文章总结： APT37推出NarwhalRAT远控木马，利用仿微软OTP钓鱼邮件投递诱饵，滥用合法工具实现内存无文件加载，并以pCloud云存储作为死信站隐蔽通信，有效规避传统检测。建议企业部署内存检测型EDR，管控系统脚本权限，审计异常云盘API流量，并强化防钓鱼培训。 综合评分： 86 文章分类： 威胁情报,恶意软件,应急响应,社会工程学,安全意识

重磅预警｜APT37推出NarwhalRAT隐身远控！冒充微软OTP告警，靠pCloud云做秘密通信站

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年6月23日 11:59 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

导语 一封伪装微软账号安全的钓鱼邮件、一个看似文档的快捷方式、全程内存无文件运行、拿正规云存储当间谍中转站……老牌国家级APT37近期投放全新Python远控NarwhalRAT，全套隐身技术拉满，传统杀毒几乎全部失效，政企、科研、外贸、金融人群高危，完整攻击链路拆解+落地防御方案一次性讲清！

一、威胁主体：APT37（收割者Reaper），定向间谍专业户 APT37又称Reaper/收割者组织，长期执行定向情报窃取任务，常年紧盯政企、研究院、媒体、涉外机构，拥有一套成熟、持续迭代的钓鱼+无文件载荷体系，RoKRAT系列远控是其标志性武器，本次NarwhalRAT为全新升级变种，针对东亚用户深度定制：

1. 专门适配韩文办公环境，识别Naver Whale浏览器、KakaoTalk程序，伪装逻辑贴合本地用户习惯；
2. 复用过往成熟钓鱼模板、混淆脚本、云Dead-drop通信架构，攻击链路高度稳定；
3. 主打长期潜伏，不搞破坏，只静默窃取账号、文件、屏幕录像、USB全盘资料。

二、钓鱼诱饵：仿微软OTP安全邮件，普通人极易上当 攻击入口是高度逼真的鱼叉式钓鱼邮件，普通人很难分辨真伪： 邮件标题：【紧急】重复一次性验证码安全核查通知 发件人伪装：Microsoft Account Team，仿微软官方安全通知样式 文案套路：谎称系统检测到你的微软账号频繁触发OTP验证码，疑似他人盗号、钓鱼入侵，要求打开附件安全说明自查风险、立即修改密码

诱饵文件陷阱 邮件附件是压缩包，内含后缀.lnk恶意快捷方式，图标伪装成HWP韩文办公文档，肉眼看和正常安全告知文件一模一样。 一旦双击打开，整套多级感染链瞬间启动，全程不会弹出风险提示。

三、五步隐身攻击全链路，每一步都在规避查杀 整套攻击无落地大型exe，大量滥用系统自带合法工具（LoLBins），混淆加密层层包裹，拆解完整流程： 第1步：LNK快捷方式启动混淆CMD脚本 恶意LNK内置加密CMD命令，采用环境变量字符截取混淆，不会明文暴露PowerShell、下载指令，静态扫描无法识别恶意行为。 脚本自动调用系统自带curl.exe，绕过软件拦截，从境外韩国中继站下载两份文件：

1. 伪装HWP诱饵文档（打开后显示正常安全通知，降低用户警惕）
2. 加密混淆BAT加载脚本KHjWFcsE.bat

第2层：BAT下载官方Python，合法渠道掩盖流量 BAT脚本同样多层字符加密，执行后自动从Python官方服务器下载完整嵌入式Python安装包： 正常业务流量特征，防火墙、上网行为管理不会拦截； 解压后删除原生python.exe，把无窗口pythonw.exe改名为userscreen.exe，伪装系统界面程序。

第3层：伪装系统配置文件，释放Python字节码后门 脚本下载后缀.cat文件，对外伪装Windows安全目录文件，实际是加密Python字节码（pyc），内部多重chr()字符串反转、Base64混淆，核心C2地址、窃取功能全部隐藏，普通文本检索一无所获。

第4层：计划任务实现永久驻留，重启不死 自动创建定时任务，名称伪装「微软用户界面图片更新程序」，每分钟自动运行一次后门。 即便关机重启、删除临时文件，定时任务仍会自动加载恶意Python程序，持续维持被控通道。

第5层：内存无文件加载NarwhalRAT主木马（核心杀招） Python后门利用ctypes调用Windows底层API，在内存开辟RWX读写执行空间，解密内置PE远控程序，全程不向硬盘写入病毒本体： 无恶意文件落地，磁盘查杀完全无效； 自带虚拟机检测，在沙箱、分析环境自动休眠，规避安全厂商溯源； 创建隐藏系统文件夹%APPDATA%\naverwhale，伪装Naver浏览器目录存放窃取数据。

