文章总结： 俄黑客组织UAC-0184利用Viber向乌克兰军方发送伪装抚恤金通知的恶意压缩包，诱导点击LNK文件后释放PowerShell脚本，利用合法软件侧加载植入RemcosRAT，窃取导弹部署情报。攻击采用模块Stomping及隐写术规避检测，建议用户开启文件扩展名显示并警惕即时通讯工具钓鱼。 综合评分： 88 文章分类： 威胁情报,恶意软件,社会工程学

警惕！乌克兰士兵收到俄关联的UAC-0184（又名Hive0156）的Viber“抚恤金通知”，点开后导弹部署情报全被偷

原创

紫队

AI紫队安全研究

2026年1月9日 11:59 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

“您的战友抚恤金申请已通过，点击附件查看发放明细——乌克兰议会”。当乌克兰军方人员在Viber上收到这样的消息，很难不心动点开。但他们不知道，这个看似温暖的“通知”，竟是俄罗斯黑客组织UAC-0184设下的致命陷阱——点开的瞬间，电脑里的导弹部署计划、士兵档案就成了黑客的囊中之物。

2025年初，紫队安全研究曝光了这起针对性攻击：UAC-0184（又名Hive0156）把Viber变成“间谍工具”，用恶意压缩包精准猎杀乌克兰军方和政府人员，连议会机构都成了攻击目标。作为跟踪APT攻击的安全博主，必须扒透这伙人的“聊天软件骗局”——你的常用通讯工具，可能也藏着看不见的监控。

先搞懂：为什么是Viber？黑客的“本土化陷阱”

提到即时通讯工具，大家先想到微信、Telegram，但在乌克兰，Viber才是“国民级应用”——这也是黑客选它当攻击载体的核心原因：

覆盖广：乌克兰军方、政府人员常用Viber沟通工作，甚至传递涉军文件，黑客借它投递恶意包，不易引起怀疑；

信任度高：Viber主打“免费通话+端到端加密”，用户默认它“安全”，对来自“官方账号”的文件警惕性低；

隐蔽性强：相比邮件，Viber消息更私密，且支持大文件传输，恶意ZIP包混在正常工作文件里，很难被发现。

UAC-0184早就摸透了这个规律——之前用Signal、Telegram攻击过乌克兰目标，这次换Viber，不过是“换汤不换药”的本土化操作。

全程拆解：从“点附件”到被监控，3步掉进间谍陷阱

紫队安全研究员还原的攻击链，每一步都精准拿捏乌克兰用户的心理，像极了精心设计的“职场骗局”：

Step 1：Viber发“官方文件”，伪装成“抚恤金通知”

攻击始于一条Viber消息，发件人伪装成“乌克兰议会工作人员”，主题戳中士兵痛点——“战友抚恤金发放明细”“军事档案更正通知”，附件是名为“A2393.zip”的压缩包。

更狠的是，压缩包图标和官方文档一模一样，解压后能看到伪装成“DOCX/RTF/XLSX”的LNK快捷方式（比如“军事人员伤亡补偿表.lnk”）——Windows默认隐藏扩展名，用户看到的“Excel文件”，实际是能执行恶意代码的快捷方式。

Step 2：点一下就中毒，多阶段攻击“绕开杀毒软件”

一旦双击LNK文件，黑客的“连环计”就启动了，全程不到1分钟，用户毫无察觉：

1. 释放PowerShell脚本：后台悄悄运行脚本，从黑客服务器下载第二个恶意ZIP包“smoothieks.zip”；

2. 借合法软件“隐身”：调用正常办公软件CFlux.exe当“掩护”，偷偷加载恶意DLL（比如SQLite.Interop.dll），杀毒软件见了合法程序，往往会放行；

3. 展示诱饵文档：弹出看似正常的“抚恤金表格”，用户注意力全在文件内容上，根本没发现后台在注入恶意代码。

这个过程就像“披着羊皮的狼”——用合法程序当外衣，把恶意代码藏在里面，轻松绕过90%的基础安全防护。

Step 3：植入RAT，电脑变“间谍摄像头”

