文章总结： 本文深度复盘UnsolicitedBookerAPT组织的进阶渗透套路，其攻击向量从钓鱼邮件附件演进到链接诱导，使用多阶加载器规避检测。核心后门LuciDoor和MarsSnake分别提供全功能控制和LNK文件执行链，取证中LNK的MachineID暴露工具链重叠。组织还入侵路由器作C2节点并伪装地理位置。防御建议转向端点行为分析和异常流量审计。 综合评分： 86 文章分类： 威胁情报,恶意软件,渗透测试,红队,实战经验

手搓 C++ 后门，黑入路由器做 C2：解构 UnsolicitedBooker 的进阶“套路”

原创

Hankzheng Hankzheng

技术修道场

2026年3月2日 08:06 广东

大家好，今天咱们开门见山，从代码执行链和取证特征的维度，深度复盘一下 UnsolicitedBooker 这个组织的进阶渗透套路。

这个早在 2023 年 3 月就开始活跃的 APT 组织，最近的战术重心发生了明显偏移：从沙特阿拉伯的跨国机构，转向了吉尔吉斯斯坦和塔吉克斯坦的电信巨头。他们在实战中展现出的基础设施伪装能力和多阶级（Multi-stage）加载技巧，非常值得我们这些做攻防、做逆向的工程师细品。

01 攻击向量演进：从“附件投毒”到“链接诱导”

最早在 2025 年 9 月针对吉尔吉斯斯坦的攻击中，他们用的还是比较传统的钓鱼邮件+恶意宏（Macro）附件。诱饵通常是伪装成“电信运营商资费计划”的 Microsoft Office 文档。一旦受害者点击了经典的“启用内容”（Enable Content），恶意宏就会在后台拉起。

但请注意这里的技术分层：宏代码并不会直接解密和注入后门，而是先释放（Drop）一个名为 LuciLoad 或 MarsSnakeLoader 的 C++ Loader。

我的分析：

为什么要多此一举？这是典型的规避内存扫描与沙箱分析的手段。Loader 的体积通常极小，特征极弱，它的唯一任务是建立初始据点，然后在内存中动态解密或拉取最终的 Payload（LuciDoor/MarsSnake）。到了 2026 年 1 月打塔吉克斯坦的时候，他们更是直接弃用了附件，改为在邮件中内嵌恶意链接，直接绕过了大部分邮件安全网关（SEG）的附件静态查杀引擎。

02 核心后门解析：LuciDoor 与 MarsSnake

UnsolicitedBooker 手里有两张王牌，都是手搓的 C++ 后门，但定位和加载逻辑有所不同。

LuciDoor：全功能的“瑞士军刀”

LuciDoor 在沉寂一段时间后，于 2026 年上演了一波“U型回归”。它的核心机制非常经典：

• 加密通信：

  建立隐蔽的 C2 信道，首先收集主机存活状态、系统架构等基础元数据，并进行加密回传。

• 命令管道：

  后门会解析 C2 服务器下发的指令响应，最粗暴也最有效的方式就是通过管道（Pipes）调用 cmd.exe 来执行任意系统命令。

• 文件级掌控：

  具备完整的 I/O 权限，可以隐蔽地写入、修改系统文件，并将受害者的敏感数据打包上传。

MarsSnake：利用 LNK 取证特征暴露的“伪装大师”

相比于 LuciDoor 依赖 Loader，MarsSnake 在针对某些区域（如中国）的攻击中，展现了极其丝滑的无 Loader 执行链。

攻击执行链重现： 受害者点击伪装成 Word 文档的 Windows 快捷方式 (*.doc.lnk) → 触发 Batch 批处理脚本 → 启动 VBS (Visual Basic Script) 脚本 → 直接在内存中拉起 MarsSnake 本体。

敲黑板，重点来了：取证分析（Forensics）的突破口在哪？

安全专家在分析这个 LNK 文件时，发现它的底层结构与开源渗透工具 FTPlnk_phishing 高度重合。怎么实锤的？靠的是 LNK 创建时间（Creation Time） 和 机器标识符（Machine ID）。在 LNK 文件的二进制结构中，会记录生成该文件的原始机器的 MAC 地址（即 Machine ID）。巧合的是，这个特征与 2022 年 Mustang Panda（野狗）组织攻击泰国时使用的 LNK 文件极其相似！这种“工具链重叠”，往往是追踪 APT 组织归属（Attribution）的铁证。

03 战术欺骗：路由器 C2 与基础设施“栽赃”

这是整个复盘中最让我惊艳的一点。UnsolicitedBooker 极度注重行动隐蔽（OPSEC）：

• 流量混淆：

  他们没有使用常规的云服务器（VPS）作为 C2，而是入侵了处于边缘地带的路由器设备，将其改造为 C2 节点。企业网络向外发起与一台普通家用/企业路由器的通信，在流量监控设备（NDR）眼中，这通常会被判定为低风险的正常背景流量。

• 地理位置伪装：

  在部分攻击中，他们刻意将基础设施（IP 网段、域名注册信息等）配置得带有浓厚的“俄罗斯特征”，试图在溯源阶段误导安全人员。

04 扩展视野：业界动态与防御启示

顺便提一嘴，近期的威胁态势确实越发复杂。比如近期活跃的 PseudoSticky，这帮人不仅故意模仿乌克兰黑客组织 Sticky Werewolf 的战术（释放 RemcosRAT 和 DarkTrack RAT），甚至开始利用大语言模型（LLMs）来自动生成攻击链代码（通过 PureCrypter 投放）。另外，像 Cloud Atlas 组织还在利用经典的 CVE-2018-0802（公式编辑器漏洞）通过远程模板加载 VBShower 恶意软件。

总结一下： UnsolicitedBooker 的进阶并不在于他们挖出了什么惊世骇俗的 0-day 漏洞，而在于他们对攻击面伪装（LNK、宏、链接）、执行链拆分（多阶加载）以及基础设施隐匿（路由器 C2、虚假归属）的极致运用。防守方如果还在单纯依赖特征码查杀，面对这种级别的对手，基本等于裸奔。我们需要更深入的端点行为分析（EDR 进程树监控）和基于异常行为的流量审计。

互动时间： 对于他们利用 LNK 文件的 Machine ID 暴露行踪这点，你认为攻击者在制作样本时应该如何抹除（Wipe）这类二进制元数据？

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《手搓 C++ 后门，黑入路由器做 C2：解构 UnsolicitedBooker 的进阶“套路”》