文章总结： 2026年6月，朝鲜KimsukyAPT组织发起精准钓鱼攻击，伪装成客户以个人信息泄露核查为由，通过5轮邮件互动建立信任，最终投递恶意LNK文件。该文件伪装成办公文档，利用PowerShell执行，通过Dropbox或自建C2窃取数据，并采用多层加密、反检测技术。建议企业加固邮件网关、监控终端行为，个人需警惕陌生附件与误报案话术。 综合评分： 88 文章分类： 恶意软件,威胁情报,社会工程学,应用安全,安全意识

步步为营！Kimsuky精准钓鱼来袭：冒充用户投诉，LNK文件暗藏窃密木马

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年6月17日 11:59 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

日常工作中收到“个人信息疑似泄露，麻烦协助核查”的客户咨询邮件？千万提高警惕！2026年6月，安全厂商ESRC曝光朝鲜Kimsuky（金淑姬）APT最新钓鱼攻击活动，攻击者伪装成普通客户，围绕“隐私泄露核查”这一高频工作场景层层套取信任，借助恶意LNK快捷文件发起入侵。整套攻击流程缜密、手段多变，专门瞄准企业信息安全岗位员工，一旦中招，设备内机密数据、企业资料会被尽数窃取。

一、团伙背景：老牌情报窃贼，专攻定向钓鱼

Kimsuky是东北亚地区活跃度极高的国家级APT组织，深耕网络窃密多年，核心目标直指政企机构、科研单位、各类企业，尤其擅长鱼叉式钓鱼攻击。该团伙深谙职场沟通逻辑，擅长结合目标岗位的日常工作场景制作诱饵，搭配多阶段恶意载荷、主流云服务伪装通信链路，攻击隐蔽性极强。

本次攻击并非广撒网的普通垃圾邮件，而是一对一精准定向攻击。攻击者会和目标人员多轮邮件往来建立信任，就算初始恶意链接被安全工具拦截，也会更换投递方式继续推进，作战思路十分狡猾。

二、全流程拆解：5轮邮件拉锯，一步步引你入套

本次攻击最大的特点就是“仿真度拉满”，完全复刻真实客户咨询场景，很难第一时间分辨真伪，完整攻击链路分为5个阶段：

1. 首轮搭讪：抛出隐私泄露诉求

攻击者伪装成平台客户，向企业安全工作人员发送邮件，声称自己和亲友的个人信息疑似发生泄露，正式请求企业协助核查信息，直击安全岗员工的核心工作职责，降低对方戒备心。

2. 正常对接：顺势索要线索

企业工作人员按照常规工作流程回复，要求对方提供相关线索、疑似泄露的信息清单，整个沟通和日常客户对接毫无区别。

3. 投放诱饵：发送资料下载链接

攻击者以“核对用资料”为由，附上文件下载链接，引导对方点击下载所谓的“客户资料文档”。

4. 受阻改口：谎称安全软件误报

当企业终端安全设备拦截恶意链接后，攻击者并未放弃，反而辩解称链接被查杀是安全软件误检测，打消目标的疑虑。

5. 二次投递：加密压缩包换形式出击

为绕过链接拦截规则，攻击者将恶意文件打包进加密ZIP压缩包重新发送，诱导收件人解压、打开内部文件，至此入侵正式启动。

整套流程环环相扣，利用“工作刚需”和“心理惯性”突破防线，哪怕是专业安全人员也容易放松警惕。

三、恶意载体解析：LNK文件成入侵入口

加密压缩包内部的核心陷阱是伪装成办公文档的LNK快捷文件，文件名包含“客户现状”等韩文标识，搭配XLSX、PDF样式的诱饵界面，双击后表面会正常弹出办公文档，让用户误以为只是普通资料。

但在后台，恶意代码已经悄然运行：攻击者利用代码技巧，强制调用32位PowerShell程序，同时通过命令动态检索程序路径，规避静态查杀。LNK文件内部采用分段存储模式，诱饵文档与恶意载荷分区存放，部分载荷还使用XOR加密处理，进一步提升分析和拦截难度。

