Trellix研究人员发现，一个疑似朝鲜背景的黑客组织（APT43/Kimsuky）自2025年3月起，利用XenoRAT恶意软件，针对驻韩国的外交使馆发动了至少19次鱼叉式钓鱼攻击。攻击者精心设计了包含外交、军事联盟等多主题的诱饵邮件，通过受密码保护的ZIP文件分发伪装成PDF的LNK文件，进一步执行混淆后的PowerShell代码，最终在目标系统中植入XenoRAT木马，窃取敏感信息。此次攻击手法、基础设施及恶意软件特征均与Kimsuky组织的活动高度吻合。

🎯 **多阶段、多主题诱饵邮件**：此次针对驻韩外交使馆的攻击行动，攻击者精心设计了多阶段、多主题的钓鱼邮件，从3月份的初始探测阶段，到5月份冒充欧盟官员的外交主题，再到6-7月份的美韩军事联盟主题，诱饵内容高度场景化且多语种，试图提高邮件的可信度，诱使用户点击。

📦 **统一的投递手法与隐蔽性**：攻击者统一采用通过Dropbox、Google Drive或Daum云存储发送受密码保护的ZIP压缩文件，以规避邮件防护系统的检测。压缩包内含伪装成PDF的LNK文件，其背后隐藏着混淆的PowerShell代码，用于从GitHub或Dropbox下载XenoRAT有效载荷，并通过计划任务实现持久化驻留，确保了攻击的隐蔽性。

💻 **XenoRAT木马的强大功能**：XenoRAT作为一款功能强大的木马程序，具备键盘记录、屏幕截图、摄像头与麦克风窃取、文件传输以及远程Shell操作等多种间谍功能。该恶意软件通过反射机制直接加载至内存，并使用Confuser Core 1.6.0进行混淆，使其在受感染系统中的运行更加难以被发现。

🔗 **与Kimsuky组织的高度关联**：Trellix研究人员通过分析发现，此次攻击行动的基础设施、攻击手法以及恶意软件特征，均与朝鲜黑客组织Kimsuky（APT43）的活动高度吻合。这包括使用韩国本土邮件服务、滥用GitHub作为命令控制服务器，以及恶意软件家族中采用的独特GUID和互斥量等，都指向了APT43组织。

HackerNews 编译，转载请注明出处：

根据Trellix研究人员报告，一场由国家支持的间谍活动正在针对驻韩国外交使馆展开。该行动通过恶意GitHub仓库分发XenoRAT恶意软件，自2025年3月持续至今，已发起至少19次针对高价值目标的鱼叉式钓鱼攻击。

基础设施和攻击手法与朝鲜黑客组织Kimsuky（APT43）的战术高度吻合。

多阶段攻击行动

攻击分为三个阶段，3月初至7月间使用不同主题的钓鱼邮件：

1. 初始探测阶段（3月）：最早发现的邮件针对某中欧国家使馆。
2. 外交主题阶段（5月）：攻击者转向复杂外交诱饵。例如5月13日冒充欧盟高级官员向某西欧使馆发送标题为“5月14日欧盟代表团政治咨询会议”的虚假会议邀请。
3. 美韩军事联盟主题阶段（6-7月）：诱饵内容涉及美韩军事合作议题。

目标主要为驻首尔的欧洲使馆，钓鱼邮件伪装成会议邀请、官方信函及活动通知，常冒用外交官名义发送。这些诱饵具有高度场景化、多语种（含韩语、英语、波斯语、阿拉伯语、法语和俄语）的特点，且多数邮件时间点与真实事件吻合以增强可信度。

统一投放手法

所有阶段均采用相同投递方式：通过Dropbox、Google Drive或Daum云存储发送受密码保护的ZIP压缩文件（降低邮件防护系统警报概率）。压缩包内含伪装成PDF的LNK文件，触发后会执行经过混淆的PowerShell代码，从GitHub或Dropbox获取XenoRAT有效载荷，并通过计划任务实现持久化驻留。

XenoRAT作为功能强大的木马，可执行键盘记录、屏幕截图、摄像头与麦克风窃取、文件传输及远程Shell操作。该恶意软件通过反射机制直接加载至内存，并采用Confuser Core 1.6.0进行混淆，实现在受感染系统中的隐蔽运行。

Trellix强调此次攻击符合APT43特征并采用典型朝鲜黑客技术，支持依据包括：

1. 使用韩国本土邮件服务
2. 滥用GitHub作命令控制服务器
3. 采用与Kimsuky恶意软件家族一致的独特GUID和互斥量
4. 关联IP及域名历史记录与Kimsuky活动重叠

 

 

 

---

消息来源： bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文