文章总结： 朝鲜APT组织Kimsuky于2026年6月针对韩国统一部发起钓鱼攻击，使用伪装PDF的LNK文件诱饵，通过多阶段PowerShell脚本从GitHub下载恶意载荷并建立任务计划持久化。攻击采用针对韩文的混淆技术，核心战术为社会工程学结合云端资源滥用。应对措施包括禁用可疑LNK文件、检查任务计划、部署端点防护及加强安全意识教育。 综合评分： 82 文章分类： 威胁情报,恶意软件,社会工程学,安全意识,漏洞预警

朝鲜APT组织Kimsuky最新攻击案例分析：伪装 PDF.LNK 钓鱼案例

原创

助力行业的 助力行业的

李白你好

2026年6月10日 07:30 青海

在小说阅读器读本章

去阅读

引言

与朝鲜有关的黑客组织 Kimsuky 长期以来一直以韩国政府机构、研究机构、媒体以及安保相关人士为主要攻击目标，持续开展鱼叉式钓鱼和社会工程学攻击。2026 年 6 月初确认的本次攻击活动针对统一部内部相关人员，使用 (대외보안)통일부_중동상황관련_정책간담회_기획안.pdf.lnk 文件作为诱饵。

此次攻击并非简单的文件执行，而是由多阶段 PowerShell 下载器、利用 GitHub 传递二次载荷以及确保持久化（Persistence）等系统化流程构成。

攻击IOCs与钓鱼文件

• 文件名：(대외보안)통일부_중동상황관련_정책간담회_기획안.pdf.lnk

• 文件大小：约 1MB

• 哈希值：

• MD5: 232affa807a618e98959d858f064a434

• SHA-1: 76314081b9bf6660fda31bc08fa2237d43db3600

• SHA-256: e291ee630a58c405f86ca83d9364bfc3dbf13aecff9000cca4f2602158dac845

诱饵文件以 统一部政府首尔厅舍 于 2026 年 5 月 26 日举行的非公开政策恳谈会为主题。内容将中东局势与韩半岛和平共存政策相结合进行讨论，并使用申范哲世宗研究所首席研究员、河茂珍统一部政治军事分析课长等真实人物姓名来提升可信度。

文件可疑之处：

• 日期不一致（2026.05.26 与 2026.02.26）
• 星期与日期不匹配
• 要求参会者提供居民登记号、银行账号、家庭住址等过度个人信息收集项目

用户双击 .lnk 文件后，恶意代码会从 GitHub Raw 下载真实 PDF（povjrg.pdf）并保存到 TEMP 文件夹中打开，让用户误以为“文件正常打开”。与此同时，恶意行为在后台悄然进行。

恶意代码分析

1. 混淆技术

PowerShell 脚本采用 基于重复密钥的条件减法 方式进行混淆。

• 密钥字符串：KKswf&3H&
• 偏移量：+103
• 特点：当编码字节大于密钥值时直接通过（防止韩文 UTF-8 字节损坏）

该技术明显考虑了韩文文件名，属于针对性设计。

2. 执行流程

1. 第一阶段（dfvkuriguse.ps1 等）： 从 GitHub 下载 povjrg.pdf 并打开真实 PDF 在 %APPDATA% 下创建 opifgrg.ps1（二次下载器）
2. 持久化机制： 在 Windows 任务计划程序中注册计划任务

• 任务名称：MicrosoftEdgeUpdateTaskMachineforce678{F60293632-35R-4A2F-96A8-03C3ECD693f5}（伪装成 Edge 更新）
• 触发器：首次运行 5 分钟后，之后 每 35 分钟 重复执行

1. 二次载荷： 从 GitHub Raw 下载 SqpbvjgrS.txt（真实 PowerShell 脚本），保存为 %APPDATA%\qpjvKUHSvgf.ps1 后执行

IOCs

文件路径：

• %TEMP%\ (대외보안)통일부_중동상황관련_정책간담회_기획안.pdf
• %APPDATA%\dfvkuriguse.ps1
• %APPDATA%\opifgrg.ps1
• %APPDATA%\qpjvKUHSvgf.ps1

C2 / 下载地址：

• https://raw.githubusercontent.com/anti-box/jang/main/povjrg.pdf
• https://raw.githubusercontent.com/anti-box/jang/main/SqpbvjgrS.txt

任务计划程序：

• MicrosoftEdgeUpdateTaskMachineforce…（包含特定 GUID）

应对措施

1. 禁止随意执行可疑 .lnk 文件 —— 尤其是政府或安保相关文件，必须严格验证来源。
2. 检查任务计划程序：打开 taskschd.msc，删除伪装成 Edge 更新的可疑任务。
3. 使用端点检测解决方案（如 ESET 等，已有 LNK/Kimsuky 相关检测规则）。
4. 加强 GitHub Raw 域名阻断或监控。
5. 安全意识教育：养成检查日期/星期不一致、过度索要个人信息等习惯。

结论

Kimsuky仍在持续使用 社会工程学 + PowerShell 下载器 + GitHub 利用 + 伪装持久化 这一经典且有效的战术组合。本次针对统一部及安保相关人士的攻击，清晰地体现了朝鲜的情报收集目的（政策动向、人际网络掌握）。

安全人员和普通用户都应摒弃“文件能打开 = 安全”的错误认知，务必开启文件扩展名显示并严格验证文件来源。

参考资料： https://wezard4u.tistory.com/429794

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：李白你好 助力行业的 助力行业的《朝鲜APT组织Kimsuky最新攻击案例分析：伪装 PDF.LNK 钓鱼案例》