根据载荷与通信方式的差异，本次攻击样本分为两大技术体系，两套方案并行运作，应对不同网络防护环境：

类型A：依托Dropbox作为隐形指挥通道

该类样本共计2款，入侵后会在系统中创建带“隐藏+系统”属性的私密文件夹，拆分存放JS加载器、加密载荷。

1. 解密执行：加载器依次完成Base64解码、RC4解密，释放并运行最终PowerShell脚本；

2. 持久化驻留：创建计划任务，伪装成“网卡驱动程序”，每16分钟自动唤醒恶意程序，普通运维很难分辨；

3. 数据窃取与回传：恶意程序遍历终端信息，包括公网IP、系统版本、进程列表、账号信息等，通过Dropbox API对外传输。

4. 进阶反侦察：其中一款样本增加沙箱/虚拟机检测能力，一旦识别出分析环境，会主动删除载荷、销毁痕迹；若云服务认证失败，也会自动清除文件，做到“不留痕迹”。

类型B：自建HTTPS服务，循环执行指令

该类样本以自建C2服务器为通信节点，规避云服务相关拦截策略：

1. 持久化方式：在系统启动目录植入伪装成“安全软件自动更新”的VBS脚本，电脑开机即触发；

2. 加密解码：内置自定义凯撒密码解码器，破解加密命令字符串，规避特征检测；

3. 循环控机：解码后的指令会从攻击者服务器下载新的批处理文件，每14分钟循环执行，攻击者可随时远程更新指令，灵活调整窃密、破坏行为。

四、核心攻击特征总结

结合三款恶意样本与攻击链路，能总结出Kimsuky本次行动的典型特征，也是后续排查的重点：

1. 社会工程学极致运用：紧扣“个人信息泄露核查”这一职场高频场景，多轮邮件互动建立信任，受阻后灵活更换投递方式；

2. 载体高度伪装：LNK文件冒充常规办公文档，系统任务、脚本名称模仿正规程序，视觉和常规排查难以识别；

3. 双C2架构灵活切换：同时启用公共云服务（Dropbox）与自建HTTPS服务器，一种通道被拦截后可快速切换；

4. 多层加密与反检测：XOR、凯撒密码、RC4等多种加密方式混用，搭配虚拟机沙箱检测、自动毁迹功能，对抗主流安全设备；

5. 目标指向明确：诱饵、标识均针对韩文使用地区企业，重点瞄准信息安全、客户服务等岗位人员。

五、个人&企业全方位防御方案

🔹 个人/职场员工防护（全员必学）

1. 严控陌生附件与链接：即便对方是沟通中的“客户”，也不要轻易点击陌生下载链接；链接被安全软件拦截后，绝对不要按照对方说辞强行解压、打开加密压缩包，这是高危信号。

2. 显示文件后缀名：Windows系统默认隐藏文件后缀，建议手动关闭该功能，看清文件格式，遇到后缀为.lnk、却伪装成PDF/Excel的文件，直接删除。

3. 警惕“误报”话术：任何外部人员以“安全软件误报”为由，要求你放行可疑文件、链接，一律拒绝，并走内部核验流程。

🔹 企业级防御（安全运维重点）

1. 邮件网关加固：针对加密ZIP压缩包、LNK附件、陌生外部链接加强拦截规则，重点筛查带有韩文命名的可疑文件。

2. 终端行为监控：监控隐藏目录创建、PowerShell异常调用、定时任务新增等行为，重点排查伪装成网卡驱动、安全更新的计划任务与脚本。

3. 流量审计：关注终端异常外联行为，尤其是非常规间隔、批量上传数据至境外云服务、陌生HTTPS站点的流量。

4. 全员安全培训：针对客服、信息安全、行政等高频对接外部人员的岗位，开展专项钓鱼演练，科普此类“客户投诉式”钓鱼套路。

六、最后总结

如今APT攻击早已不再是简单的病毒投放，而是“攻心+技术”双重结合的综合战术。Kimsuky本次攻击利用职场常规沟通场景做掩护，搭配多变的载荷、灵活的通信方式，把“伪装”和“迂回”发挥到了极致。

对于企业而言，邮件入口、员工安全意识永远是网络防御的第一道防线；对于职场人来说，面对看似常规的工作诉求，多一分核验、少一分盲从，就能避开绝大多数定向钓鱼陷阱。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《步步为营！Kimsuky精准钓鱼来袭：冒充用户投诉，LNK文件暗藏窃密木马》