文章总结： 报告分析了ChollimaAPT针对活动人士的攻击，利用鱼叉式钓鱼邮件分发含恶意LNK的压缩包。该文件通过PowerShell释放异或加密的无文件Shellcode并植入RoKRAT木马，利用Dropbox作为隐蔽C2通道加密窃取数据。建议禁止邮件中LNK文件执行并部署EDR监控异常行为。 综合评分： 85 文章分类： 威胁情报,恶意软件,免杀,应急响应

Chollima APT 黑客利用 LNK 文件部署复杂恶意软件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月4日 08:30 北京

2025 年 3 月，被广泛认为是 APT37 的 Ricochet Chollima APT 组织，与朝鲜国家支持的行动有关联，对专注于朝鲜事务的活动人士发起了有针对性的鱼叉式网络钓鱼活动。

攻击者通过冒充身在韩国的朝鲜问题安全专家，发送鱼叉式网络钓鱼邮件，发起了攻击链。

为了建立可信度，这些电子邮件提到了合法的话题，包括朝鲜军队部署到俄罗斯以及韩国智库主办的国家安全会议。

Genians 安全中心 (GSC) 将此次攻击命名为“玩具盒故事行动”，揭示了利用 LNK 文件漏洞和无文件恶意软件执行相结合的复杂技术，以规避传统的安全解决方案。

这些恶意电子邮件包含 Dropbox 链接，会将受害者重定向到包含恶意 LNK 快捷方式文件的压缩 ZIP 存档。

多阶段交付机制

这次攻击采用了精心策划的投递方式。有记录的第一起案例发生在 2025 年 3 月 8 日，发送了一封标题为“致部署到俄罗斯战场的朝鲜士兵.hwp”的电子邮件。

该附件利用与 Naver Mail 关联的韩文 (HWP) 图标，模仿合法的韩文 (HWP) 文档，增加了受害者互动的可能性；然而，嵌入的链接却重定向到 Dropbox，而不是提供声称的文档。

解压后，受害者发现一个 ZIP 压缩包，其中包含一个恶意LNK 文件，该文件与压缩包同名，仅文件扩展名不同。

2025 年 3 月 11 日，第二个攻击活动变种使用了一个名为“Related Poster.zip”的压缩文件，其中包含一个良性的 JPG 图像和一个恶意的 LNK 快捷方式文件，以保持欺骗性的外观。

LNK 文件是此次攻击的关键组件，其中嵌入了隐藏的 PowerShell 命令，这些命令旨在激活后自动执行。

触发后，该快捷方式会启动一个多阶段有效载荷投放过程。嵌入的命令会在 %Temp% 目录下创建三个临时文件，并执行一个 BAT 批处理文件，同时向用户显示一个诱饵 HWP 文档。

执行顺序包括加载“toy02.dat”作为加载器，然后从临时文件夹加载“toy01.dat”。这些文件包含经过异或变换的数据，解码后会作为可执行的shellcode注入到内存中。

这种无文件技术无需将恶意二进制文件写入磁盘即可实现运行时恶意软件注入和动态代码执行，从而有效地绕过基于特征码的端点检测系统。

RoKRAT有效载荷和C2通信

最终有效载荷部署了 RoKRAT 远程访问木马，该木马会收集大量的系统信息，包括 Windows 操作系统版本、计算机名称、用户凭据、BIOS 版本和系统制造商。

RoKRAT 实时捕获屏幕截图，并通过加密通道使用 AES-CBC-128 加密技术泄露数据，AES 密钥还通过 RSA 加密技术进一步保护。

最值得注意的是，该恶意软件利用 Dropbox 作为命令与控制服务器，使用云 API 服务将恶意流量隐藏在合法的 Dropbox 通信中。

这种“脱离可信站点运行”（LoTS）技术使安全团队通过分析网络流量进行检测变得更加复杂。

组织应禁止从电子邮件附件中执行 LNK 文件，并实施端点检测和响应 (EDR) 解决方案，通过行为异常检测来监控无文件攻击。

该活动表明 APT37 在利用合法云服务维持持续访问并规避传统安全控制方面，依然展现出高超的技巧。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Chollima APT 黑客利用 LNK 文件部署复杂恶意软件》