文章总结： 朝鲜APT组织Konni利用谷歌广告重定向与被入侵WordPress站点，对韩国机构实施波塞冬行动。攻击通过鱼叉式钓鱼投递伪装LNK文件，加载AutoIt脚本与EndRAT恶意软件，并利用隐藏技术绕过检测。报告建议防御者采取多层策略，隔离可疑附件、监控广告流量及实施EDR行为检测，以有效应对此类高度复杂的网络威胁。 综合评分： 90 文章分类： 威胁情报,恶意软件,社会工程学,应急响应

朝鲜背景APT组织Konni利用谷歌广告生态发起高阶鱼叉式网络钓鱼攻击活动

原创

BaizeSec BaizeSec

白泽安全实验室

2026年1月23日 09:01 北京

朝鲜背景APT组织Konni利用谷歌广告生态发起高阶鱼叉式网络钓鱼攻击活动

近日，网络安全研究机构发布了一份深度分析报告，揭露了由Konni APT组织发起的“波塞冬行动”（Operation Poseidon）。这一行动通过精心设计的社会工程学手法，伪装成韩国人权组织和金融机构，向特定目标受害者发起高度针对性的鱼叉式网络钓鱼攻击。攻击者巧妙利用Google Ads的重定向机制，绕过电子邮件安全过滤器和用户的安全检测中心，同时借助安全薄弱的WordPress网站作为恶意软件分发和指挥控制（C2）基础设施。该攻击活动被他们内部定义为代号“Poseidon”，涉及通过伪装成PDF文件的AutoIt脚本加载EndRAT恶意软件。

事件背景源于Konni组织不断演进的战术、技术和程序（TTPs）。攻击基础设施依赖于被入侵的WordPress站点，这些站点易于快速更换域名，从而规避基于URL或域名的封堵措施。攻击活动通常从鱼叉式钓鱼邮件开始，这些邮件伪装成金融机构的官方通知，诱导用户下载伪装成金融文档的压缩文件。一旦用户执行文件，攻击者便利用LNK快捷方式文件的结构特性，隐藏真实扩展名和图标，悄无声息地运行AutoIt脚本，并在内存中加载EndRAT恶意软件。脚本中的内部构建路径如“D:\3_Attack Weapon\Autoit\Build__Poseidon – Attack\client3.3.14.a3x”进一步证实了“Poseidon”作为攻击活动内部名称的证据。这一攻击活动结合了基础设施隐藏、社会工程学诱导和脚本化执行，展示了Konni组织在针对韩国目标时的持续创新。

在攻击技术分析方面，初始访问阶段主要通过邮件中的URL链接实现，这些URL指向包含LNK恶意软件的压缩文件。攻击者滥用Google广告重定向机制，例如通过ad.doubleclick[.]net或mkt.naver[.]com的参数，使恶意链接伪装成合法广告流量，从而隐藏最终指向被入侵WordPress站点的真实目的地。这种多跳重定向有效绕过了安全检测。针对金融机构的伪装邮件往往以“索要资料提交请求”或“汇款及交易记录确认”等主题出现，文件名引用真实机构名称以降低用户疑虑。根据2025年12月的金融安全研究所报告，此类LNK恶意软件与Konni组织的TTPs高度一致，包括结构差异和执行流程。

图 1 恶意命令执行界面

实际攻击案例显示，从2025年6月起，邮件中直接包含URL链接；7月后则转向通过Naver和Google广告的多跳重定向。邮件内容采用隐藏文本（display:none）填充大量无意义英文句子，用于干扰基于签名和AI的钓鱼检测系统。同时，嵌入1×1像素的网络信标（[image]标签）连接外部服务器如kppe[.]pl，通过Base64参数跟踪邮件打开情况。攻击者还利用PHPMailer库伪造发件人头部，增强邮件的合法性。在非金融主题中，攻击者伪装成朝鲜人权非政府组织，附件伪装成PDF或HWP文件，实际重定向到越南WordPress服务器上的恶意URL。压缩文件内含LNK下载AutoIt.exe和伪装脚本，C2服务器如jlrandsons.co[.]uk与Konni组织的已知基础设施重合，代码模式如“endServer9688”进一步确认归属。近期样本中，“Poseidon – Attack”标识已被移除，以增强规避能力。

图 2 攻击活动基础设施相关图

研究人员指出，“波塞冬行动”是一种高度复杂的APT攻击活动，单一解决方案或基于指示器（IoC）的封堵难以奏效。防御需采用多层策略，包括在电子邮件处理中封堵伪造发件人附件、隔离ZIP和LNK文件，并对关键词如“索要资料”或“汇款确认”发出警告。同时，监控广告重定向链条，通过代理服务器阻断非业务下载。EDR措施应聚焦行为检测，例如识别cmd.exe或PowerShell调用链，以及从ZIP到LNK执行的攻击链。自动化隔离、IoC注册和C2通信监控可显著降低平均响应时间（MTTR），防止横向移动。通过跨行动分析，Konni组织的归属得到确认，其基础设施重用和TTP一致性凸显了持续威胁的严重性。

参考链接：

https://www.genians.co.kr/blog/threat_intelligence/spear-phishing

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《朝鲜背景APT组织Konni利用谷歌广告生态发起高阶鱼叉式网络钓鱼攻击活动》