文章总结： 本周情报显示疑似俄罗斯背景APT组织RomCom频繁利用零日漏洞升级对北约及乌克兰的攻击，并兼具勒索属性。UAC-0190伪装慈善机构针对乌克兰国防。Kimwolf僵尸网络利用ADB漏洞入侵超200万台安卓电视设备进行牟利。新型Gentlemen勒索软件采用BYOVD技术席卷全球17国，需加强防御。 综合评分： 92 文章分类： 威胁情报,恶意软件,漏洞预警

疑似俄罗斯背景APT组织RomCom持续升级其攻击行动——每周威胁情报动态第254期（01.09-01.15）

原创

BaizeSec BaizeSec

白泽安全实验室

2026年1月16日 09:01 北京

APT攻击

*** *疑似俄罗斯背景APT组织RomCom持续升级其攻击行动*

• APT组织UAC-0190针对乌克兰展开网络攻击活动**

恶意软件

• Kimwolf僵尸网络全球瞄准安卓电视设备，超200万台设备遭入侵

勒索软件

• 新型Gentlemen勒索软件席卷全球17国

APT攻击

疑似俄罗斯背景APT组织RomCom持续升级其攻击行动

近日，据网络安全机构发布的专项报告显示，代号为RomCom（又称Void Rabisu、Storm-0978、UAT-5647）的高级持续性威胁（APT）组织正持续扩大其攻击版图。该组织自2022年出现以来，凭借技术的快速迭代和灵活的攻击策略，已迅速成为全球最知名的网络威胁势力之一。其攻击目标主要聚焦于北约成员国、乌克兰及北美相关国家的敏感领域，对国际地缘政治安全和关键基础设施构成严重挑战。

RomCom组织的核心背景与归属存在多方追踪共识与细节分歧，多家网络安全厂商确认其与俄罗斯存在关联，但该组织是否直接受俄罗斯政府操控尚未有明确结论。不同机构对其命名各异，微软将其标记为Storm-0978，CrowdStrike称之为Void Rabisu，开源社区及其他厂商也常使用UAT-5647等代号进行追踪。该组织的攻击动机呈现鲜明的双重属性，一方面以间谍攻击活动为核心，专门窃取乌克兰、北约及盟国的政治、军事和外交敏感情报，服务于特定地缘政治目的；另一方面则兼具机会主义经济诉求，部分行动中嵌入勒索软件相关的敲诈行为。既可能为间谍攻击活动提供掩护，也试图开辟额外收入来源，这种混合动机使得其攻击策略更具不确定性，增加了防御难度。

在攻击目标选择上，RomCom组织展现出明确的针对性和广泛性。地理范围覆盖乌克兰、北约/欧盟成员国（尤其是波兰、英国）以及北美地区，同时会根据特定主题事件，在其他地区开展机会攻击。目标行业高度集中在关键敏感领域，包括政府部门及机构、外交使团与智库、国防安全领域、媒体与非政府组织，以及信息技术、电信行业等，这些领域的信息泄露或系统被入侵，可能引发连锁性的安全风险和地缘政治影响。

从技术层面来看，RomCom组织的战术、技术与程序（TTPs）呈现出高适应性和快速演进的特点，其攻击链条完整且隐蔽性极强。在初始接入阶段，该组织主要通过三种方式突破目标防线：一是利用植入恶意代码的合法工具安装程序（如KeePass密码管理工具、Advanced IP Scanner网络扫描工具）进行鱼叉式钓鱼；二是搭建与北约、乌克兰相关会议主题相关的虚假活动门户网站，诱导目标人员访问；三是在2024至2025年间，频繁利用微软Office和WinRAR的零日漏洞发起攻击，这一行为标志着其技术能力的显著升级。

