文章总结： 本周情报揭露APT36利用LNK文件实施多阶段攻击，通过反序列化与自适应持久化窃密；UTA0388借助AI生成钓鱼邮件投递GOVERSHELL后门。文中解析了AuraStealer的复杂混淆技术及SafePay勒索软件的快速加密策略，深入剖析攻击链路与规避手段，建议企业强化身份认证、完善备份并提升监控能力以应对高级威胁。 综合评分： 86 文章分类： 威胁情报,恶意软件,逆向分析,AI安全,免杀

APT36组织发起多阶段LNK恶意软件攻击——每周威胁情报动态第252期（01.02-01.08）

原创

BaizeSec

白泽安全实验室

2026年1月9日 09:00 北京

APT攻击

*** *APT36组织发起多阶段LNK恶意软件攻击*

• 新兴网络威胁组织UTA0388利用AI技术发动定向攻击**

恶意软件

• 新型信息窃取恶意软件AuraStealer技术深度解析

勒索软件

• 新型集中式勒索软件组织SafePay技术深度解析

APT攻击

APT36组织发起多阶段LNK恶意软件攻击

近日，网络安全研究人员发现了一起由APT36（又称“Transparent Tribe”）组织发起的针对性网络间谍活动，该组织与巴基斯坦存在关联，长期聚焦于对印度政府部门、学术机构及战略相关实体实施网络窃密行动。此次攻击采用高度隐蔽的多阶段攻击链条，通过伪装成合法文档的恶意快捷文件突破防线，旨在实现对目标系统的长期控制与敏感数据窃取。

事件始于2025年12月15日，研究人员首次监测到相关攻击活动。攻击者以“2025年12月在线JLPT考试”为诱饵，通过鱼叉式钓鱼邮件向目标用户发送名为“Online JLPT Exam Dec 2025.zip”的压缩包附件。该压缩包内包含一个伪装成PDF文档的恶意LNK（Windows快捷方式）文件，其特殊的双扩展名设计（.pdf.lnk）利用了Windows系统的文件显示机制——即便用户开启了文件扩展名可见功能，.lnk后缀也会被自动隐藏，使其看起来与普通PDF文档无异。 值得注意的是，该快捷文件大小高达2823KB，远超正常LNK文件10-12KB的典型大小，其内部嵌入了完整的PDF文件结构及多个图像对象，通过刻意增大文件体积增强伪装可信度，进一步降低用户警惕性。此外，压缩包中还包含一个名为“usb”的隐藏目录，内含加密的usbsyn.pim文件，推测用于后续攻击阶段的代码或数据加载。

当用户双击该恶意LNK文件后，攻击链条正式启动。文件会调用Windows系统可信二进制程序mshta.exe，从远程地址下载并执行HTA脚本。为掩盖恶意行为，该脚本会先将浏览器窗口缩至最小化，同时下载并打开一个合法的JLPT考试相关PDF文档，让用户误以为操作正常，而恶意代码则在后台秘密运行。HTA脚本内置了自定义的Base64解码与XOR解密逻辑，通过ReadOnly和WriteOnly两个核心变量加载加密载荷。随后利用ActiveX对象查询目标系统的.NET运行时版本，动态设置环境变量以确保兼容性。

攻击的第一阶段由ReadOnly载荷完成，该载荷为序列化的.NET对象，通过BinaryFormatter在内存中反序列化后，会篡改System.Workflow.ComponentModel.AppSettings的关键配置，将disableActivitySurrogateSelectorTypeCheck字段设为true，从而绕过.NET 反序列化安全防护，为后续恶意代码执行扫清障碍。第二阶段的WriteOnly载荷则是一个359KB的无文件恶意DLL（ki2mtmkl.dll），同样在内存中完成反序列化与执行，避免在磁盘留下痕迹。该DLL启动后会先检查网络连接状态，尝试与攻击者控制的C2服务器建立加密通信，若连接成功则激活完整功能；若连接失败则仅显示PDF文档以维持伪装。

