2026年6月:TransparentTribe组织针对印度陆军北部司令部的攻击事件

概述

  近日,瑞星威胁情报平台发现了一起由TransparentTribe组织针对印度陆军北方司令部的攻击活动。捕获的样本名为PPT for Breifing at HQ Norther Command.pptx.lnk,伪装成印度北方司令部简报的PPT文件快捷方式。该LNK文件通过调用cmd.exe以最小化窗口启动批处理脚本(excel.bat),释放诱饵PPT文档以迷惑用户感知,同时利用硬链接和注册表Run键将自定义.NET远控木马CrimsonRATjrnswry acrhyis.exe)部署至受害主机并建立持久化,通过与C2服务器通信从而实现屏幕监控、文件窃取、命令执行和远程控制。

2026年5月:俄乌战争诱饵下的多阶段远控后门攻击链分析

概述

  2026年5月瑞星威胁情报平台捕获到了一起以俄乌战争与欧盟制裁为诱饵的高度定向多阶段攻击事件。攻击者将初始载荷伪装成欧盟官方制裁政策文件,利用涉外人员对政策文件的信任心理作为切入点,在受害者机器上逐步推进并最终植入一个Go语言编写的持久化远控后门。

编译即免杀:Nuitka编译的Python后门正在成为APT组织的“隐形刀锋”

概述

  近期,瑞星威胁情报平台捕获并深度解析了一起针对国防军事领域的定向渗透活动。该攻击具有鲜明的地缘政治背景,诱饵内容紧密围绕巴基斯坦防务展(IDEAS 2026)北约坚定飞镖-2026军事演习两大热点事件,其目标精准指向国防工业供应链、政府外交人员及军事研究机构。

2025年7月:Patchwork组织针对国内教育领域与土耳其国防领域的攻击事件分析报告

概述

  瑞星威胁情报平台近期捕获到Patchwork组织针对国内科教领域及土耳其国防领域的多起定向攻击。攻击者以伪装成PDF文档的快捷方式(.lnk)作为初始载荷,通过混淆的PowerShell命令从远程服务器下载诱饵文档与多个恶意程序,然后利用计划任务实现本地持久化。下载到本地的执行文件会解密出由开源工具Donut生成的ShellCode并最终运行NorthStarC2BADNEWS远程控制木马。

  Patchwork组织,又名摩诃草白象APT-Q-36Dropping Elephant,是一个疑似具有南亚某政府背景的APT组织,其最早攻击活动可追溯到2009年,至今依然活跃。该组织主要针对中国、巴基斯坦、孟加拉国等亚洲地区国家,以政府、军事、电力、工业、科研教育、外交和经济等高价值机构为攻击目标。