文章总结： 巴基斯坦APT36组织利用伪装成PDF的LNK文件对印度政府实施精准攻击。攻击通过钓鱼邮件投递恶意LNK，利用诱饵文档掩盖后台下载Sindoor投放器，最终植入MeshAgent木马实现持久控制。建议政企核实发件人、开启文件扩展名显示、禁用自动执行及部署多因素认证以防御此类攻击。 综合评分： 75 文章分类： 威胁情报,社会工程学,安全意识,应急响应

警惕！巴基斯坦APT36新招：一个LNK文件攻破印度政府，这种伪装术太致命

原创

AI紫队安全研究

AI紫队安全研究

2026年1月14日 11:59 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

    印巴边境的网络暗战从未停歇！近日，网络安全公司Cyfirma曝光一则重磅消息：长期瞄准印度的APT36（透明部落）组织，又用新套路向印度政府机构发起猛攻——这次的“致命武器”，竟是一个看似普通的LNK快捷方式文件。

要知道，LNK文件就是我们电脑里常见的“快捷方式”，双击就能打开对应文档，谁能想到它背后藏着能窃取国防机密、远程控制主机的间谍程序？更可怕的是，APT36这波攻击精准锁定印度政府、国防部门，用“官方文件”做伪装，连资深公职人员都难识破。

今天就带大家扒一扒这场针对印度政府的“LNK钓鱼陷阱”，看看黑客是如何用最简单的文件，布下最致命的局！

一、开局即绝杀：伪装成“官方通告”的钓鱼邮件

APT36的攻击从来都是“精准打击”，这次也不例外。他们先伪造了一封来自印度政府内部的“紧急网络安全通告”邮件，标题标红加粗，正文全是官方口吻，比如“关于加强系统安全防护的紧急通知”“需全员知悉的网络安全预警”。

邮件附件是一个名为“Cyber-Security-Advisory.zip”的压缩包，看起来就是普通的政策文件归档。对每天要处理大量公文的政府职员来说，这种邮件根本不会多想，大概率会直接下载解压——而这一操作，就等于把黑客请进了内网。

解压后，一个名为“Security_Advisory.lnk”的文件映入眼帘，图标和PDF文档一模一样，下面还标注着“官方安全指南”的字样。谁能想到，这个看似用来打开指南的快捷方式，其实是黑客精心打造的“破门钥匙”？

划重点：这就是APT36的高明之处——用“官方身份+紧急场景”降低警惕，再把恶意程序伪装成最常见的快捷方式，比直接发exe文件隐蔽10倍！

二、技术拆解：LNK文件里的“千层套路”

很多人以为LNK文件只是个“打开文件的入口”，没什么攻击性，但APT36偏要在这个“入口”里藏炸弹。当受害者双击那个伪装成PDF的LNK文件时，一场多阶段的攻击就悄然启动了，整个过程堪称“间谍大片”：

1. 第一步：障眼法——打开真PDF，掩盖恶意操作

双击LNK文件后，电脑会先弹出一个正常的网络安全指南PDF，里面全是正经的防护建议，受害者会下意识觉得“没问题，就是普通文件”。

但就在大家盯着PDF看的时候，后台已经悄悄执行了LNK文件里的恶意命令——这就像骗子上门送礼品，用小恩小惠吸引你的注意力，趁你不注意偷摸溜进家里。

2. 第二步：暗度陈仓——下载恶意载荷，躲进临时文件夹

LNK文件里藏着预设的bash脚本，会在后台偷偷连接黑客的远程服务器，下载一段经过十六进制编码的恶意载荷，然后藏到电脑的/tmp临时目录里。

更狡猾的是，黑客还会给这段恶意程序赋予可执行权限，同时设置“隐藏命令行窗口”，让整个下载、执行过程完全透明，受害者根本察觉不到电脑里多了陌生程序。

3. 第三步：落地生根——部署远控木马，实现持久控制

下载的恶意载荷其实是Sindoor Dropper（辛多尔投放器），这是APT36专门开发的多阶段恶意程序。它会先对电脑进行“环境检查”，确认不是安全沙箱后，就开始解密、释放最终的MeshAgent远控工具。

