文章总结： 朝鲜APT37组织通过冒充电视台编剧和大学教授，向韩国目标投递恶意HWP文档实施网络钓鱼。攻击利用DLL侧加载技术和多层加密手段逃避检测，最终植入RoKRAT木马。建议企业部署检测DLL侧加载的EDR系统，个人用户需警惕未经核实的身份邀请及文档链接。 综合评分： 87 文章分类： 威胁情报,恶意软件,社会工程学,红队,安全大事件

电视台编剧、大学教授竟是黑客？韩国遭遇朝鲜的APT37组织网络钓鱼攻击，HWP文档成入口

原创

紫队

AI紫队安全研究

2026年1月6日 12:01 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

信任被精心编织的谎言击穿，网络安全防线面临社交工程新挑战

当你收到来自知名电视台编剧的采访邀请，或是著名大学教授的学术会议通知时，是否会保持警惕？最新研究表明，这些看似可信的身份正被黑客利用，成为入侵韩国政企网络的“特洛伊木马”。

精心策划的身份伪装：从建立信任到实施攻击

近日，安全研究人员披露了APT37组织发起的“Artemis”攻击行动。该组织通过精心伪装的身份，针对韩国目标进行长期网络钓鱼活动。

攻击者冒充电视台节目编剧，以采访“朝鲜政权和人权问题”为由接触目标人物。在通过多次对话建立信任后，向受害者发送恶意HWP文档。调查证实，攻击者未经授权使用了两个不同电视台编剧的姓名，以此增强社会可信度。

同样，在8月底，攻击者还伪装成大学副教授，以“国会国际会议”的名义发送邀请邮件，附件标题为“解决朝鲜平民绑架问题的国际合作方案（国际研讨会）.hwpx”，精准针对收件人的专业领域。

技术剖析：HWP文档中的隐形杀手

攻击的核心在于恶意HWP文档中嵌入的OLE对象。当用户信任文档内容并点击超链接时，攻击链即被触发。

DLL侧加载：合法程序的外衣下隐藏恶意代码

攻击者使用了一种称为“DLL侧加载”的技术，将恶意DLL命名为“version.dll”，与合法的Sysinternals VolumeId工具放在同一目录下。当系统运行合法程序时，会错误加载恶意DLL，从而在合法进程的掩护下执行恶意代码。

多层加密：逃避检测的隐身术

恶意DLL内部使用多层加密技术保护有效载荷。首先使用简单的XOR模式（密钥0xFA）进行加密，随后根据环境选择标准字节XOR或基于SSE的高速XOR方法（一次处理16字节）进行解密。

这种设计不仅用于混淆代码以绕过基于特征的检测，还通过提高解密速度来优化性能。解密后的有效载荷在内存中作为64位DLL加载，进一步执行最终的恶意行为。

攻击链条：从文档点击到全面失守

整个攻击流程犹如一场精心设计的闯关游戏：

1.  诱饵投递：通过伪造的采访邀请或会议通知发送恶意HWP文档

2.  初始访问：用户点击文档中的OLE对象链接，触发攻击链

3.  伪装执行：启动合法的Sysinternals工具作为“宿主”

4.  侧加载攻击：恶意DLL被合法进程加载，获得执行权限

5.  载荷解密：多层加密的恶意代码在内存中逐步解密

6.  持久化控制：最终部署RoKRAT远控木马，实现长期控制

背后黑手：APT37组织的持续进化

证据显示，此次攻击与朝鲜背景的APT37组织有关。该组织长期针对韩国目标，此次行动显示了其在战术上的持续进化：

•   基础设施重用：攻击中使用的Yandex Cloud账户与2023年发现的另一个行动中的pCloud账户具有相同的注册日期，表明存在统一的基础设施管理策略

•   技术迭代：相比以往攻击，此次使用的DLL侧加载和多层加密技术更加复杂

•   持久性运营：账户信息显示攻击者长期维护攻击基础设施，具备战略耐心

防御建议：如何识别和防范此类攻击

面对日益精细化的社交工程攻击，企业和个人需要采取多层次防御策略：

对于企业安全团队：

•   部署能够检测DLL侧加载行为的EDR解决方案

•   监控HWP进程产生的异常子进程创建行为

•   建立对云存储服务异常通信的检测机制

对于个人用户：

•   对未经请求的采访或会议邀请保持警惕

•   验证发送方身份通过官方渠道二次确认

•   避免点击文档中的不明超链接

•   定期更新安全软件和系统补丁

行业警示：信任但不能轻信

此事件再次警示我们，在网络空间中没有绝对的可信关系。攻击者正在不断优化社会工程学策略，利用人们对于权威身份的天然信任感突破安全防线。

安全专家强调：“当前威胁环境下的防御重点，应从单纯的技术防护扩展到人的因素。提升全员的网络安全意识，与部署先进的技术防护措施同等重要。”

随着地缘政治紧张局势持续，类似由国家背景黑客组织发起的针对性攻击预计将进一步增加。只有通过技术、管理和意识教育的综合防护，才能有效应对日益复杂的网络威胁。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 紫队《电视台编剧、大学教授竟是黑客？韩国遭遇朝鲜的APT37组织网络钓鱼攻击，HWP文档成入口》