在维持持久控制阶段，RomCom组织采用多种手段确保长期潜伏：通过修改系统注册表、创建计划任务实现开机自启和持续运行；开发轻量级定制后门程序，使其网络流量与正常业务流量高度融合，规避常规检测；滥用系统自带合法二进制文件（Living-off-the-land），减少恶意代码特征暴露。其命令与控制（C2）基础设施同样具备高隐蔽性和抗打击能力，采用加密的HTTPS通信通道，结合域名前置技术和可轮换的临时基础设施，且依托商业云服务进行托管，以此实现 “可否认性”，增加溯源和处置难度。

在恶意软件与攻击技术应用方面，RomCom组织拥有专属签名远程访问木马（RomCom RAT），并搭配定制化的投放器和下载器，同时灵活运用Mimikatz（凭证窃取工具）、Rclone（云存储同步工具）等公开工具，形成混合攻击工具链。攻击过程中，该组织重点实施Outlook邮箱、浏览器及Windows系统认证信息的凭证窃取，通过多条漏洞利用链提升系统权限，并将窃取的数据泄露至云存储平台，其对开源工具与定制工具的灵活组合使用，有效提升了攻击的隐蔽性和成功率。

回顾RomCom的攻击演进历程，其作战能力和野心呈明显上升趋势。2022年，该组织首次被发现利用恶意植入安装程序，向乌克兰多名政府及军方官员投放RomCom RAT；2023年，攻击策略升级，围绕北约峰会及欧洲政治事件制作诱饵，并搭建仿冒会议网站扩大攻击范围；2024年，以乌克兰重建会议为主题构建诱骗网站，将攻击目标拓展至北美地区，引发广泛关注；2025年初，该组织在早期行动中启用两个零日漏洞，对欧洲多个国家的政府部门和国防目标发动攻击，充分彰显其已具备获取先进漏洞利用技术的能力。

值得警惕的是，2024年末至2025年初的最新动态显示，RomCom的攻击能力正加速升级。其不仅开始频繁使用零日漏洞，实现了从依赖钓鱼的中层威胁势力向具备高级APT技术水平的跨越。还在基础设施建设上进一步优化，仿冒会议网站与合法网站高度相似，大幅提升欺骗成功率。同时缩短运营周期，快速轮换基础设施以规避打击。部分近期行动中出现经济动机导向的攻击载荷，再次印证其混合目标属性，也预示着其攻击场景可能进一步多元化。

研究人员指出，RomCom组织是APT组织快速成熟并重塑威胁格局的典型案例，其兼具战略意图与技术深度的攻击模式，将对北约及相关国家的网络安全构成长期挑战。在当前复杂的地缘政治背景下，该组织极有可能进一步扩大攻击范围、升级技术手段，全球相关领域的机构和企业需高度重视，将其视为高级威胁对手，构建多层次、全方位的防御体系，以应对其带来的持续安全风险。

参考链接：

https://brandefense.io/blog/romcom-apt/

APT组织UAC-0190针对乌克兰展开网络攻击活动

乌克兰计算机应急响应团队（CERT-UA）近日发布报告，揭示了一起代号为UAC-0190组织的网络攻击活动。该攻击活动主要针对乌克兰国防力量（COY）成员，攻击者伪装成慈善基金会，通过诱导受害者下载恶意文件实施入侵。报告指出，这一活动从2025年10月持续至12月，CERT-UA与乌克兰武装部队网络事件响应部门合作，对多起相关事件进行了调查和分析。攻击者被初步关联至名为Void Blizzard（又称Laundry Bear）的APT组织，CERT-UA以中等置信度评估其相关性。

事件背景源于乌克兰持续面临的网络威胁环境。自2025年秋季以来，黑客组织利用社会工程学手法，针对国防领域人员展开精准攻击。攻击者假借慈善基金会的名义，声称提供援助或文件支持，以此吸引目标对象。这种伪装手法充分利用了当前地缘政治紧张局势下，人们对慈善和援助的信任。CERT-UA强调，网络威胁局面正在快速演变，黑客越来越使用合法的乌克兰手机号码、账户，以及流利的乌克兰语进行沟通，甚至通过音频或视频通话增强真实感。这使得常见的消息应用成为传播恶意软件的主要渠道，进一步增加了检测难度。

