网络安全威胁组织Patchwork近期针对土耳其国防承包商发起新一轮鱼叉式网络钓鱼攻击，意图窃取战略情报。攻击者利用伪装成会议邀请函的恶意LNK文件，通过五阶段攻击链，目标锁定对无人载具系统感兴趣的机构，并同时攻击了某精确制导导弹系统制造商。此次攻击与巴基斯坦和土耳其深化防务合作及印巴军事冲突升级的时机吻合，显示出明显的地缘政治动机。Patchwork，一个被评估为印度背景的国家级黑客组织，此次行动版图的扩张和攻击能力的升级值得关注。

🎯 **Patchwork组织针对土耳其国防承包商发动新一轮鱼叉式钓鱼攻击**：该组织利用伪装成会议邀请函的恶意LNK文件，通过五阶段攻击链，主要目标是窃取土耳其在无人载具系统方面的战略情报，并同时针对一家未具名的精确制导导弹系统制造商发起攻击。

🌍 **攻击具有明显的地缘政治动机**：此次攻击的时机恰逢巴基斯坦与土耳其深化防务合作以及印巴军事冲突升级的敏感时期，这表明Patchwork组织的行动可能受到地缘政治因素的驱动，旨在获取与地区安全局势相关的情报。

🇮🇳 **Patchwork组织背景与演变**：Patchwork（亦名APT-C-09、APT-Q-36、白象组织等）被认为是印度背景的国家级黑客组织，自2009年起活跃，长期针对中国、巴基斯坦等南亚国家。该组织近期能力显著升级，从2024年11月的x64 DLL变种发展到具备增强命令结构的x86 PE可执行文件，并采用多样化的攻击架构和仿冒合法网站的C2协议。

🎣 **攻击链细节与技术手段**：攻击始于钓鱼邮件中的恶意LNK文件，该文件调用PowerShell从新注册的域名“expouav[.]org”获取载荷。服务器上托管了仿冒国际无人载具系统会议的PDF诱饵，而实际的攻击链在后台静默运行。关键载荷包括通过计划任务启动的恶意DLL，利用DLL侧加载技术执行shellcode，最终实现主机侦察、屏幕截图和数据回传至C2服务器。

HackerNews 编译，转载请注明出处：

网络安全威胁组织Patchwork被指针对土耳其国防承包商发起新一轮鱼叉钓鱼攻击，旨在窃取战略情报。

Arctic Wolf实验室本周发布的技术报告指出：“攻击者通过伪装成会议邀请函的恶意LNK文件实施五阶段攻击链，目标锁定对无人载具系统感兴趣的机构。”该行动还锁定了某未具名的精确制导导弹系统制造商，攻击时机正值巴基斯坦与土耳其深化防务合作、印巴军事冲突升级之际，显示其地缘政治动机。

Patchwork（亦名APT-C-09、APT-Q-36、白象组织等）被评估为印度背景的国家级黑客组织。该组织自2009年活跃至今，长期针对中国、巴基斯坦等南亚国家发动攻击。

一年前，Knownsec 404团队曾披露该组织通过不丹相关实体投递Brute Ratel C4攻击框架及新版PGoShell后门。2025年初至今，其持续攻击中国高校，近期更利用电网主题诱饵投放基于Rust语言的加载器，最终解密执行名为Protego的C#木马以窃取Windows系统数据。

此次对土耳其的攻击标志着该组织行动版图扩张。攻击始于钓鱼邮件中的恶意LNK文件，触发多阶段感染流程：

LNK文件调用PowerShell命令，从2025年6月25日注册的域名“expouav[.]org”获取载荷服务器托管仿冒国际无人载具系统会议的PDF诱饵（正版会议信息存于waset[.]org）“该PDF文档作为视觉诱饵分散用户注意力，攻击链在后台静默运行”

关键载荷包括通过计划任务启动的恶意DLL，采用DLL侧加载技术执行shellcode，最终实现：

主机深度侦察屏幕截图数据回传至C2服务器

这标志着该威胁组织能力显著升级：从2024年11月的x64 DLL变种，发展为当前具备增强命令结构的x86 PE可执行文件。Patchwork通过架构多样化及仿冒合法网站的C2协议，持续投入攻击能力开发。

 

 

 

---

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文