一旦MeshAgent上线，黑客就能完全控制受害者的电脑：窃取敏感文件、截图屏幕内容、记录键盘敲击，甚至横向移动渗透整个政府内网，把国防部署、外交机密等核心数据一网打尽。更可怕的是，它还会设置“开机自启”，就算电脑重启，黑客也能持续掌控。

三、为什么是LNK？APT36的“选武器”逻辑太鸡贼

可能有人会问，黑客有那么多攻击手段，为什么偏偏选LNK文件？其实这背后全是算计：

1. 隐蔽性极强：LNK是系统默认支持的文件类型，不像exe、dll那样容易被杀毒软件拦截，很多邮件网关都会直接放行；

2. 伪装性满分：可以轻松修改图标和文件名，伪装成PDF、Word、Excel等常用文档，用户根本分不清；

3. 攻击门槛低：只要用户双击就能触发，不需要复杂的漏洞利用，对技术水平不高的受害者也能精准命中。

要知道，APT36可是长期活跃在南亚的“老牌间谍组织”，被怀疑与巴基斯坦有关联，十多年来一直盯着印度政府、军方下手。之前用过恶意宏文件、伪装APP、Linux桌面文件等多种手段，这次选LNK，就是看中了它的“低检测率+高成功率”。

四、不止印度！这些防护要点，所有政企都要记死

虽然这次攻击的目标是印度，但APT36的套路具有极强的通用性，所有政府机构、企业甚至个人都可能中招。结合这次的LNK攻击，给大家整理了5个必看的防护要点：

1. 对“官方紧急邮件”多留个心眼

凡是标注“紧急”“全员知悉”“内部通告”的邮件，一定要先核实发件人身份——哪怕发件地址看起来像官方的，也可以通过电话、内部系统二次确认，不要轻易下载附件。

2. 别被“图标”骗了！学会看文件后缀

这是最关键的一点！很多人只看图标判断文件类型，却忽略了后缀名。比如这次的恶意文件，图标是PDF，但后缀是.lnk，只要开启“显示文件扩展名”，就能一眼识破伪装。

小技巧：在Windows系统里，打开“文件资源管理器”，勾选“查看”里的“文件扩展名”，从此告别“图标诈骗”。

3. 禁用非必要文件的自动执行权限

在企业内网里，尽量禁用LNK、.desktop等文件的双击自动执行功能，就算用户误点，也需要手动确认才能运行，多一道防线就少一分风险。

4. 给敏感系统加“双重锁”

政府、国防、金融等敏感部门，一定要开启多因素认证（MFA），就算账号密码泄露，黑客也无法远程登录；同时实施网络分段隔离，就算一台电脑中招，也能阻止攻击横向扩散。

5. 定期更新安全软件，开展意识培训

及时更新杀毒软件、防火墙的病毒库，开启沙箱分析功能，能有效识别新型恶意文件；另外要定期给员工做安全培训，用真实案例讲解钓鱼套路，提升大家的警惕性。

结语：网络暗战就在身边，警惕性是最后一道防线

APT36的这次攻击再次证明，网络安全没有“绝对安全区”。一个看似普通的LNK文件，就能成为攻破国家机关的“突破口”；一封精心伪造的钓鱼邮件，就能让核心机密泄露。

对政企单位来说，构建纵深防御体系、强化员工安全意识刻不容缓；对个人而言，养成“不轻易点附件、多看一眼后缀名”的习惯，就是最有效的防护。毕竟在网络暗战里，你的每一次警惕，都是在筑牢安全防线。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究《警惕！巴基斯坦APT36新招：一个LNK文件攻破印度政府，这种伪装术太致命》