文章总结： APT37组织发起RubyJumper行动，利用新型恶意软件工具集突破物理隔离网络。攻击通过LNK文件启动，部署RESTLEAF等组件，利用USB设备作为双向C2中继实现跨网数据窃取与指令下发。该工具集包含THUMBSBD后门及FOOTWINE间谍软件，具备键盘记录与横向扩散能力，严重威胁物理隔离环境安全。 综合评分： 85 文章分类： 威胁情报,恶意软件,内网渗透

【安全圈】APT37 黑客组织利用新型恶意软件实现跨网攻击

安全圈

2026年3月6日 19:02 江苏

关键词

黑客

黑客组织正在使用一批新曝光的恶意工具，在联网设备与物理隔离系统之间传输数据，通过可移动存储设备横向扩散，并实施隐秘监控。

这场恶意攻击活动被命名为 Ruby Jumper，系黑客组织 APT37（又称 ScarCruft、Ricochet Chollima、InkySquid）所主导。

物理隔离通过在硬件层面移除所有联网模块（Wi Fi、蓝牙、以太网）实现；逻辑隔离则依托 VLAN、防火墙等软件定义策略。在关键基础设施、军事及科研领域常见的物理隔离环境中，数据传输主要依靠可移动存储设备完成。

研究人员对 APT37 Ruby Jumper 活动中使用的恶意软件进行分析，识别出五款恶意工具构成的工具集：RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK、FOOTWINE。

突破物理隔离

攻击链始于受害者打开恶意 Windows 快捷方式文件（LNK），该文件释放 PowerShell 脚本，提取内嵌在 LNK 中的载荷；为转移注意力，脚本还会同时打开一个诱饵文档。研究人员未明确具体受害者，但指出该诱饵文档是朝鲜某报纸一篇关于巴以冲突文章的阿拉伯语译本。

该 PowerShell 脚本加载首个恶意组件 RESTLEAF，这是一款通过 Zoho WorkDrive 与 APT37 命令与控制（C2）基础设施通信的远控木马。

研究人员从 C2 服务器获取加密 Shellcode，以下载下一阶段载荷——基于 Ruby 语言的加载器 SNAKEDROPPER。

攻击继续进行：攻击者安装 Ruby 3.3.0 运行环境（包含解释器、标准库与 Gem 组件），并将其伪装成名为 usbspeed.exe 的合法 USB 相关工具。

SNAKEDROPPER 通过替换 RubyGems 默认文件 operating_system.rb 为恶意修改版本，实现随 Ruby 解释器启动自动加载，并通过名为 rubyupdatecheck 的计划任务每 5 分钟执行一次。随后，攻击者下载 Ruby 文件 ascii.rb 形式的 THUMBSBD 后门，以及 bundler_index_client.rb 文件形式的 VIRUSTASK 恶意程序。

THUMBSBD 的主要功能是收集系统信息、存储指令文件、准备数据外发；其核心作用是在检测到的 USB 驱动器中创建隐藏目录，并向其中复制文件。

研究人员称，该恶意软件可将可移动存储设备变为双向隐秘命令与控制中继，使威胁组织能够向物理隔离设备下发指令，并从中窃取数据。

ThumbSBD 执行流程

研究人员指出：” 通过将可移动介质作为中间传输层，该恶意软件实现了对物理隔离网段的跨网渗透。”

VIRUSTASK 的作用是将感染扩散到新的物理隔离设备：它会对可移动驱动器进行武器化处理，隐藏合法文件并替换为恶意快捷方式，一旦打开便执行内嵌的 Ruby 解释器。

该模块仅在插入的可移动设备剩余空间不小于 2GB 时才会触发感染流程。

Ruby Jumper 攻击链概述

报告称，THUMBSBD 还会投递 FOOTWINE ——一款伪装成 Android 安装包（APK）的 Windows 间谍后门，支持键盘记录、屏幕截图、音视频录制、文件操作、注册表访问及远程 Shell 执行。

研究人员在 APT37 Ruby Jumper 活动中还观察到另一款恶意软件 BLUELIGHT，这是此前已与该朝鲜黑客组织关联的完整功能后门。

基于多项指标，可高度确信 Ruby Jumper 活动归属于 APT37，包括使用 BLUELIGHT 恶意软件、以 LNK 文件为初始入口、两阶段 Shellcode 投递方式，以及该组织惯用的 C2 基础设施特征。

研究人员同时指出，诱饵文档表明 Ruby Jumper 活动的目标对象关注朝鲜官方宣传叙事，与该威胁组织的典型受害者画像高度吻合。

END

阅读推荐

【安全圈】官方提醒：警惕发票陷阱！境外黑客借邮箱植入木马

【安全圈】Telegram日益成为访问权限、恶意软件和窃取日志的交易平台

【安全圈】汽车胎压传感器或成隐私泄露隐患，可悄无声息追踪车主行程

【安全圈】思科修复最高危 Secure FMC 漏洞

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】APT37 黑客组织利用新型恶意软件实现跨网攻击》