该恶意软件的核心亮点在于其智能适配的持久化机制。它会通过查询Windows Management Instrumentation（WMI）的root\SecurityCenter2命名空间，枚举目标系统安装的杀毒软件类型，包括卡巴斯基、Quick Heal、Avast、AVG、Avira等主流产品，随后根据检测结果动态调整持久化策略。针对卡巴斯基，恶意软件会在C:\Users\Public\core\目录下创建工作文件夹，生成混淆的flow.hta文件，并在用户启动目录放置快捷方式，通过mshta.exe和PowerShell实现隐蔽执行；面对Quick Heal时，则通过批处理文件间接调用HTA载荷；对于Avast等杀毒软件，直接将恶意文件复制到启动目录执行；若未检测到已知杀毒软件，则通过批处理文件、注册表项配置等组合方式建立持久化。

flow.hta文件会重复上述解密与执行流程，加载第二个恶意DLL（iinneldc.dll），该文件是功能完备的远程控制木马，构成攻击的最终payload。此RAT通过双线程并行工作：一条线程负责与C2服务器维持加密通信，采用AES算法（密钥：ZAEDF_98768_@$#%_QCHF）加密传输数据，支持接收攻击者指令执行系统信息收集、进程管理、文件操作、远程桌面监控、剪贴板窃取与篡改等功能；另一条线程则监控USB设备的插拔事件，伺机扩大感染范围。其数据窃取能力高度针对性，会递归扫描目标系统中的Office文档、PDF、文本文件及数据库文件等敏感数据，经Base64编码和AES加密后通过C2通道外发；同时支持捕获屏幕截图、记录剪贴板内容（可用于窃取密码、加密货币钱包地址等）、远程执行命令、操控鼠标位置等一系列间谍活动，实现对目标系统的全面控制与持续窃密。

研究人员指出，APT36组织此次攻击展现了成熟的战术演进，通过滥用系统可信组件、无文件执行、多阶段加密载荷等技术，显著提升了攻击的隐蔽性与成功率。该组织的核心目标聚焦于长期情报收集，而非短期破坏或财务盗窃，其行为符合国家背景网络间谍活动的典型特征。此次攻击涉及的MITRE ATT&CK技术包括鱼叉式钓鱼附件、系统二进制程序代理执行、启动目录持久化、注册表修改、进程注入、文件伪装、加密通信等多个战术环节，覆盖从初始入侵到数据渗出的完整攻击生命周期。

参考链接：

APT36 : Multi-Stage LNK Malware Campaign Targeting Indian Government Entities

新兴网络威胁组织UTA0388利用AI技术发动定向攻击

自2025年6月起，一个名为UTA0388的攻击组织发起了一系列精密的鱼叉式网络钓鱼行动，虽然其目标遍及北美和欧洲，但主要焦点锁定在亚洲地区。这个威胁组织通过先进的社交工程技巧，伪造虚假身份和机构，诱骗受害者执行恶意程序。一旦系统被成功入侵，攻击者便能远程访问受害者的内部网络，进行攻击活动、窃取敏感数据或造成运营中断。这些攻击特别关注亚洲地缘政治议题，影响波及全球政府、研究机构和私营企业。

从技术分析角度来看，UTA0388组织是一个持续演进的威胁实体，它将复杂的建立关系型钓鱼、基于大型语言模型（LLM）的自动化攻击与高级恶意软件部署相结合。尽管当前主要针对亚洲，但全球组织都需警惕类似社交工程风险。一旦入侵成功，可能导致网络失控、数据外泄，甚至引发地缘政治冲突等。

事件起源于UTA0388的技术演变，从传统的鱼叉式钓鱼——即直接发送含恶意链接的邮件——转向建立关系型钓鱼。这种方法通过多次无害通信建立信任，然后再发送实际恶意代码或软件，从而延迟暴露基础设施，提高入侵成功率。攻击者利用LLM自动化生成钓鱼邮件和恶意软件组件，这些内容往往出现语言不一致、荒谬细节和伪造元素，显示出未经人工审核的AI生成痕迹。攻击的巨大规模和快速节奏进一步证实了其自动化特性。

UTA0388发送高度定制化的多语言邮件，包括英语、中文、日语、法语和德语，根据受害者习惯伪装成来自虚构机构的资深研究者或分析师。这些邮件包含指向云存储的链接，一旦打开，便会部署名为GOVERSHELL的后门恶意软件。GOVERSHELL是此次攻击的核心恶意家族，已观察到至少五个变种，每个变种都采用不同的命令与控制（C2）通信方式，增强了持久性和远程命令执行能力。

