文章总结： APT-C-06（DarkHotel）2025下半年借U盘伪装TrueCrypt、WinRAR等安装包，资源区藏shellcode，先释放正常安装程序并设系统隐藏，再反射加载与年初k1nqa.dll相同的PE载荷；该载荷按杀软种类构建不同URL并生成drivermon.ps1，通过COM或提权Powershell创建计划任务，若检测远程桌面或AzureAD注册则中止，整体为上半年两次攻击的战术组合，未发现U盘感染模块。 综合评分： 88 文章分类： 威胁情报,恶意软件,漏洞分析,APT,终端安全

APT-C-06（DarkHotel）利用U盘内安装程序传播恶意载荷的攻击活动报告

原创

高级威胁研究院

360威胁情报中心

2026年1月14日 17:30 北京

APT-C-06

DarkHotel

继APT-C-06（DarkHotel）在2025年6月份使用恶意软件展开一波攻击活动[1]后， 我们又在2025年下半年监测观察到另一波相似的攻击活动。在这次攻击活动中，更多类型的恶意软件出现，这些软件通过U盘接入，没有像之前一样部署DarkSeal载荷，而是部署在2025年初攻击活动[2]中使用的载荷。

一、攻击流程

从技战术上看，这次攻击活动是2025年上半年前两次攻击的组合，伪装成正常软件的exe文件通过资源释放包含drivermon.ps1的loader。在此次攻击活动中，恶意安装包都是用可移动磁盘的方式接入用户机器的，可疑的是没有观察到drivermon.ps1的下一阶段载荷。

二、载荷分析

1. 恶意安装包

伪装的恶意软件主要是一些工具软件，如TrueCrypt Setup 7.1a.exe，Install SanDisk Software.exe，winrar-x64英文.exe，winrar_5.40.exe，AdobeReader8.10.exe，FlashFXP54_3970_Setup.exe，SpyDetectFree64.exe等。

这些恶意软件的资源通常都是下图的结构。“RC Data”类型的资源有两个，一个为BIN_00，修改前两个字节后即为原始的安装程序，另一个为BIN_06(或者BIN_03)解密后为shellcode形式的恶意载荷。软件的核心功能就是执行正常的安装程序，并加载Shellcode。

释放并执行原始的安装程序时，释放的路径为在原始路径基础上在文件名前加一个下划线，并将文件设置系统隐藏属性。

如果存在Global\TermSvrReadyMutex锁或者C:/ProgramData/Windows/IdentityCRL/Cert路径则不会加载Shellcode。通过在互联网搜索相关信息，Global\TermSvrReadyMutex锁可能对应远程桌面服务开启；C:/ProgramData/Windows/IdentityCRL/Cert可能对应设备注册到Azure AD。总体来说共攻击者可能不希望载荷在一些相对“专业”的电脑上运行。

2. 载荷分析

Shellcode的结构和Darkseal组件类似。Shellcode Loader用于反射加载第二部分的pe载荷。

PE载荷与年初攻击活动中使用的载荷k1nqa.dll基本一致。首先会检查杀软安装情况。不同杀软安装情况会对后续流程产生一些影响。

构建url：https[:]//backup.***.com/bd3/j3/b99731f78b_985751?pt=a2&at=pp&bn=7601.18847&ay=0，其中bn是系统版本，ay是数字列表代表的杀软安装情况。

构建的url用于填充到Powershell脚本中。这个脚本的内容与年初攻击中使用的一致。在不同的杀软存在时以不同的形态存在：存在360时，路径为%windir%\temp\drivermon.ps1；存在Avast时，路径%windir%\temp\ypp.db；都不存在时，明文代码直接出现在命令行中。

创建执行Powershell的计划任务，这里又有两种情况：存在360或卡巴斯基时，直接使用com接口创建计划任务；都不存在时，则利用com提权执行另外一段Powershell来创建计划任务。

3. 综合执行路径

在面对比较“危险”的环境时，恶意安装程序会利用Shellcode进行一次提权再执行真实功能，所以导致程序的执行路径有一点复杂，所以用下面的流程图来直观展示程序的执行路径。

#

总结

总的来说，本次攻击活动作为APT-C-06（DarkHotel）2025前两次攻击活动的延续并没有什么新的东西。从受影响用户上出现的种类多样的恶意安装程序，并且恶意程序的出现有聚集特征（一个U盘下的exe程序全是恶意程序）来看，这些恶意程序可能是由某一个程序感染了U盘中的exe程序，目前的载荷中没有发现感染功能。

参考

[1]APT-C-06（DarkHotel）利用恶意软件为诱饵的攻击活动

[2]APT-C-06（DarkHotel）利用BYOVD技术的最新攻击活动分析

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360威胁情报中心 高级威胁研究院《APT-C-06（DarkHotel）利用U盘内安装程序传播恶意载荷的攻击活动报告》