2025 年 8 月初，一场此前未被发现的恶意软件攻击活动开始通过电子邮件附件和网络下载传播，目标覆盖哥伦比亚及其他地区的用户。 攻击者利用两种不同的矢量文件格式 ——Adobe Flash（SWF 格式）和可缩放矢量图形（SVG 格式），设计了多阶段攻击流程，成功规避了传统杀毒软件的检测。 最初，一个名为Sequester.swf、看似无害的 SWF 文件仅触发了少数几款杀毒引擎的警报，这一异常现象引发了研究人员更深入的调查。 几天内，一款配套的 SVG 文件随之出现，该文件嵌入了复杂的 JavaScript 攻击载荷，伪装成哥伦比亚国家总检察院（Fiscalía General de la Nación）的官方门户网站。

这种在旧格式与现代格式之间的无缝切换，让许多安全团队措手不及。

其中，SWF 组件伪装成一款合法的 3D 拼图游戏，包含用于渲染、路径搜索和加密程序的 ActionScript 模块。尽管杀毒引擎识别出该文件中存在混淆处理的类和 AES 加密程序，但未能分辨出这些代码实际用于合法的游戏机制，而非恶意行为。

（恶意文件（来源：VirusTotal））

与此同时，SVG 变种文件中包含内嵌的 JavaScript 代码，该代码会解码一个 Base64 编码的钓鱼页面，并在后台悄悄释放一个包含额外攻击载荷的 ZIP 压缩包。

这两种攻击载体的结合，形成了一种多维度威胁，竟能轻易突破检测屏障，令人警惕。

VirusTotal 的分析师表示，在其 “代码洞察（Code Insight）” 功能中新增对 SWF 和 SVG 文件的分析支持后，仅在首批样本提交后的几小时内，就发现了数十个相关样本。

研究人员通过搜索攻击者留下的西班牙语注释（如字符串"POLIFORMISMO_MASIVO_SEGURO"和"Funciones dummy MASIVAS"），识别出一场连贯的攻击活动，涉及 40 多个独特的 SVG 文件 —— 这些文件在标准杀毒扫描中均未触发警报。

这些特征标记的早期发现，使得研究人员能够快速创建检测特征码并开展回溯搜索，在对过去一年提交的样本进行检索时，共匹配到 500 多个相关结果。

该攻击活动的核心在于其规避检测的策略：攻击者分发体积庞大、经过混淆处理的 SWF 文件，将游戏代码与加密程序混在一起，以此突破启发式检测阈值；与此同时，SVG 文件则在 CDATA 段中嵌入加密的 JavaScript 代码，规避简单的模式匹配检测。

（此 SVG 文件在渲染时会执行内嵌的 JavaScript 攻击载荷（来源：VirusTotal））

当 SVG 文件在浏览器中渲染时，其中的脚本会解码并注入一个 HTML 钓鱼界面，界面中包含进度条和外观逼真的表单，模仿官方政府通信样式以诱导用户操作。

检测规避技术

这场攻击活动之所以能成功，核心在于其层层叠加的混淆处理和多态性技术。每个 SWF 样本都通过变量重命名、插入无用代码和自定义打包程序，来对抗静态分析。

以下代码片段展示了 SVG 攻击载荷如何将核心逻辑隐藏在嵌套的 Base64 字符串中： javascript 运行

// POLIFORMISMO_MASIVO_SEGURO: 2025-09-01T16:39:16.808557
var payload = atob("UE...VUM+Cg=="); // 注：Base64编码内容已部分省略
document.write(payload);

与此同时，VirusTotal 研究人员编写的 YARA 规则（一种恶意软件检测规则）则针对这些固定的西班牙语注释： yara

rule svg_colombian_campaign {
    strings:
        $c1 = "Funciones dummy MASIVAS"  // 字符串1：“大量虚拟函数”
        $c2 = "POLIFORMISMO_MASIVO_SEGURO"  // 字符串2：“安全大规模多态性”
    condition:
        uint16(0) == 0x3C3F and any of ($c*)  // 条件：文件头部为XML声明（<?），且包含任一上述字符串
}

该规则在对过去一年的样本进行回溯检测时，共识别出 523 个相关样本。

攻击者通过结合启发式检测绕过、加密攻击载荷和刻意的误导手段，展现出对旧格式与现代格式文件的深入理解 —— 这一现象也凸显出，在当代威胁防御中，亟需具备 “上下文感知能力” 的分析技术。