文章总结： 2026年3月12日，研究人员捕获针对军工与核潜艇领域的APT攻击样本，攻击者使用含军事主题诱饵的ZIP包，通过木马化SumatraPDF阅读器触发多阶段攻击链，并将开源红队框架AdaptixC2纳入武器库，创新性地利用GitHubIssues作为C2通道进行指令分发与结果回传，同时保留Toshis加载器作为身份锚点，目标指向中文军事/地缘研究相关个体或机构。 综合评分： 85 文章分类： 恶意软件,威胁情报,漏洞分析,渗透测试,红队

瞄准军工与核潜艇的 APT 攻击

原创

独眼情报 独眼情报

独眼情报

2026年4月23日 13:19 湖北

在小说阅读器读本章

去阅读

长话短说

研究人员在 2026 年 3 月 12 日捕获一个以军工与核潜艇议题为诱饵的 ZIP 攻击样本。本轮活动最关键的变化是:该组织把开源红队框架 AdaptixC2 纳入武器库,并在其基础上自研了一个把 GitHub Issues 当作 C2 通道 的定制 Beacon Listener——每个上线 agent 对应仓库里的一个 issue,任务下发和结果回传都走 GitHub API,10 秒内删除 beacon 以销毁会话密钥。

研判:这是该组织在 Trend Micro TAOTH 报告(2025 年 8 月)曝光后的可见换装,从 Cobalt Strike / Mythic Merlin 主力切到 AdaptixC2,同时保留 TOSHIS 加载器和 EntryShell 后门作为身份锚点。被诱饵内容(军工建设方案、AUKUS 核潜艇比较分析)指向的目标人群,研判集中在中文使用者当中与军事/地缘研究相关的个体或机构。最大不确定在于:攻击的实际命中率、受害规模以及是否已从侦察阶段进入到高价值情报窃取阶段,目前没有任何公开披露的数字可以支撑。

事件概述

2026 年 3 月 12 日,研究人员发现一个包含军事主题文档诱饵的恶意 ZIP 压缩包,目标指向中文使用者,分析表明其利用一个被植入木马的 SumatraPDF 阅读器触发多阶段攻击链,最终部署 AdaptixC2 Beacon agent,并滥用 Visual Studio Code 的 tunnel 功能实现远程访问。。

这次披露不是一次”新组织”的亮相,而是老牌 APT 的工具栈迭代。关注点应集中在两个层面:武器替换的意图(为什么从 Cobalt Strike 切到 AdaptixC2),以及 C2 基础设施的伪装化趋势(为什么把 GitHub Issues 当作指令分发通道)。

图 1:攻击链全貌

ZIP 诱饵包的选题设计

ZIP 压缩包内含多份文件,文件名涵盖”CECC 昆山元宇宙产业基地建设方案”、”中国声学智能产业声创中心建设和运营方案”、”武器装备体系结构贡献度评估”、”武器装备体系能力贡献度的解析与度量方法”、”江苏自主智能无人系统产业基地建设方案”,以及唯一的可执行文件”美英与美澳核潜艇合作的比较分析(2025).exe”。

这组选题相当精巧。研判:几份 .docx/.pdf 看似关于民用科技园区,实际共同指向军民融合产业链(声学、无人系统、武器装备评估),诱饵用户画像瞄准的是同时关心军工科研走向与 AUKUS(澳英美三边安全伙伴关系)核潜艇议题的人群——这是一类在日韩、英语学界都存在的高价值智库/军事研究/情报分析群体。依据是:文件命名涉及的领域交集极小,能同时对这些主题敏感的读者本身就稀缺。

大多数附带文档是较早版本,唯一较新的”美英与美澳核潜艇合作的比较分析(2025).exe”实际是被 TOSHIS loader 植入木马的 SumatraPDF 二进制;执行时会下载并显示一份正常的诱饵 PDF 给受害者查看,同时在后台静默下载并运行 AdaptixC2 Beacon agent。

图 2:攻击者展示给受害者的 AUKUS 诱饵 PDF

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 独眼情报 独眼情报《瞄准军工与核潜艇的 APT 攻击》