文章总结： 报道揭示APT37利用LNK文件和无文件技术针对半岛事务人士发起定向攻击。攻击通过钓鱼邮件诱导下载恶意压缩包，利用PowerShell释放Shellcode部署RoKRAT木马。该木马使用DropboxAPI进行加密C2通信以规避检测。建议加强对LNK文件的扫描和异常流量监控，防范此类利用云服务的隐蔽攻击。 综合评分： 80 文章分类： 威胁情报,恶意软件,社会工程学

曹县APT37 利用LNK文件部署复杂的恶意软件针对专注于半岛事务的专业人士

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月4日 09:01 湖北

导读

2025 年 3 月，被广泛认为是 APT37 的 Ricochet Chollima APT 组织，与曹县黑客行动有关，对专注于半岛事务的活动人士发起了有针对性的鱼叉式网络钓鱼活动。

攻击者通过冒充身在韩国的曹县问题安全专家，发送鱼叉式网络钓鱼邮件，发起了攻击链。这些电子邮件提到了合法的话题，包括曹县军队部署到俄罗斯以及韩国智库主办的国家安全会议。

Genians 安全中心 (GSC) 将此次攻击命名为“玩具盒故事行动”，揭示了利用 LNK 文件漏洞和无文件恶意软件执行相结合的复杂技术，以规避传统的安全解决方案。

这些恶意电子邮件包含 Dropbox 链接，会将受害者重定向到包含恶意 LNK 快捷方式文件的压缩 ZIP 存档。

多阶段交付机制

这次攻击采用了精心策划的投递方式。有记录的第一起案例发生在 2025 年 3 月 8 日，发送了一封标题为“致部署到俄罗斯战场的曹县士兵.hwp”的电子邮件。

该附件利用与 Naver Mail 关联的韩文 (HWP) 图标，模仿合法的韩文 (HWP) 文档，增加了受害者互动的可能性；然而，嵌入的链接却重定向到 Dropbox，而不是提供声称的文档。

解压后，受害者发现一个 ZIP 压缩包，其中包含一个恶意LNK 文件，该文件与压缩包同名，仅文件扩展名不同。

第二阶段恶意捷径

2025 年 3 月 11 日，第二个攻击活动变种使用了一个名为“Related Poster.zip”的压缩文件，其中包含一个良性的 JPG 图像和一个恶意的 LNK 快捷方式文件，以保持欺骗性的外观。

LNK 文件是此次攻击的关键组件，其中嵌入了隐藏的 PowerShell 命令，这些命令旨在激活后自动执行。

触发后，该快捷方式会启动一个多阶段有效载荷投放过程。嵌入的命令会在 %Temp% 目录下创建三个临时文件，并执行一个 BAT 批处理文件，同时向用户显示一个诱饵 HWP 文档。

执行顺序包括加载“toy02.dat”作为加载器，然后从临时文件夹加载“toy01.dat”。这些文件包含经过异或变换的数据，解码后会作为可执行的shellcode注入到内存中。

第四阶段 Toy.bat – shellcode

这种无文件技术无需将恶意二进制文件写入磁盘即可实现运行时恶意软件注入和动态代码执行，从而有效地绕过基于特征码的端点检测系统。

RoKRAT有效载荷和C2通信

最终有效载荷部署了 RoKRAT 远程访问木马，该木马会收集大量的系统信息，包括 Windows 操作系统版本、计算机名称、用户凭据、BIOS 版本和系统制造商。

RoKRAT 实时捕获屏幕截图，并通过加密通道使用 AES-CBC-128 加密技术泄露数据，AES 密钥还通过 RSA 加密技术进一步保护。

该恶意软件利用 Dropbox 作为命令与控制服务器，使用云 API 服务将恶意流量隐藏在合法的 Dropbox 通信中。这种“脱离可信站点运行”（LoTS）技术使安全团队通过分析网络流量进行检测变得更加复杂。

该活动表明 APT37 在利用合法云服务维持持续访问并规避传统安全控制方面，依然展现出高超的技巧。

技术报告：

https://medium.com/@S3N4T0R/ricochet-chollima-apt-adversary-simulation-b0258be69c37

新闻链接：

Chollima APT Hackers Weaponize LNK Files to Deploy Sophisticated Malware

今日安全资讯速递

APT事件

Advanced Persistent Threat

曹县APT37 利用LNK文件部署复杂的恶意软件针对专注于半岛事务的专业人士

Chollima APT Hackers Weaponize LNK Files to Deploy Sophisticated Malware

俄罗斯 APT28 利用微软 Office 漏洞发起恶意软件攻击

Russian hackers are exploiting recently patched Microsoft Office vulnerability (CVE-2026-21509)

一般威胁事件

General Threat Incidents

150万个未经监控的人工智能代理威胁企业安全

The ‘Invisible Risk’: 1.5 Million Unmonitored AI Agents Threaten Corporate Security

美国国土安全部正强迫科技公司交出有关特朗普批评者的数据

Homeland Security is trying to force tech companies to hand over data about Trump critics

一种针对 macOS 用户的复杂网络钓鱼活动出现，该活动使用虚假合规电子邮件传播窃密恶意软件

Beware of New Compliance Emails Weaponizing Word/PDF Files to Steal Sensitive Data

新型密码窃取网络钓鱼活动瞄准企业Dropbox凭证

https://www.infosecurity-magazine.com/news/password-stealing-phishing-pdf/

PDFly 变体使用自定义 PyInstaller 调整来混淆有效载荷

PDFly Variant Uses Custom PyInstaller Tweaks to Obfuscate Payload, Thwarting Analysis

虚假Dropbox钓鱼活动瞄准用户，窃取登录凭证

Fake Dropbox Phishing Campaign Targets Users, Steals Login Credentials

一款伪装成文档阅读器的恶意应用在Google Play下载超过5万次

Malicious Google Play App With 50K+ Downloads Spreads Anatsa Banking Trojan

滥用 OpenClaw AI 功能可实施隐蔽恶意软件攻击

Abuse of OpenClaw AI Capabilities Enables Stealthy Malware Campaigns

Cl0p勒索软件组织瞄准澳大利亚IT供应商

https://www.cybermaterial.com/p/cl0p-targets-australian-it-providers

GlassWorm 病毒入侵 VSX 扩展程序，目标直指开发者

GlassWorm Infiltrates VSX Extensions With 22,000+ Downloads to Target Developers

漏洞事件

Vulnerability Incidents

JFrog 研究人员发现 n8n AI 自动化平台存在漏洞

JFrog Researchers Surface Vulnerabilities in AI Automation Platform from n8n

Apache Syncope漏洞导致攻击者劫持用户会话

Apache Syncope Vulnerability Let Attackers Hijack User Sessions

黑客利用 React Native 的 Metro Server 漏洞攻击开发者

Hackers Exploiting React Native’s Metro Server in the Wild to Attack Developers

Foxit PDF 编辑器漏洞允许攻击者执行任意 JavaScript 代码

Foxit PDF Editor Vulnerabilities Let Attackers Execute Arbitrary JavaScript

海康威视无线接入点漏洞可导致恶意命令执行

Hikvision Wireless Access Points Vulnerability Enables Malicious Command Execution

Docker修复Ask Gordon AI的关键漏洞，该漏洞允许通过图像元数据执行代码

https://thehackernews.com/2026/02/docker-fixes-critical-ask-gordon-ai.html

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《曹县APT37 利用LNK文件部署复杂的恶意软件针对专注于半岛事务的专业人士》