文章总结： 360威胁情报中心检测到APT-C-48(CNC)组织近期以招聘简历为诱饵的定向钓鱼攻击。攻击者通过邮件投递伪装成PDF的双后缀EXE文件，用户点击后经多层加密URL下载VBS脚本及诱饵文档，最终下载使用OpenSSL加密通信的远控木马，实现文件窃取与命令执行。报告详细分析了攻击链、载荷解密过程及C2通信机制，并基于攻击手法、载荷特征与历史活动关联性进行归属研判，同时提供了相关IOC。 综合评分： 95 文章分类： 恶意软件,威胁情报,漏洞分析,应急响应,渗透测试

APT-C-48（CNC）组织近期钓鱼攻击活动分析报告

原创

高级威胁研究院 高级威胁研究院

360威胁情报中心

2026年6月17日 17:30 北京

在小说阅读器读本章

去阅读

**APT-C-48

CNC

APT-C-48（CNC）是一个拥有南亚地区政府背景的APT组织，该组织主要攻击目标为政府、军工、教育、科研、医疗、媒体等行业。

近期，360安全大脑检测到该组织的多起定向钓鱼攻击活动，攻击者沿用经典社工手段，将恶意载荷伪装成个人简历诱导用户中招，本文将对其攻击链路展开详细分析。**

01

攻击活动分析

1. 攻击流程分析

通过钓鱼邮件下发恶意附件压缩包，该压缩包中内嵌了恶意的可执行文件，该可执行文件通过双后缀的形式伪装成PDF文档，文件名称则伪装成个人简历，旨在降低用户防备心理诱导用户双击打开该文件。接着通过连接服务器下载诱饵文档以及VBS脚本，通过脚本下载核心载荷并运行以达到远控受害者主机的目的。

2. 恶意载荷分析

2.1 初始投递样本（RAR + 伪装 EXE）

捕获的恶意样本如下所示：

| | | | — | — | | MD5 | 18be51caa43a4944b39fb73442d61909 | | 文件名称 | %userprofile%\downloads\个人简历_xx亮.rar | | 文件类型 | 压缩包 | | MD5 | 972cc460d4646566cfcbeb3da4e567e9 | | 文件名称 | 个人简历_xx亮\个人简历_xx亮.pdf .exe | | 文件类型 | 可执行文件 |

当用户运行可执行文件后首先关闭控制台窗口，接着获取用户名信息，下阶段的URL则以加密的形式存放在代码中，解密过程为反转字符串+base64解码+异或+base64解码，密钥：6C 34 37 64 6A 41 73 30 62 23 6E 29 31 76 36 4C。

通过同样方式解密出多个 URL 后，样本连接服务器下载下一阶段脚本与诱饵文档：

| | | | — | — | | URL | 本地文件 | | https[:]//efb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//gdfedjhcuef.vbs | C:\Users\xxxx\AppData\Local\Temp\RuntimeBroke.vbs | | https[:]//mnb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//res89ubashm23e.pdf | C:\Users\xxxx\Desktop\个人简历_xx亮.pdf |

最后通过CreateProcess函数打开诱饵文档，旨在迷惑用户，接着运行刚刚下载的VBS脚本文件（MD5：

AA7FAF33E849513DC3BBD1C5A8F4CA48）。其中的诱饵文档则是伪造了个人简历。

      该脚本的主要功能则是连接服务器下载最终的远控木马，URL地址为https[:]//klp.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//hfjfhruiefh.exe,首先将文件下载到临时目录下,接着检查文件是否下载成功，成功则将文件拷贝到C:\Users\Public\Pictures\SearchIndex.exe。

3. 攻击组件分析

| | | | — | — | | MD5 | 8D600D1CF269F21EE5BC78B5E0C6ECFE | | 文件名称 | Search1ndexer.exe | | 文件类型 | exe | | 文件大小 | 4.24MB |

该样本文件大小为 4.24 MB，其中绝大部分体积来源于静态链接的 OpenSSL（经 vcpkg x64-windows-static-rel 配置构建），用于实现加密通信。

C2 地址通过异或加密，解密后为：185.243.112[.]142

创建Socket 并尝试连接 C2 服务器 185.243.112[.]142:443。连接成功后，将原始 Socket 绑定到 SSL 对象，最后完成 TLS 握手，握手成功后即可实现加密通信。接着发送上线包，上线包内容为”gem01ini”。样本创建 Socket 并尝试连接 185.243.112[.]142:443。

接着读取服务器发送的指令，指令为”download“则会将本地的文件上传至服务器，服务器会下发文件路径，文件打开成功则向服务器返回1，否则返回0。

如果指令不是”download“则会调用CMD执行下发的指令。

02

归属研判

综合多条证据链，研判该活动与 APT-C-48（CNC）组织高度相关：

1.此次攻击活动依旧采用”招聘”、”简历”为话题作为诱饵文档进行投递，在以往的攻击活动中已经屡见不鲜，也是该组织的惯用方式。

2.以往某次攻击活动中，初始负载为下载器，通过连接服务器下载诱饵文档以及后续载荷，与本次分析样本一致。

3.核心载荷与以往分析的样本代码序列以及功能保持一致，同样使用Openssl进行加密流量传输。

再结合其攻击目标行业领域等信息，确认此次攻击活动由 APT-C-48（CNC）组织发起。

附录 IOC

MD5

18be51caa43a4944b39fb73442d61909

972cc460d4646566cfcbeb3da4e567e9

8D600D1CF269F21EE5BC78B5E0C6ECFE

AA7FAF33E849513DC3BBD1C5A8F4CA48

C2 & URL

efb.recume[.]ink

mnb.recume[.]ink

185.243.112.142:443

https[:]//efb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//gdfedjhcuef.vbs

https[:]//mnb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//res89ubashm23e.pdf

https[:]//klp.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//hfjfhruiefh.exe

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360威胁情报中心 高级威胁研究院 高级威胁研究院《APT-C-48（CNC）组织近期钓鱼攻击活动分析报告》