为了全面理解攻击流程，研究人员按照MITRE ATT&CK框架分类剖析。首先是侦察阶段，UTA0388通过大规模情报收集锁定目标，涵盖北美、亚洲和欧洲。他们从组织网站、群组联系人、陈旧员工账户甚至模板式邮箱格式中获取公开邮箱，这种无差别收集暗示了LLM或自动化爬取工具的使用，不仅用于数据采集，还为设计钓鱼内容提供基础。

在资源开发阶段，虽然细节有限，但攻击显示出精心构建的基础设施。攻击者注册并控制多个域名，这些域名或伪装成知名组织等。他们利用Netlify、OneDrive和Sync等云平台托管钓鱼内容和恶意软件，并通过ProtonMail、Outlook和Gmail等可信邮件服务发送邮件。同时，通过Cloudflare注册域名来规避追踪和拆除。

初始访问主要依赖鱼叉式钓鱼。受害者收到伪装邮件，链接指向云托管的ZIP或RAR档案，内含看似合法的可执行文件和隐藏DLL。该DLL利用搜索顺序劫持执行恶意代码。交付过程简单：社交工程诱导用户点击链接、下载档案并运行文件。在建立关系变种中，攻击者通过多次邮件互动建立信任，大幅提升感染率。

执行阶段的关键是“搜索顺序劫持”。档案中包含伪装成重要文档的可执行文件，如亚洲地缘政治主题文件。用户运行时，Windows DLL搜索顺序优先加载隐藏lib目录中的恶意DLL，而非合法DLL，从而激活GOVERSHELL后门，实现远程命令执行。为提升隐蔽性，变种常使用合法开源可执行文件如Tablacus Explorer。

持久化通过GOVERSHELL在系统启动或定期建立调度任务实现。这些任务包含参数，确保C2逻辑仅在初始设置后激活，从而规避沙箱动态检测。恶意软件首次执行时立即退出，不启动C2通信，隐藏恶意行为。

防御规避包括多项技术：搜索顺序劫持将恶意执行融入合法进程，绕过进程监控；利用合法云服务如Netlify、OneDrive和Sync，使恶意流量混入可信网络活动；调度任务延迟C2减少沙箱或EDR早期发现；多邮件提供商分散钓鱼邮件，挑战邮件过滤。

命令与控制基础设施经历了多次迭代，每个变种引入不同通信方式以规避检测和稳定控制。第一变种使用端口465的伪TLS双头和XOR编码；第二变种采用端口443的AES加密伪TLS；第三变种利用HTTPS POST请求周期性报告JSON；第四变种使用AES加密WebSocket连接和命令任务队列；第五变种通过Base64加密HTTPS GET请求，随机连接间隔。早期使用直接IP连接，自2025年中旬转向隐藏在Cloudflare后的域名。WebSocket变种的C2服务器响应如“Secure C2 Server is running”，表明活跃监控。

攻击影响主要是建立持久远程访问，通过GOVERSHELL执行任意命令，进行数据窃取或网络入侵活动，符合其地缘政治目标。多个恶意变种的持续开发显示出长期驻留和扩展意图。

其他技术观察包括AI辅助攻击：证据证实使用LLM如OpenAI的ChatGPT生成钓鱼内容和辅助恶意软件开发。多语言内容不一致、伪造身份以及无意义附件（如色情图像叠加文本、佛教咒语或无用文件）是自动化生成残留。GOVERSHELL网络栈和代码的快速开发、多样性，从C++转向Golang以及重写而非迭代的倾向，符合AI输出特征。

总之，UTA0388代表一种新兴威胁，利用LLM生成内容进行鱼叉式钓鱼，并部署复杂GOVERSHELL后门，结合高级持久化和C2技术。根源仍是社交工程：诱骗用户执行利用搜索顺序劫持的文件。这种恶意软件家族的技术复杂性与AI驱动钓鱼相结合，标志着网络战中“人机协作”新时代的到来。

