网络安全研究人员近期发现，一场精心策划的恶意软件攻击活动正在利用韩国常用的 Hangul Word Processor（.hwp）文档，传播臭名昭著的 RokRAT 恶意程序。

这一攻击手法标志着 RokRAT 分发方式的重大变化。以往该恶意软件主要通过伪装的快捷方式（.lnk 文件）进行传播，而如今的攻击则转向了更具欺骗性的文档诱导方式，展现出高级持续性威胁（APT）组织在战术上的演变。

此次攻击活动采用了高度拟真的社会工程诱饵，诱导受害者打开携带恶意代码的文档附件。例如，文档名称包括“250615_粮食储备运营状况.hwp”和“【通知】第一季度增值税申报截止时间（最终版）”等，具备较强的迷惑性。

文档内容（来源 ——ASEC）

文档表面上内容与“朝鲜粮食配送点”相关，看似真实且具有一定专业性，从而增强对目标用户的说服力，掩盖其真正的攻击意图。

ASEC（AhnLab 安全应急响应中心）分析发现，这些 .hwp 文件内嵌了复杂的 OLE（对象链接与嵌入）对象。当用户打开包含这些嵌入对象的页面时，Hangul 进程会在系统临时目录（%TEMP%路径）中自动生成包括 ShellRunas.exe 和 credui.dll 在内的恶意文件。

执行 ShallRunas.exe 的超链接（来源 ——ASEC）

整个攻击链的最后一步是诱导受害者点击文末的一个超链接“【附录】参考资料.docx”。一旦点击，系统会弹出安全提示窗口，引导用户执行嵌入的恶意组件，从而完成恶意程序的部署。

利用 DLL 旁加载机制进行攻击

该恶意软件利用了 DLL 旁加载（DLL Side-Loading）技术，巧妙绕过了系统的安全防护机制。

攻击主流程如下：

•合法程序：ShellRunas.exe（微软签名的 Windows 工具）

•恶意组件：credui.dll（通过 DLL 旁加载方式被执行）

•最终阶段：从远程下载名为 Father.jpg 的图像文件，该文件内嵌 RokRAT 的 shellcode

通过这种方式，攻击者能够在表面上看似调用系统中受信任的合法程序，实则在后台执行恶意代码，大幅增加了被发现的难度。同时，也为 RokRAT 在受害系统上实施更深入的数据窃取提供了便利。