概述

  2025年6月，瑞星安全研究团队接收并分析了来自国内某政府单位提交的可疑邮件附件样本。经过深度技术分析和威胁情报关联，确认该攻击活动的技术特征、战术技法（TTP）以及基础设施指纹与已知的高级持续性威胁（APT）组织"蔓灵花"（BITTER）高度匹配。

  此次攻击遵循了蔓灵花组织的典型攻击模式：攻击者通过精心设计的鱼叉式网络钓鱼邮件作为初始攻击向量，投递包含恶意编译HTML帮助文件（CHM）的压缩包载荷。该CHM文件内嵌恶意HTML文档，利用点击劫持（Clickjacking）技术绕过用户交互检测，实现代码的自动化执行。当目标用户在受信任环境下打开该文件时，嵌入式JavaScript脚本会被立即触发执行。

  恶意脚本的核心功能是建立持久化机制：通过调用Windows任务计划程序（Task Scheduler）创建定时任务，实现在受害主机上的长期驻留。该计划任务被配置为每16分钟向预设的命令与控制（C2）服务器发起HTTP请求，以接收远程指令并通过命令行管道机制执行，从而建立起完整的远程控制通道。

  蔓灵花组织是一个具有明确地缘政治动机的高级持续性威胁行为体，据开源情报分析疑似起源于南亚地区。该组织自2013年首次被安全研究人员识别以来，持续保持高度活跃状态，其攻击目标主要集中在中国、巴基斯坦等地区的战略性目标，包括政府机构、军事部门、能源基础设施以及其他关键信息基础设施。从攻击目标选择和数据窃取偏好来看，该组织的攻击活动具有明显的国家支持背景和情报收集目的，其最终目标是通过网络间谍活动获取目标国家和机构的敏感信息、机密文档以及战略情报数据。

概述

  瑞星威胁情报平台近期发现一起针对巴基斯坦的定向攻击活动，攻击者冒充巴基斯坦反恐部门，以安全简报为诱饵，向该国国家电信公司员工发送钓鱼邮件。不同于常见的LNK或Office文档附件，此次攻击使用检测率较低的IQY文件（Excel支持的互联网查询文件）。用户打开该文件后，Excel通过内嵌URL从远程服务器下载并执行批处理脚本。该脚本功能简单，负责下载缺少MZ头的可执行程序，在本地修复后运行。修复后执行的程序具备信息上传和下载功能，其中下载的恶意载荷就包括名为wmRAT的远控木马。该木马由南亚APT组织Bitter开发，支持与C2服务器通信，具备数据窃取、文件管理和远程控制等功能。

  Bitter（中文名蔓灵花）是一个源自南亚地区的APT组织，具有浓厚的政治背景，其活动至少可追溯至2013年。该组织长期针对中国和巴基斯坦两国展开网络攻击，主要攻击目标包括政府部门、能源、电力、国防及军工等高价值单位，旨在窃取机密情报。

概述

  瑞星于2023年12月20日接到国内某敏感单位反馈称设备上扫描到间谍软件，经专家分析相关文件为wmRAT后门，该后门由国外一个名为蔓灵花的攻击组织制作，即相关单位遭遇了APT攻击。蔓灵花组织，又称为BITTER，是一支据称有南亚背景的APT组织，疑似来自印度。至少自2013年起就开始对目标发动网络攻击，攻击目标包含中国、巴基斯坦等国家，涉及行业有政府、军事、能源等，其意图是窃取敏感资料