物

IconCat 行动包含两条不同的感染链，这两条感染链都遵循一套熟悉的作战方案，即以反病毒图标欺骗为核心。

第一次攻击活动于 2025 年 11 月 16 日发起，它散布一个名为“help.pdf”的恶意 PDF 文件，指示收件人使用密码“cloudstar”从 Dropbox 下载“安全扫描器”。

本文档采用 Check Point 品牌标识和详细的使用说明，以强化其作为合法安全软件的形象。

通过此链传递的有效载荷是 PYTRIC，这是一个由 PyInstaller 打包的 Python 可执行文件，伪装成安全工具。

技术分析显示，PYTRIC 具有破坏性擦除功能，能够执行系统范围的数据删除、移除备份，并通过名为“Backup2040”的Telegram 机器人与命令和控制基础设施进行通信。

该植入物执行行政级别的命令，对目标系统造成不可逆转的损害，这表明其目标是破坏性的，而不是间谍活动。

第二次攻击活动于 2025 年 11 月 17 日被发现，该活动使用鱼叉式网络钓鱼电子邮件冒充以色列合法人力资源公司 LM Group。

这些电子邮件携带恶意 Word 文档和 ZIP 文件，其中包含启用宏的附件，这些附件会投放 RUSTRIC，这是一个基于 Rust 的侦察植入程序。

与 PYTRIC 不同，RUSTRIC 专注于情报收集，列举了受感染系统上安装的 28 种不同的防病毒产品，包括 Quick Heal、CrowdStrike、Microsoft Defender、Kaspersky 和 Norton，同时执行系统侦察命令，例如 whoami.exe、hostname.exe 和 nslookup.exe。

基础设施和归因

基础设施分析揭示了截然不同的指挥控制方式。第一次行动完全依赖 Telegram 进行通信。

该宏通过 root\cimv2 命名空间获取 Win32_Process 类的句柄，并调用 Create 方法来生成一个新进程。

相比之下，第二个服务器使用专用的C2 服务器，该服务器保留了先前域 netvigil.org 的配置痕迹。

这种不完整的服务器重新配置，包括保留的 TLS 证书和 CNAME 记录，表明威胁组织正在使用重新利用或低成本的VPN服务器，这是资源受限操作的标志。

SEQRITE Labs 根据共同的行动时间、地理目标和对杀毒软件品牌的持续滥用，将这两个活动归类为 UNG0801 集群。

PYTRIC 的破坏能力与 RUSTRIC 的间谍功能的目标不同，这给归因工作带来了复杂性。

虽然行为模式表明存在统一的行动者或共享的行动方案，但战术差异表明多个威胁团体之间可能存在合作，或者单个实体内部的行动重点正在不断变化。

技术报告：

《UNG0801：追踪针对以色列的、痴迷于反病毒图标欺骗的威胁集群》

https://www.seqrite.com/blog/ung0801-tracking-threat-clusters-obsessed-with-av-icon-spoofing-targeting-israel/

新闻链接：

Israeli Organizations Targeted by AV-Themed Malicious Word and PDF Files

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《复杂攻击活动利用武器化的防病毒主题 Word 和 PDF 文档攻击以色列》