最终，黑客会在电脑里装两个关键工具，实现完全控制：

HijackLoader加载器：像“破门砖”一样，先扫描电脑里的安全软件（卡巴斯基、Avast、微软 Defender 都在列），找到漏洞后禁用防护；

Remcos RAT远程控制工具：这才是“大杀器”——黑客能实时看屏幕、偷文件、录键盘输入，甚至远程操控鼠标，相当于在电脑里装了个“隐形摄像头”。

更可怕的是，Remcos RAT还会伪装成“Chime.exe”（正常办公程序），躲在进程里长期潜伏，就算电脑重启，它也会跟着启动，持续偷取情报。

黑客的“反侦察套路”：3招让攻击更隐蔽

UAC-0184能屡屡得手，还靠这些“反检测技巧”，把自己藏得严严实实：

1. 用“模块 stomping”篡改合法DLL

恶意代码不直接运行，而是偷偷替换正常DLL（比如rasapi32.dll）里的代码，相当于“鸠占鹊巢”——杀毒软件扫描时，看到的是DLL的合法签名，根本想不到里面藏着恶意代码。

2. 在PNG图片里藏恶意数据

黑客把最终的攻击代码加密后，藏在PNG图片的像素结构里，加载时再解密提取——图片是正常的“抚恤金表格截图”，谁能想到里面藏着“间谍程序”？

3. 分阶段请求C2，降低暴露风险

LNK攻击需要两次连接黑客服务器（一次下诱饵，一次下恶意包），PowerShell攻击则合并成一次请求——不管哪种方式，都把流量拆成“小片段”，混在正常网络请求里，防火墙很难识别。

防坑指南：4招识破“Viber骗局”，比装杀毒软件管用

不管是乌克兰用户，还是其他国家的人，面对“通讯工具里的文件”，记住这4点，就能避开类似陷阱：

1. 先看“文件真面目”，这两步必须做

显示文件扩展名：Windows用户打开“文件资源管理器→查看→勾选文件扩展名”，如果“军事表格.xlsx”实际是“军事表格.xlsx.lnk”，直接删除；

右键查属性：对Viber里收到的文件，右键看“类型”，如果是“快捷方式”“应用程序”，哪怕名字再像文档，也别打开。

2. 官方文件不会“这样发”，记住3个常识

政府、军方的重要文件，只会通过加密邮件、内部系统发送，不会用Viber发ZIP包；

不会用“抚恤金”“档案更正”这类敏感话题当诱饵，正规通知会先电话确认，再发文件；

发件人账号不会是“临时注册的新号”，会有官方认证标识（比如乌克兰议会账号会有专属徽章）。

3. 检查这3个地方，发现异常立即杀毒

进程管理器：按Ctrl+Shift+Esc，看是否有“CFlux.exe”“Chime.exe”等陌生进程，尤其是没有正常窗口的；

启动项：Win+R输入“msconfig”，查看“启动”标签，陌生程序（比如“Remcos”相关）直接禁用；

临时文件夹：打开“C:\Users\你的用户名\AppData\Local\Temp”，删除最近新增的ZIP、DLL文件。

4. Viber聊天要“三不”，避免踩坑

不接陌生账号的文件，尤其是“突然发来的官方文件”；

不轻易点链接，哪怕是“议会官网”，先复制链接到浏览器手动输入，检查域名是否正确；

不用Viber传涉敏文件，工作文件优先用企业级加密工具（比如钉钉、企业微信）。

最后提醒：通讯工具不是“法外之地”

UAC-0184的攻击再次证明：黑客最擅长利用“信任”作案——你以为安全的通讯工具、官方的文件通知，都可能成为攻击载体。对普通用户来说，多一分警惕，少一分侥幸，就能避免“点开文件=泄露情报”的悲剧。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 紫队《警惕！乌克兰士兵收到俄关联的UAC-0184（又名Hive0156）的Viber“抚恤金通知”，点开后导弹部署情报全被偷》