参考链接：

https://www.cycraft.com/post/uta0388-en-20251230

恶意软件

新型信息窃取恶意软件AuraStealer技术深度解析

在网络安全领域，一款名为AuraStealer的信息窃取恶意软件最近引起了广泛关注。这种恶意软件作为一种恶意软件即服务（MaaS）产品，自2025年7月起在地下论坛上推广，已成为威胁Windows系统的重要工具。AuraStealer主要针对从Windows 7到Windows 11的各种版本，能够从超过110款浏览器、70款应用（包括钱包和双因素认证工具）以及250多个浏览器扩展中窃取敏感数据。其开发者提供多种订阅模式，包括基础版（每月295美元）、高级版（每月585美元），以及正在开发的团队版，此外还曾推出限时试用版（两周165美元）。该软件配备了一个基于Tabler模板的网络面板，支持俄语和英语，用于管理窃取的数据。尽管开发者声称其高效且不易检测，但实际存在一些缺陷，便于安全研究人员进行识别和分析。

AuraStealer的传播方式多样且隐蔽，主要通过“Scam-Yourself”活动扩散，例如伪装成产品激活指南的TikTok视频，诱导用户运行恶意PowerShell命令。此外，它还常与破解游戏或软件捆绑，使用UPX打包、多阶段执行（如加载器、DLL侧加载、注入）或恶意VS Code扩展进行分发。开发者通常仅出售窃取器本身，而不包括加载器，这增加了其灵活性。由于传播链在早期阶段常被阻断，其流行程度难以精确量化，但相比Lumma Stealer、StealC或Vidar等前辈，它尚未占据主导地位。不过，根据开发者采访，其团队致力于长期发展，并计划通过创新功能主导市场。

为了逃避检测，AuraStealer采用了多种先进的代码混淆技术。其中包括间接控制流混淆，将直接跳转或调用替换为运行时计算的目标地址；字符串加密，使用基于栈的XOR操作；常量混淆，如XOR掩码处理哈希值；此外，还有反分析检查，包括反调试、反篡改和反虚拟机机制。它还利用异常驱动的API哈希解析，通过自定义异常处理程序来解析哈希化的API，并采用Heaven’s Gate技术调用NTDLL函数，同时检查返回地址的断点，并对特定地理位置进行黑名单过滤。这些技术使得初始逆向工程变得复杂，需要专业工具和方法来破解。

安全研究人员在分析AuraStealer时，首先聚焦于其WinMain函数，使用IDA Pro、Angr、Unicorn等工具逐步拆解混淆层。针对间接控制流混淆，他们应用后向切片启发式方法，从间接跳转或调用处追踪寄存器依赖关系，直至控制流指令或空寄存器停止，从而计算目标地址。随后，通过Angr的符号执行模拟切片代码，自动化标记常量，并在IDA中替换间接调用为直接调用。如果目标地址多个，则添加交叉引用，并手动调整函数边界以修复IDA的识别问题。对于异常驱动的API哈希解析，研究人员识别出MurmurHash3（种子为0xDEADBEEF）和FNV-1a哈希算法，预计算哈希值并在IDA反编译器中替换常量，同时使用Unicorn仿真解密XOR掩码的常量。字符串混淆的破解涉及从常量中提取加密字符串和密钥，在内存中进行XOR操作，并通过Unicorn逐步执行指令，跳过循环并分叉分支以覆盖所有路径，最终运行IDA脚本恢复明文字符串。此外，配置提取通过解密AES-CBC加密块完成，使用二进制文件中的信息和自定义Python脚本解析。

通过这些步骤，研究人员揭示了AuraStealer的完整执行流程：安装异常处理程序，进行检查，解密配置，与命令与控制（C2）服务器连接，然后窃取并外传数据。其能力涵盖浏览器数据、钱包、双因素认证、会话、截屏和进程信息，甚至通过无头浏览器注入和Heaven’s Gate绕过某些防护。网络通信包括检查1.1.1.1:53端口，并向/api/live/conf/send端点发送AES-CBC加Base64编码的数据。尽管AuraStealer设计精巧，但其缺陷为检测提供了机会。

参考链接：

https://www.gendigital.com/blog/insights/research/defeating-aurastealer-obfuscation

勒索软件

新型集中式勒索软件组织SafePay技术深度解析

2024年末至2025年间，一个名为SafePay的勒索软件组织悄然崛起，并迅速扩大其运营规模，成为全球范围内不容忽视的重大网络威胁。与当前主流的 “勒索软件即服务”（RaaS）模式不同，SafePay采用集中化、封闭式的运营架构，对自身基础设施、谈判流程及收益分配保持严格管控。这一独特的运营安全（OPSEC）策略，有效降低了此前困扰LockBit、ALPHV等勒索软件组织的代码泄露与执法部门渗透风险，使其在短时间内脱颖而出。