攻击过程通常从社会工程诱饵开始。受害者通过消息应用收到邀请，引导他们访问仿冒的慈善基金会网站。这些网站设计得极为逼真，页面上提供所谓的“文档”下载链接。这些文件往往置于密码保护的压缩包中，以降低受害者的疑虑。下载的文件多为可执行格式，如扩展名为“.docx.pif”的伪装文档，或早期版本的“.pdf.exe”。一旦受害者执行这些文件，恶意负载即被激活。

具体而言，这些恶意文件多由PyInstaller工具打包而成，其核心代码使用Python语言编写，被CERT-UA分类为后门程序PLUGGYAPE。该程序会建立与指挥控制（C2）服务器的连接，使用WebSocket或MQTT协议传输JSON格式数据。它首先收集受害者设备的MAC地址、BIOS序列号、磁盘和处理器标识符等信息，通过SHA-256算法生成唯一设备ID。随后，程序执行从服务器接收的任意代码，并在操作系统注册表Run键中创建条目以实现持久化。在2025年10月的早期攻击中，黑客使用“.pdf.exe”文件作为加载器，从Pastebin等平台下载Python解释器和初始恶意代码。从12月起，攻击者升级至PLUGGYAPE.V2版本，该版本引入了代码混淆、MQTT协议支持，以及多项反分析机制，如检测虚拟机环境，以规避安全研究者的逆向工程。

参考链接：

https://cert.gov.ua/article/6286942

恶意软件

Kimwolf僵尸网络全球瞄准安卓电视设备，超200万台设备遭入侵

近日，网络安全研究人员披露了名为Kimwolf的大规模安卓僵尸网络，该网络已感染全球超200万台设备，其中以安卓电视盒子为主要攻击目标，涉及巴西、印度、美国、越南、沙特阿拉伯、俄罗斯、中国等多个国家和地区，对消费电子领域及家庭网络安全构成严重威胁。

Kimwolf僵尸网络采用安卓原生开发工具包（Android Native Development Kit）构建，集成了分布式拒绝服务（DDoS）攻击、代理转发、反向shell、文件管理等多种恶意功能。为逃避检测与打击，该僵尸网络运用了多重先进技术：通过栈异或加密保护敏感数据，采用DNS over TLS（基于TLS的域名系统）规避网络监控，借助椭圆曲线数字签名验证命令与控制（C2）通信的合法性，近期更升级引入基于以太坊域名服务（Ethereum Name Service）的EtherHiding技术，大幅提升了基础设施抗摧毁能力。其传播核心在于利用家庭代理网络的漏洞——如对内部地址访问限制不足，以及安卓电视盒子上暴露的5555端口安卓调试桥（Android Debug Bridge），攻击者可通过IPIDEA等住宅代理服务隧道接入本地网络，实现未经授权的设备访问与恶意程序快速传播。

这些受攻击的安卓电视盒子多为电商平台上的无名品牌产品，出厂时便默认开启调试模式，部分还预装了代理恶意软件或需通过非官方应用才能播放盗版内容，为攻击者提供了可乘之机。安全研究人员接管某C2域名后发现，该僵尸网络的日活跃IP峰值接近183万，由于动态IP分配和全球时区差异，实际感染规模难以精准统计。攻击者行事极为猖獗，2025年11月短短三天内便下发了17亿条DDoS攻击指令，攻击目标随机且无差别，部分攻击流量峰值高达30Tbps，对网络服务稳定性造成极大冲击。

在盈利模式上，Kimwolf运营者通过多重渠道变现，包括销售代理带宽、推广应用安装、提供DDoS攻击服务等，借助Rust语言开发的代理命令客户端和ByteConnect SDK等组件最大化收益，月利润可能达数万美元。研究人员还发现，该僵尸网络与Aisuru僵尸网络存在高度关联性，二者共享代码、APK文件、基础设施、签名证书及下载脚本，疑似同一威胁组织为适配安卓平台优化而成，进一步扩大了攻击覆盖面与危害程度。