四、黑科技通信：双重C2，pCloud云充当间谍死信站（Dead-drop） 这是本次攻击最大突破，彻底摆脱单一服务器容易被封禁的短板，双链路容错通信：

1. 一级韩国中转服务器 黑客控制多个韩国合规网站（daehoat[.]com、novel21[.]co.kr等）作为前置中继，恶意程序先访问站点获取最新控制指令、更新配置；
2. 二级pCloud云死信C2（DDR） 核心隐蔽手段，也是防御难点： 不直接连接黑客私有机房，调用pCloud官方API上传下载数据； 命令、窃取截图、键盘记录、文件全部存放在公共云文件夹； 流量属于正常云存储访问，防火墙白名单放行，难以区分恶意行为； 就算所有中继域名被封，仅依靠云服务仍能维持远程控制，攻击韧性极强。

Dead-drop原理通俗解释 如同传统间谍「街头信箱」，病毒定期去云盘“取指令”，偷到的资料自动上传云文件夹，黑客远程登录云盘收取情报，两者无直接网络连接，溯源难度翻倍。

五、NarwhalRAT完整窃取能力，中招等于全部透明 远控内置30+远程控制指令，攻击者可按需开关功能，静默监控不弹窗、不卡顿电脑： 全量键盘记录，区分浏览器、办公软件、聊天窗口输入内容； 高清定时截屏、录制麦克风音频、调取摄像头； 自动拷贝U盘、移动硬盘内所有文档、表格、标书； 远程执行CMD/管理员权限命令，内网横向渗透； 批量上传本地机密文件、客户资料、财务报表； 远程修改C2服务器、通信密码，持续更新后门配置； AES加密本地配置文件，重启后自动恢复监控状态。

额外细节：木马会自动过滤系统、KakaoTalk无关窗口日志，只留存业务软件操作记录，减少上传流量、降低异常告警概率。

六、高危人群&单位清单，立刻自查

1. 涉外企业、外贸公司、跨境金融、跨境律所；
2. 政府事业单位、科研院所、文史情报研究机构；
3. 经常接收境外商务邮件、海外会议文件的行政/财务；
4. 使用韩文办公软件、频繁访问韩国网站的工作人员；
5. 未部署EDR、仅依赖免费杀毒的中小企业。

七、分层防御方案（企业运维+个人通用） 一、全员基础防护（第一道防线，阻断钓鱼入口）

1. 陌生微软安全、OTP验证码告警邮件一律不打开附件，官方通知只会在微软官网推送，不会发带压缩包邮件；
2. 系统开启显示文件后缀名，警惕图标是文档、实际后缀为lnk的文件；
3. 禁止随意运行压缩包内快捷方式，外部文件统一上传沙箱检测；
4. 企业邮箱开启钓鱼过滤，拦截仿微软发件人、陌生境外发信域名。

二、终端策略，针对无文件Python攻击

1. 淘汰免费杀毒，部署具备内存行为检测的EDR，监控RWX内存分配、ctypes异常调用；
2. 限制普通用户创建每分钟高频定时任务，监控伪装微软名称的计划任务；
3. 管控curl.exe、powershell执行权限，拦截无业务场景下批量下载程序行为；
4. 定期检索全盘userscreen.exe、.cat可疑文件、naverwhale隐藏文件夹，发现立即隔离；
5. 非开发办公终端，限制自动下载、解压Python安装包。

三、网络侧阻断云死信通信

1. 上网行为审计监控终端高频、无业务pCloud API访问行为；
2. 拦截报告内恶意韩国中继域名：webhostingkorea[.]com、daehoat[.]com等；
3. 内网区分办公终端与开发服务器，限制终端直连境外小众云存储；
4. 全流量日志留存，重点审计夜间、离线时段云上传流量。

四、设备疑似中毒应急处置

1. 立刻断开内外网，禁止重启电脑（内存木马断电丢失取证痕迹）；
2. 检索计划任务，删除伪装微软界面更新的定时程序；
3. 删除naverwhale隐藏目录、Public路径下伪装Python程序；
4. 全网修改邮箱、OA、财务、云盘全部账号密码，开启二次MFA验证；
5. 排查同网段所有设备，防止横向扩散窃取数据。

八、文末总结 APT37 NarwhalRAT把「仿冒钓鱼+LoLBins滥用+Python无文件载荷+云死信C2」四大隐身技术融合到极致，打破传统靠域名、病毒文件查杀的防御逻辑。 很多企业防火墙默认放行云存储流量、员工对微软官方通知信任度极高，极易被悄无声息入侵，长期泄露商业机密、内部涉密材料。

网络安全不存在侥幸，一封不起眼的钓鱼邮件，就能让数月工作成果、核心客户数据全部外泄。运维负责人尽快完成终端策略加固，全员同步钓鱼识别培训，守住第一道安全关口。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《重磅预警｜APT37推出NarwhalRAT隐身远控！冒充微软OTP告警，靠pCloud云做秘密通信站》