SafePay最显著的攻击特征是采用双重勒索技术，在对目标系统进行加密之前，会先窃取金融记录、知识产权等敏感数据。一旦受害者拒绝支付赎金，该组织便会通过Tor网络上的数据泄露站点公开受害者信息，以此施加额外压力。更值得警惕的是，其攻击速度极快，通常在获取初始访问权限后的24小时内即可完成从入侵到加密的全过程，让目标组织难以招架。

在攻击链条的技术实现上，SafePay展现出高度的模块化与系统性。其勒索软件二进制文件为原生Windows PE32 DLL格式，常通过伪造编译时间戳进行伪装。初始访问阶段，攻击者主要利用泄露的凭据——这些凭据或从初始访问代理处购买，或通过暴力破解获取——进而入侵VPN网关、远程桌面协议（RDP）服务器等边缘设备上的合法账户。部分案例显示，配置不当的FortiGate防火墙允许本地账户在未启用多因素认证（MFA）的情况下登录，也成为了该组织的入侵突破口。成功入侵后，攻击者会部署QDoor后门（与BlackSuit组织相关联）或ScreenConnect等合法远程访问工具，以确保在目标系统中的持久控制权。

建立立足点后，SafePay会启动网络探测流程，通过ShareFinder.ps1脚本（尤其是Invoke-ShareFinder命令）识别有价值的资产和文件共享资源。横向移动则依赖于标准管理工具和“无文件攻击”二进制文件（LOLBins），例如利用PsExec和WinRM在远程系统上执行命令，典型命令格式如“PsExec.exe \TARGET_IP -u Domain\Admin -p Password cmd.exe”，以此实现对整个网络环境的逐步渗透。

为确保攻击顺利推进，SafePay配备了完善的防御规避机制。在部署加密程序前，该勒索软件会主动终止与杀毒软件、数据库及备份解决方案相关的进程，其内置的加密进程与服务黑名单中，包含sql、oracle、Sophos、Veeam等关键目标。同时，它会通过一系列命令删除卷影副本并修改启动配置，如“vssadmin delete shadows /all/quiet”“bcdedit /set {default} recoveryenabled no” 等，彻底切断受害者的系统恢复路径。此外，恶意软件还可能利用CMSTPLUA COM接口绕过用户账户控制（UAC），提升自身权限。

数据窃取环节，SafePay会精准定位 .docx、.pdf、.xlsx 等特定文件类型，避开系统文件以提高窃取效率。这些数据经WinRAR归档处理，归档过程中通过复杂的命令行参数排除非必要文件类型，随后借助FileZilla、Rclone、7-Zip等工具完成数据外泄。其归档命令包含大量排除规则，涵盖图片、视频、可执行文件等多种格式，确保仅窃取核心敏感数据。

加密执行阶段，勒索软件payload多以DLL形式通过regsvr32.exe或rundll32.exe启动，且必须携带特定命令行参数才能运行，其中“-pass=”参数为必填项，需输入32字节密码以解码代码中的额外信息；“-enc=”参数用于指定加密比例（1-9，对应10%-90%）；“-network”参数启动网络传播以加密共享文件夹；“-selfdelete”参数则在加密完成后删除恶意软件可执行文件。加密方案采用混合模式：文件加密使用AES或ChaCha20算法，每个文件生成唯一对称密钥，该密钥经RSA或x25519（椭圆曲线迪菲-赫尔曼）算法加密后附加在文件末尾；加密过程采用分段加密方式提升效率，加密后的文件会添加.safepay扩展名。值得注意的是，该恶意软件内置 “终止开关”，若检测到系统使用西里尔字母键盘布局（如俄语、乌克兰语、白俄罗斯语），则会自动终止执行。

SafePay的出现标志着勒索软件攻击模式向更隐蔽、更可控的方向演进，其集中化运营模式与高效的攻击链条对全球组织的网络安全构成严峻挑战。企业需加强身份认证防护、完善备份策略、强化安全监控，同时借助专业的安全验证工具持续优化防御体系，才能有效抵御此类高级威胁的侵袭。

参考链接：

https://www.attackiq.com/2025/11/19/revisiting-qilin-ransomware/

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec《APT36组织发起多阶段LNK恶意软件攻击——每周威胁情报动态第252期（01.02-01.08）》