文章总结： 巴基斯坦APT组织利用GOGITTER和GITSHELLPAD攻击印度政府。攻击始于钓鱼邮件诱导下载恶意ISO，利用GitHubAPI进行隐蔽C2通信。GITSHELLPAD通过私有仓库传输指令并窃取信息，最终由GOSHELL部署CobaltStrike。该行动展示了利用合法平台规避检测的战术，建议加强GitHub异常流量监控及钓鱼防御。 综合评分： 85 文章分类： 威胁情报,恶意软件,红队

APT黑客利用GOGITTER工具和GITSHELLPAD恶意软件攻击印度政府

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月27日 19:01 北京

来自巴基斯坦的高级持续性威胁行为者利用新发现的工具和恶意软件，对印度政府机构发动了协同攻击，这些工具和恶意软件旨在绕过安全防御。

这场名为“地鼠突袭”的行动于 2025 年 9 月出现，标志着针对敏感政府基础设施的网络攻击行动显著升级

这次协同攻击表明，国家支持的威胁行为者日益老练，他们不断改进其技术能力和行动程序。

攻击链始于精心制作的网络钓鱼电子邮件，其中包含冒充合法政府通信的欺骗性 PDF 文档。

这些 PDF 文件显示官方文件的模糊图像，并使用社会工程策略诱骗收件人点击标有“下载并安装”的按钮下载 ISO 文件，该按钮看起来像是请求虚假的 Adobe Acrobat 更新。

恶意 ISO 文件在激活前一直处于休眠状态，其中包含隐藏的恶意软件，旨在建立对受感染系统的持久访问权限。

该感染机制依赖于三个用 Golang 编写的定制工具，它们协同工作以控制目标机器。

和研究人员发现GOGITTER 是初始下载器组件，它使用嵌入式身份验证令牌从威胁行为者控制的 GitHub 存储库中获取其他有效载荷。

部署完成后，GOGITTER 会创建一个名为 windows_api.vbs 的 VBScript 文件，该文件每 30 秒持续轮询命令和控制服务器，检查是否有新的指令要在受感染的机器上执行。

GITSHELLPAD 的创新型基于 GitHub 的持久化机制

GITSHELLPAD 是该活动最独特的元素，它作为一个轻量级后门，利用私有 GitHub 存储库进行所有命令和控制通信。

这种方法允许威胁行为者将恶意流量隐藏在看似合法的 GitHub 活动中，使安全监控工具更难检测到恶意流量。

感染后，GITSHELLPAD 会通过在威胁行为者的私有存储库中创建一个新目录来注册受害者，该目录的格式为 SYSTEM-[hostname]，然后添加一个 info.txt 文件，其中包含有关受感染机器的 Base64 编码的系统信息。

该后门程序每 15 秒轮询一次 GitHub 的 API，以获取存储在 command.txt 文件中的新指令，从而允许操作人员远程执行侦察命令、下载其他工具或部署进一步的恶意软件。

这种设计被证明特别有效，因为它避免了传统的网络指标，同时通过数百万个组织已经信任并列入合法开发目的白名单的服务，保持了可靠的双向通信。

最后阶段是通过 GOSHELL 部署Cobalt Strike Beacon，GOSHELL 是一个自定义 shellcode 加载器，它只在具有特定硬编码主机名的机器上执行，从而进一步将有效载荷限制在预期目标上。

安全研究人员持续追踪这一不断演变的威胁，以保护政府网络免受未来攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《APT黑客利用GOGITTER工具和GITSHELLPAD恶意软件攻击印度政府》