APT-C-06（DarkHotel）组织在近期的攻击活动中，尽管前端和中间载荷不断更新，但其核心的第二阶段载荷DarkSeal始终保持不变。该组织利用朝鲜输入法安装程序、新的恶意软件“winrar-x64-540.exe”等作为入口，通过百度网盘、微信、U盘等多种途径传播恶意软件。一旦用户机器被感染，恶意软件会释放并执行DarkSeal，通过计划任务、DLL劫持等技术实现持久化和加载其他载荷，最终目标通常是Meterpreter。DarkSeal组件自2022年以来形式和功能稳定，并已成为APT-C-06攻击活动的关键组成部分，显示出该组织攻击策略的持续性和演变性。

🚀 **DarkSeal载荷的持续性**：APT-C-06组织在近几年的攻击活动中，尽管会更新前端和中间载荷，但其核心的第二阶段载荷DarkSeal一直保持不变，显示出该载荷在攻击者策略中的重要性和稳定性。

📧 **攻击入口与传播途径**：近期观察到APT-C-06利用一款名为“hana9.30_x64_9.exe”的朝鲜输入法安装程序，并引入新的恶意软件“winrar-x64-540.exe”。恶意软件通过百度网盘、微信和U盘等常见途径进行传播，扩大了感染范围。

⚙️ **DarkSeal的执行与持久化机制**：DarkSeal组件的执行流程始于计划任务启动的白程序，通过DLL劫持解密加载其他载荷，最终目标可能是Meterpreter或Thinmon。它利用硬编码的密钥进行文件解密，并将解密后的Shellcode用于反射加载PE文件，从而实现隐蔽和持久化。

🎯 **攻击载荷的演变与目的**：APT-C-06的攻击载荷通常分为初始接入、中段功能实现和最终的DarkSeal三个部分。当前活动中，可能由于攻击者目的相对简单，仅包含前两部分载荷，但DarkSeal作为最终载荷的地位稳固，表明其在整个攻击链中的关键作用。

原创 高级威胁研究院 2025-07-23 18:03 北京

随着不断更新的前、中段载荷，不变的最终载荷DarkSeal一直存在于APT-C-06近几年的攻击活动中

1 恶意软件的安装界面

 攻击流程 

2 载荷的执行流程

安装程序

从资源中提取原始的安装程序并执行。

从资源中提取载荷并释放到执行目录。

拷贝机器的白程序作为启动程序并为之创建计划任务实现持久化。

创建dllhost.exe进程，通过远程线程的方式注入一段Shellcode，用于将之前释放的正常程序替换当前的恶意安装程序。

DarkSeal

这类恶意组件从2022年形式和功能稳定下来，并一直在APT-C-06的攻击活动中延用至今。DarkSeal由计划任务启动一个白程序开始组件的执行流程，利用DLL劫持解密加载其它载荷，最终的载荷通常是Meterpreter，也出现过Thinmon组件[i]。

所有加密文件由程序内部硬编码的key异或解密，解密的数据分两部分：第一部分Shellcode用于反射加载第二部分的PE文件，第二部分为包含实际功能的PE载荷。

72.10.160[.]162:443

94.242.61[.]116:443

1e66854531d25a5425ccf3fd396be8eb

1cf0c09515f4d34911689a263a615e1d

88d3818709b9cf519fc4e515c5adde6b

---

 [i] https://mp.weixin.qq.com/s/nyxZFXgrtm2-tBiV3-wiMg

阅读原文

跳转微信打开