文章总结： 文档分析了APT36利用伪装PDF的LNK文件触发HTA脚本，具备针对不同杀软自适应切换持久化策略的高级能力。结合Patchwork组织利用WebSocket通信规避检测的趋势，文章强调了传统杀软的局限。建议严查压缩包内LNK文件、监控mshta.exe进程并审计启动文件夹以防御此类无文件攻击。 综合评分： 87 文章分类： 威胁情报,恶意软件,红队,漏洞分析

无文件攻击再升级：从 HTA 脚本到 WebSocket C2，黑客的工具箱又更新了

原创

Kit Chung

安全圈动向

2026年1月6日 07:55 广东

大家好，做我们这行久了，总有一种错觉：只要装了高大上的杀毒软件（AV），内网就高枕无忧了。但现实往往会狠狠打我们一巴掌。

最近，我读到 CYFIRMA 发布的一份关于 Transparent Tribe (又名 APT36) 的最新技术报告，看得我冒汗。这帮人现在的手段不仅“脏”，而且非常“智能”。

以往的木马，不管你装什么杀软，它都是一套“三板斧”硬刚。但这次，APT36 的新 RAT（远程控制木马）竟然学会了“看人下菜碟”——它会先扫描你装了什么杀软，然后根据不同的杀软，切换不同的驻留方式。这简直就是把“环境感知”玩到了极致。

今天，咱们就扒开这个攻击样本的皮，看看他们到底用了什么骚操作。

01 “披着羊皮”的 LNK：社工与技术的双重伪装

这次攻击的入口，依然是经典的鱼叉式钓鱼。

黑客发给你一个 ZIP 压缩包，里面躺着一个看起来人畜无害的“PDF文档”。但实际上，这只是一个伪装成 PDF 图标的 LNK（Windows 快捷方式）文件。

对于普通用户来说，点开它的瞬间，噩梦就开始了。

技术原理拆解：

这个 LNK 文件的目标并不是打开 PDF，而是去执行一段恶意的 HTA (HTML Application) 脚本。这里黑客用了一个非常经典的 LOLBin (Living off the Land Binaries) 战术：

• 利用 Windows 自带的 mshta.exe 来执行脚本。

• 内存解密：

  脚本直接在内存中解密并加载 RAT payload，全程不落地，极大降低了被静态扫描发现的概率。

• 障眼法：

  为了不让你起疑，HTA 脚本在后台干坏事的同时，还会真的下载并打开一个“诱饵 PDF”展示给你看。当你以为自己在看文档时，你的电脑已经被接管了。

02 核心亮点：针对杀软的“自适应”持久化

这是本次报告中最让我惊艳（也最让人头秃）的技术细节。

这个 RAT 并没有采用“一刀切”的持久化（Persistence）策略，而是先进行了一波环境指纹识别。它会检查受害者机器上运行的进程，判断你装了哪家的杀毒软件，然后制定相应的“逃逸计划”。

来看看它是怎么针对不同杀软进行“定制化”攻击的：

| 检测到的杀软 | 黑客的应对策略 (骚操作) | | — | — | | Kaspersky (卡巴斯基) | 既然你查得严，我就藏得深。它会在 C:\Users\Public\core\ 下创建一个工作目录，写入混淆过的 HTA payload，然后在“启动”文件夹里放一个 LNK 文件来调用它。 | | Quick Heal | 既然你对 LNK 敏感，我就加一层。它会创建一个批处理文件 (.bat) 配合恶意的 LNK 文件，通过批处理来调用 payload。 | | Avast / AVG / Avira | 对付这几家，黑客似乎比较“刚”。直接将 payload 复制到启动目录并执行。 | | 无杀软 / 其他 | 如果你是“裸奔”或者装的小众杀软，它会采用“组合拳”：批处理 + 注册表修改 + 载荷部署，确保万无一失。 |

点评： 这不仅仅是代码层面的博弈，更是对安全厂商防护逻辑的逆向工程。攻击者非常清楚每一款杀软的监控盲区在哪里。

03 进阶玩法：DLL 侧加载与 C2 隐蔽通信

在另一个关联的攻击活动中，APT36 利用了一个名为 NCERT-Whatsapp-Advisory.pdf.lnk 的诱饵。讽刺的是，这个诱饵内容竟然是巴基斯坦 CERT 发布的关于防范恶意软件的公告——用安全公告来传播木马，这招真是杀人诛心。

技术细节：

• 🔹 执行链： LNK -> cmd.exe -> 远程下载 .msi 安装包 -> 解压 DLL。
• 🔹 恶意 DLL： pdf.dll 和 wininet.dll。
• 🔹 反静态分析： 黑客为了防止像我这样的分析师通过 strings 命令直接看到 C2 指令，特意将通信端点（Endpoints）做了字符串反转处理。

/retsiger -> register (注册上线) /taebtraeh -> heartbeat (心跳包) /dnammoc_teg -> get_command (获取指令)

这个名为 wininet.dll 的恶意文件，不仅能执行命令，还能检测虚拟机（Anti-VM），一旦发现自己在沙箱里，就会立刻“装死”。

04 趋势预警：WebSocket 成为 C2 通信新宠

除了 APT36，报告还提到了另一个组织 Patchwork 的新动作。他们开发了一个名为 StreamSpy 的木马。

这里有个值得所有网工和运维注意的技术趋势：WebSocket 协议的滥用。

以往我们抓 C2 通信，主要看 HTTP/HTTPS 流量。但 StreamSpy 使用 WebSocket 来接收指令和回传结果。

• 为什么用 WebSocket？

  因为很多防火墙和流量审计设备对长连接的 WebSocket 审查并不严格，且其流量特征很容易混杂在正常的 Web 业务中。

• 分工明确：

  控制信令走 WebSocket，大文件的上传下载走 HTTP。这种“信令与数据分离”的模式，让流量分析变得更加困难。

总结与建议

看完这份报告，我的心情是沉重的。Transparent Tribe 和 Patchwork 这些组织，技术迭代的速度快得惊人。

从 Windows LNK 文件滥用，到 针对特定杀软的自适应持久化，再到 WebSocket C2 通信，这一切都说明：仅仅依靠传统的特征库查杀已经远远不够了。

给各位 IT 兄弟的几点建议：

1. 死磕 LNK 文件：

   在邮件网关或终端安全策略中，严查压缩包内的 .lnk 文件。正经人谁发文档发快捷方式啊？

2. 监控 mshta.exe：

   这玩意儿是黑客的最爱。如果发现它在启动项里，或者发起了网络连接，直接告警，别犹豫。

3. 关注“启动”文件夹：

   不管技术多花哨，最后还是要写启动项。定期盘点 %APPDATA% 下的 Startup 目录，不仅要看文件，还要看里面的 LNK 指向哪里。

网络安全是一场没有终点的赛跑，敌人已经进化了，我们绝不能停在原地。

觉得文章有干货，别忘了点个“在看”，转发给身边的技术兄弟们避避坑！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung《无文件攻击再升级：从 HTA 脚本到 WebSocket C2，黑客的工具箱又更新了》