文章总结： APT-Q-27（金眼狗）组织通过Zendesk支持工单发起多阶段隐蔽攻击，利用.pif文件和有效数字签名绕过信誉检查，采用DLL侧加载和无文件内存执行技术逃避检测，通过创建虚假Windows服务实现持久化。攻击针对赌博和科技行业，C2服务器遵循特定命名规则。建议企业采用基于行为的监控而非简单文件扫描，重点检测支持工具与未知服务器通信等异常模式。 综合评分： 82 文章分类： 威胁情报,APT分析,漏洞分析,安全运营,恶意软件

APT-Q-27 对企业网络发起隐蔽攻击，逃避检测

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月6日 19:01 北京

一场全新的、高度复杂的网络攻击活动揭示了攻击者如何绕过现代防御措施渗透企业网络。

调查显示，这是一起隐蔽的多阶段入侵事件，很可能是由名为 APT-Q-27 或“金眼狗”的威胁组织策划的。

攻击始于一个常见的日常操作：客服人员点击了支持工单中的链接。该链接通过 Zendesk 发送，看似指向一个图像文件。

2026 年 1 月中旬，CyStack 的安全团队观察到企业客户环境中存在异常活动。

然而，它实际上下载了一个带有 .pif 扩展名的恶意文件，.pif 是一种旧式的 Windows 文件类型，其功能类似于标准的可执行程序。

由于企业电脑上文件扩展名通常会被隐藏，因此该文件看起来无害。为了进一步掩盖攻击，该文件还使用了有效的安全证书进行数字签名。

这种数字签名就像一张“通行证”，使恶意程序能够绕过通常会阻止未知软件访问互联网的信誉检查和安全警告。

恶意软件运行后，并不会立即释放全部有效载荷。相反，它会充当“投放器”，即一个旨在为真正的攻击设置环境的小程序。

它连接到云存储服务器以下载其他组件，并将这些组件隐藏在一个看起来像是标准 Windows 更新缓存的文件夹中。

攻击者利用一种名为“ DLL侧加载”的巧妙技术来运行恶意代码。他们将一个名为crashreport.dll的恶意文件放置在一个名为updat.exe的合法签名程序旁边。

当合法程序运行时，它会自动加载恶意文件，误以为它是必要的组件。这使得攻击者能够在受信任的进程中执行代码，从而有效地躲避安全工具的检测。

这次行动最危险的地方在于它几乎完全可以在计算机内存中运行。

该恶意软件直接将主后门有效载荷解密到内存中，这意味着恶意代码从未以独立文件的形式存在于硬盘上。这种“无文件”方式使得传统的杀毒软件极难检测到感染。

该恶意软件还会修改系统设置，关闭用户账户控制(UAC) 提示，确保可以在不提醒用户的情况下对系统进行更大的更改。

归因

虽然归因很少能 100% 确定，但 CyStack 团队发现了强有力的证据，将此次攻击活动与 APT-Q-27（又名 GoldenEyeDog）组织联系起来。

然后，它通过创建一个虚假的Windows 服务来实现持久性，确保每次计算机重启时它都会自动重启。

此次攻击中使用的命令与控制 (C2) 服务器遵循了 GoldenEyeDog 攻击活动中常见的命名规则，例如在域名中使用“goldeye”。

攻击基础设施和后门的“基于插件”的设计（允许攻击者随时添加屏幕录制或文件窃取等新功能）与该组织已建立的工具包非常吻合。

APT-Q-27 曾多次利用类似的“水坑”策略和虚假软件安装程序攻击赌博和科技行业。

此次事件凸显了传统安全监控的一个关键漏洞。由于攻击使用了有效的数字签名和看似合法的流程，因此并未触发标准警报。

安全专家建议各组织机构不要再进行简单的文件扫描，而应专注于基于行为的监控。

检测异常模式（例如支持工具与未知服务器通信或合法程序加载意外文件）通常是阻止这些“低噪音”入侵造成重大损害的唯一方法。

IOCs

| C&C 指示器（IP/域名） | 国家/地区 | | — | — | | wk.goldeyeuu.io (185.135.79.200) | 日本东京 | | 1.32.250.21 | 中国香港 | | 1.32.250.227 | 中国香港 | | 103.145.87.3 | 中国香港 | | 103.145.87.143 | 中国香港 | | 103.151.44.6 | 印度诺伊达 | | 103.151.44.82 | 印度诺伊达 | | 103.215.49.173 | 中国广东 | | 103.97.228.178 | 美国爱荷华州 | | 104.233.164.136 | 日本东京 | | 107.148.52.201 | 中国香港 | | 134.122.190.220 | 日本东京 | | 134.122.205.97 | 日本东京 | | 139.28.232.90 | 美国加利福尼亚州 | | 143.92.32.243 | 中国香港 | | 143.92.56.224 | 中国香港 | | 143.92.57.46 | 中国香港 | | 143.92.61.121 | 中国香港 | | 154.55.135.212 | 中国香港 | | 154.91.84.174 | 新加坡 | | 18.166.142.167 | 中国香港 | | 18.167.137.104 | 中国香港 | | 192.252.182.53 | 美国加利福尼亚州 | | 192.253.225.162 | 美国加利福尼亚州 | | 202.79.175.78 | 韩国首尔 | | 202.94.68.2 | 中国香港 | | 27.124.41.140 | 中国香港 | | 27.124.44.76 | 中国香港 | | 27.124.45.181 | 中国香港 | | 27.124.7.23 | 中国香港 | | 43.154.170.196 | 中国香港 | | 45.120.80.106 | 中国香港 | | 45.145.73.105 | 美国华盛顿 | | 45.195.148.73 | 菲律宾马尼拉 | | 8.210.94.213 | 中国香港 | | 8.217.110.88 | 中国香港 | | 8.217.69.130 | 中国香港 | | 8.218.138.126 | 中国香港 |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《APT-Q-27 对企业网络发起隐蔽攻击，逃避检测》