尽管代理服务提供商已采取拦截内部DNS解析、封禁高风险端口等缓解措施，且行业多次通过协同打击扰乱其运营，但Kimwolf展现出极强的恢复能力，曾在数日内重新集结200万个感染节点。这一威胁打破了家庭网络的安全假象，受感染的移动设备或访客连接都可能成为内部系统被入侵的突破口。安全专家强调，应对这一持续演化的威胁，需要行业持续加强情报共享与技术协作，同时提醒用户谨慎购买来源不明的安卓电视设备，及时关闭不必要的调试功能，避免安装非官方应用，从源头降低感染风险。

参考链接：

https://blog.polyswarm.io/kimwolf-botnet-targeting-android-tv-devices-worldwide

勒索软件

新型Gentlemen勒索软件席卷全球17国

Gentlemen勒索软件的兴起引发了全球网络安全界的广泛关注。这一新兴勒索软件组织于2025年8月左右首次被发现，其采用双重勒索模式，即通过入侵企业网络窃取数据、加密文件，并利用窃取的数据向受害者施压索要赎金。该组织使用高级技术手段，如操纵组策略对象（GPO）和自带易受攻击驱动程序（BYOVD），目前尚未确认其是否采用勒索软件即服务（RaaS）模式，或是现有组织的改名或分支。Gentlemen的攻击活动迅速扩散，已影响至少17个国家，涉及制造业、建筑业、医疗保健和保险等多个行业，受影响地区包括亚太、北美、南美和中东。该组织主要针对中大型企业，其检测规避和传播机制高度复杂，使其成为2025年最活跃的新兴勒索软件组织之一。

Gentlemen勒索软件使用Go语言开发，并在执行时通过密码检查限制运行环境，仅在特定参数下激活。攻击过程从初始阶段开始，首先禁用Windows Defender防护、停止备份服务（如Veeam）和数据库服务（如MSSQL和MongoDB），并删除系统日志和痕迹，以清除攻击证据。随后，软件进行文件加密，使用X25519密钥交换和XChaCha20加密算法，对于大文件则采用部分加密策略以提高效率。执行命令行参数控制加密行为，例如“–password”作为必需的运行密码，“–path”指定加密目录或磁盘，“–T”设置加密前延迟，“–silent”避免加密后重命名文件，“–system”仅针对本地驱动器，“–shares”针对网络共享，“–full”结合本地和共享，“–fast”加密9%内容，“–superfast”加密3%，“–ultrafast”加密1%。

在加密准备阶段，软件在内存中解码攻击者的公钥，生成随机32字节值，通过X25519计算共享密钥，再派生子密钥用于XChaCha20加密。同时，利用PowerShell收集卷信息，针对企业集群和共享存储进行定位。实际加密时，采用XChaCha20流密码，每文件生成独立密钥和随机数：通过X25519生成共享密钥，派生子密钥创建随机数，并将X25519结果以Base64形式存储在加密文件中，但不包含临时随机密钥，从而确保没有私钥无法重现秘密。对于小于1MB的文件，进行全加密；大文件则在特定范围部分加密，以加速过程并增加恢复难度。

攻击完成后，软件在加密目录中创建“README-GENTLEMEN.txt”赎金通知文件，并更改桌面背景以显示感染迹象。通知声称攻击者已完全控制网络，所有文件已被加密并不可访问，同时宣称窃取了数据，若不联系将泄露至暗网。为建立信任，攻击者提供免费解密两个样本文件的机会。该勒索软件的结构设计强调密钥不暴露于泄露数据中，确保受害者难以自行解密，凸显其针对企业环境的优化和操作灵活性。

参考链接：

Threats Behind the Mask of Gentlemen Ransomware

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《疑似俄罗斯背景APT组织RomCom持续升级其攻击行动——每周威胁情报动态第254期（01.09-01.15）》