文章总结： 文档披露朝鲜Konni组织利用谷歌DoubleClick广告重定向机制进行鱼叉式钓鱼攻击，通过合法域名绕过安全检测。攻击者还在邮件中插入隐藏无意义文本以混淆AI过滤器，并利用网络信标追踪用户。这揭示了广告基础设施被武器化的趋势，建议加强对合法流量滥用的识别与防护。 综合评分： 86 文章分类： 威胁情报,社会工程学,恶意软件,红队,免杀

规避的艺术：朝鲜黑客如何将恶意链接伪装成合法广告点击

原创

黑鸟 黑鸟

黑鸟

2026年1月18日 23:13 广东

2007年，谷歌宣布收购互联网广告技术公司DoubleClick，并于次年3月以31亿美元完成交易。

此后，DoubleClick的广告点击跟踪与重定向技术被深度整合至Google Ads及Google Marketing Platform（GMP），成为广告流量分发与效果评估的核心基础设施。

近期国外安全公司genians分析发现，攻击者利用谷歌广告生态中的合法重定向机制发起鱼叉式网络钓鱼攻击，成功规避电子邮件安全过滤及用户警惕机制。

具体而言，攻击者通过构造DoubleClick官方域名

（ad.doubleclick[.]net）的合法重定向URL链接，将受害者逐步引导至托管恶意文件的外部服务器。

此类流量因具备广告基础设施的合法特征，极易绕过初始安全检测。

值得注意的是，在2025年5月至7月期间，曾出现针对NAVER广告平台（mkt.naver[.]com）点击追踪域名的，类似攻击的尝试。

当前已确认的活跃攻击活动中，攻击者持续聚焦谷歌广告基础设施，其攻击模式保持高度一致性。

这也是黑鸟近期持续关注的领域，由于广告出现的普遍性，互联网广告逐渐成为网络攻击的一个重要环节，关于广告在网络攻击中的应用情况，详情可见文章中涉及广告部分的内容 你的定位不是被偷的，而是被“合法广播”出去的 和 Intellexa联盟0day漏洞攻击不止：泄露分析揭全球监视黑幕

以下为技术细节。

朝鲜Konni APT组织建立了一种攻击流程，该流程首先通过这种白名单URL+恶意URL跳转的方法建立信任，然后利用合法内容和金融主题的诱饵引诱受害者下载文件，最终通过伪装成PDF文件执行程序来加载并执行最终恶意软件。

在这次发现的钓鱼邮件中，攻击者用了一个小把戏：

他们在邮件代码里偷偷加了大量无意义的英文句子，但这些文字对收件人是完全隐藏的(display:none)，你打开邮件时根本看不到它们。

为什么这么做？

因为邮件系统和安全软件在后台会扫描所有文字内容。

这些隐藏句子让系统误以为邮件是正常的，从而绕过两种常见防护：

传统安全软件靠关键词来识别钓鱼邮件，但无意义句子稀释了这些关键词；

智能过滤器（用人工智能分析上下文）也会被干扰，因为杂乱内容让它难以判断邮件是否可疑。

实际分析发现，每封邮件都重复插入了22个固定的英文句子，真实内容被夹在这些句子中间,这明显是攻击者用自动化工具批量生成的模板。除了简单的混淆之外，这被认为是一种复杂的规避技术，旨在故意迷惑基于人工智能的网络钓鱼检测系统的逻辑。类似的方法很可能在未来的攻击中继续被使用。但是，通过分析这些特征并将其用作人工智能训练数据，该技术还可以用于改进针对类似威胁的自动检测系统。

说白了，攻击者很清楚安全系统如何工作，专门设计这种“障眼法”来逃避检测。

邮件中插入的钓鱼url链接

在电子邮件正文底部插入一个使用 标签的网络信标。 该信标由一张透明的 1×1 像素图像组成。当电子邮件客户端加载远程图像时，会向攻击者设置的外部服务器 (kppe[.]pl) 发送 HTTP 请求。 这使得攻击者能够查看收件人是否已打开电子邮件。请求参数中包含的 Base64 编码值 (un) 用于追踪单个收件人。

总体而言，以 ad.doubleclick[.]net 为中心的域名结构被用来将恶意活动伪装成合法的广告流量，目的是掩盖攻击跟踪和 C2 通信。

在此基础设施中，电子邮件发送主机和网络信标域相互链接，并且发现一些域在结构上与之前报道的朝鲜 Konni 组织攻击活动中观察到的网络资产复用模式一致。

此外，利用日本、欧洲和东南亚的合法网站作为链接域或中继节点，与该威胁组织一直以来采用的基础设施混淆和规避策略相一致。

https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟 黑鸟 黑鸟《规避的艺术：朝鲜黑客如何将恶意链接伪装成合法广告点击》