文章总结： UNG0002黑客组织针对国内高校发起代号OperationDragonWhistle的鱼叉式钓鱼攻击，利用体测制度制作高可信度诱饵邮件，通过多层隐蔽技术植入CobaltStrike远控木马。攻击采用合法工具滥用、内存无文件加载等高级规避技术，传统防御手段难以检测。建议高校加强师生安全意识培训，重点防范行政通知类钓鱼风险。 综合评分： 85 文章分类： 威胁情报,恶意软件,安全意识,APT,社会工程学

黑客组织UNG0002针对国内大学发起鱼叉式钓鱼攻击活动分析

原创

BaizeSec BaizeSec

白泽安全实验室

2026年5月22日 09:00 北京

在小说阅读器读本章

去阅读

一、背景概述

近日，网络安全厂商Seqrite Labs发布安全分析报告，披露黑客组织UNG0002发起的代号为“Operation Dragon Whistle”的定向网络攻击活动。该组织以国内高校为核心攻击目标，依托国内高校普遍落地执行的《国家学生体质健康标准》测试制度，结合高场景贴合度的社会工程学手段，开展高度定向的鱼叉式钓鱼攻击。攻击者通过滥用合规软件、多层隐蔽文件投递、内存驻留载荷加载等成熟攻击技术，最终植入Cobalt Strike远程控制木马并建立指挥控制通道，充分体现出该组织针对国内教育学术领域的精准侦察能力与完备的APT攻击技术体系。

本次攻击活动的发起方为UNG0002组织，其本次攻击活动的战术、技术与流程（TTPs）与此前曝光的“Operation Cobalt Whisper”高度吻合，可中高置信度判定为同一组织的持续性攻击行为。本次攻击核心瞄准国内高校领域，主要覆盖高校及下属体育院系、教务管理部门、涉学术类政府机构，同时将需参与体测的在校本科生纳入攻击范围。本次攻击活动以某高校2026年度学生体质健康测试为核心诱饵场景，由于体测成绩直接关联学生毕业资格，成绩不达标将按肄业相关规定处理，该强约束性校园制度为攻击者提供了高可信度的诱导条件，极大提升了受害者点击、执行恶意文件的概率。

图 1 UNG0002组织攻击示意图

二、攻击过程技术分析

从攻击技术链路来看，完整入侵流程可划分为初始投递、多层执行、防御规避、载荷落地四个核心阶段。在初始访问环节，攻击者使用网易163免费邮箱发送钓鱼邮件，以此规避企业级邮件安全设备对陌生外部域名的拦截筛查机制。钓鱼邮件伪装为该高校体育学院官方通知，附件为命名为“**大学2026年《国家学生体质健康标准》测试通知最终版.zip”的压缩包文件。压缩包内诱饵内容包含真实教职工姓名、联系电话、官方公章及校内QQ工作群号，细节高度贴合高校行政办公场景与工作规范，且相关公开信息可通过官方渠道核验，极大消解了师生的安全警惕性。

在载荷执行阶段，攻击者采用多层隐蔽机制规避终端安全检测。压缩包内核心恶意载体为伪装成PDF文档的双扩展名LNK快捷方式文件，并搭配四层模拟macOS元数据目录命名规则的嵌套文件夹，将恶意载荷深度隐藏，规避自动化安全扫描工具检测。受害者点击伪装后的LNK文件后，会调用系统合法进程explorer.exe执行深层目录下的chromedo.vbs脚本，以此规避终端检测与响应（EDR）工具对wscript.exe、cscript.exe等常规脚本进程的专项拦截。该VBS脚本仅1KB，内置双重执行逻辑：运行后会优先打开真实的体测通知PDF文档迷惑受害者，同时延迟800毫秒在后台静默调用正规压缩软件Bandizip.exe，全程无弹窗、无进程可视化闪现，有效规避用户主观警觉。

防御规避环节中，攻击者整合运用多种高级反分析、反检测技术。其一，采用DLL侧加载技术，将恶意ark.x64.dll文件与正版Bandizip.exe程序放置于同一隐藏目录，利用Windows系统DLL搜索优先级特性，通过合法可信进程加载恶意DLL文件，实现恶意代码的进程伪装与合法运行。其二，恶意DLL内置多重反调试、反沙箱机制，可调用GetTickCount、CheckRemoteDebuggerPresent等系统接口检测调试环境。同时枚举系统进程列表，排查Wireshark、Process Monitor等逆向分析、流量监控工具，一旦识别出仿真分析、人工调试环境，便主动终止运行，规避动态分析。其三，采用内存字符串动态混淆、实时解密技术，对进程名称、核心API接口等关键特征信息进行加密处理，防止静态分析工具直接提取恶意特征，进一步规避特征库比对检测。

载荷落地阶段全程采用无磁盘驻留的内存加载技术，隐蔽性极强。恶意DLL完成环境安全校验、确认无监控调试环境后，自动解密自解压（SFX）载荷并直接加载至系统内存，全程无任何恶意文件落地写入本地磁盘。载荷运行过程中，主动绕过Windows反恶意软件扫描接口（AMSI）、Windows事件追踪（ETW）等系统安全机制，阻断系统日志记录与实时安全扫描，规避杀毒软件、终端安全检测工具的监控审计。最终解密并加载Cobalt Strike Beacon远控木马，建立稳定的命令与控制（C2）通信通道，实现对受害主机的全程远程操控。由于所有恶意行为均在内存中完成，无落地痕迹，大幅提升了安全取证与溯源追责的难度。

从攻击基础设施特征分析，UNG0002组织呈现出基础设施高频轮换、本地化部署的典型特点。本次攻击持续沿用Bandizip作为合法工具滥用（LotL）的攻击载体，结合多渠道同类恶意样本关联分析，可溯源关联出20余个同源恶意文件。本次攻击所用指挥控制服务器部署于阿里云（AS37963），IP地址为60.205.**.**，关联域名lysan**.asia，该基础设施自2026年4月6日起持续处于活跃状态。

三、事件影响

安全研究人员指出，“Operation Dragon Whistle”是UNG0002组织首次将攻击边界明确拓展至国内普通高校师生群体。本次攻击核心特征可总结为：制度伪装权威性强、恶意执行链路隐蔽、防御规避技术成熟。该类攻击依托真实校园刚性制度构建高可信度诱饵，结合合法工具滥用、内存无文件攻击等前沿隐蔽技术，传统单一的特征码检测、邮件过滤机制无法实现有效防御。本次攻击活动也为国内高校网络安全防护敲响警钟，高校需常态化开展师生网络安全意识培训，重点强化校园行政通知、毕业资质审核、学业考核等高频场景的反诈防钓鱼教育，引导师生摒弃对官方制度、校园通知的固有信任心理，规避被定向钓鱼攻击裹挟的安全风险。

参考链接：

https://www.seqrite.com/blog/operation-dragon-whistle-ung002-targets-chinese-academia-via-weaponized-institutional-lure/

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《黑客组织UNG0002针对国内大学发起鱼叉式钓鱼攻击活动分析》