概述

  2025年6月，瑞星安全研究团队接收并分析了来自国内某政府单位提交的可疑邮件附件样本。经过深度技术分析和威胁情报关联，确认该攻击活动的技术特征、战术技法（TTP）以及基础设施指纹与已知的高级持续性威胁（APT）组织"蔓灵花"（BITTER）高度匹配。

  此次攻击遵循了蔓灵花组织的典型攻击模式：攻击者通过精心设计的鱼叉式网络钓鱼邮件作为初始攻击向量，投递包含恶意编译HTML帮助文件（CHM）的压缩包载荷。该CHM文件内嵌恶意HTML文档，利用点击劫持（Clickjacking）技术绕过用户交互检测，实现代码的自动化执行。当目标用户在受信任环境下打开该文件时，嵌入式JavaScript脚本会被立即触发执行。

  恶意脚本的核心功能是建立持久化机制：通过调用Windows任务计划程序（Task Scheduler）创建定时任务，实现在受害主机上的长期驻留。该计划任务被配置为每16分钟向预设的命令与控制（C2）服务器发起HTTP请求，以接收远程指令并通过命令行管道机制执行，从而建立起完整的远程控制通道。

  蔓灵花组织是一个具有明确地缘政治动机的高级持续性威胁行为体，据开源情报分析疑似起源于南亚地区。该组织自2013年首次被安全研究人员识别以来，持续保持高度活跃状态，其攻击目标主要集中在中国、巴基斯坦等地区的战略性目标，包括政府机构、军事部门、能源基础设施以及其他关键信息基础设施。从攻击目标选择和数据窃取偏好来看，该组织的攻击活动具有明显的国家支持背景和情报收集目的，其最终目标是通过网络间谍活动获取目标国家和机构的敏感信息、机密文档以及战略情报数据。