文章总结： 与俄罗斯关联的APT组织UAC-0184利用Viber向乌克兰军方发送恶意ZIP压缩包。攻击通过伪装LNK文件诱导运行PowerShell脚本，进而下载HijackLoader加载器并部署Remcos远控木马。该恶意软件具备反查杀能力，能扫描安全软件哈希并利用DLL侧加载规避检测，最终建立持久化并窃取数据。 综合评分： 85 文章分类： 威胁情报,恶意软件

与俄罗斯关联的APT组织利用 Viber 攻击乌克兰

会杀毒的单反狗

军哥网络安全读报

2026年1月6日 09:01 湖北

导读

与俄罗斯关联的威胁组织UAC-0184利用 Viber 即时通讯平台向乌克兰军方和政府实体发送恶意 ZIP 压缩文件。

该黑客组织也被称为Hive0156，其主要活动是利用以战争相关的主题钓鱼邮件诱饵，向乌克兰目标发送Hijack Loader恶意软件。该恶意软件随后会作为Remcos远程访问木马（RAT）感染的途径。

CERT-UA于2024年1月初首次记录到该组织。随后的攻击活动被发现利用Signal和Telegram等即时通讯应用作为恶意软件的传播媒介。

该攻击链涉及使用 Viber 作为初始入侵媒介，分发包含多个 Windows 快捷方式 (LNK) 文件的恶意 ZIP 压缩包，这些文件伪装成官方的 Microsoft Word 和 Excel 文档，以诱骗收件人打开它们。

LNK 文件旨在作为诱饵文件来降低受害者的怀疑，同时通过 PowerShell 脚本从远程服务器获取第二个 ZIP 存档（“smoothieks.zip”），在后台静默执行 Hijack Loader。

该攻击通过多阶段流程在内存中重构并部署 Hijack Loader，该流程采用 DLL 侧加载和模块篡改等技术来规避安全工具的检测。

随后，该加载器会扫描环境中已安装的安全软件，例如 Kaspersky、Avast、BitDefender、AVG、Emsisoft、Webroot 和 Microsoft 等公司的软件，方法是计算相应程序的 CRC32 哈希值。

除了通过计划任务建立持久性之外，加载器还会采取措施绕过静态签名检测，然后将 Remcos RAT 注入到“chime.exe”中，从而秘密执行该 RAT。该远程管理工具使攻击者能够管理终端、执行有效载荷、监控活动并窃取数据。

Remcos被宣传为合法的系统管理软件，其强大的入侵功能使其经常被各种恶意攻击者用于网络间谍和数据窃取活动。

攻击者可以通过Remcos提供的图形用户界面（GUI）控制面板，对受害者的主机执行批量自动管理或精确的手动交互操作。

新闻链接：

Russia-linked APT UAC-0184 uses Viber to spy on Ukrainian military in 2025

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《与俄罗斯关联的APT组织利用 Viber 攻击乌克兰》