2026-03-18 02:24:10 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 360高级威胁研究院披露Confucius组织针对巴基斯坦发起攻击，利用LNK文件结合MSBuild白利用，通过DLL侧加载部署基于Python的AnonDoor后门。该后门支持插件扩展，具备命令执行与窃密功能。攻击采用多层白加黑及Pyc内存加载技术隐蔽行为，建议用户警惕可疑附件并提升防护意识。 综合评分： 89 文章分类： 威胁情报,恶意软件,漏洞分析

cover_image

Confucius组织针对巴基斯坦部署AnonDoor后门的攻击活动分析

原创

高级威胁研究院高级威胁研究院

360威胁情报中心

2026年3月4日 17:30 北京

Confucius组织，又被称“魔罗桫”。是一个具有长期针对南亚地区的APT组织，自2013年活跃至今，主要目的是窃取敏感信息。

近期我们在日常威胁狩猎中观察到该组织持续发起新型攻击，采用多层白加黑利用技术，并结合Pyc功能模块内存加载恶意代码，用于隐蔽恶意行为。这种攻击手法在国内的攻击活动中比较少见。鉴于此，我们将重点揭露该组织如何利用Python加载恶意组件的完整攻击流程，以帮助用户及时识别威胁并采取防护措施。

一、攻击活动分析

1. 攻击流程分析

Confucius组织通过投递恶意ZIP文件，诱导用户执行其中的LNK文件，该LNK文件执行后通过MSBuild.exe文件加载同目录下的XML配置文件，从而请求服务器下载二阶载荷白利用组件，并创建计划任务，二阶载荷白利用组件会继续下发三阶载荷，并且也会创建新计划通过python.exe加载pyc文件，最终连接C2服务器实现数据窃取。

2. 载荷分析

2.1）原始载荷分析

本次捕获的原始载荷为一个压缩包文件。包内包含两个均伪装成PDF的文件：一个名为GSR_Requirements.pdf的LNK快捷方式与一个名为Specification.pdf的MSBuild项目文件，如下图所示。其中，MSBuild项目文件被恶意设置为隐藏属性。攻击者利用伪装成PDF的LNK文件诱骗用户点击，进而调用MSBuild加载隐藏的MSBuild项目文件，从而触发恶意代码执行流程。

恶意MSBuild项目文件利用MSBuild的“内联任务”（Inline Task）功能执行C#代码，主要行为是从远程服务器下载恶意载荷，并通过Windows计划任务（schtasks）实现持久化运行和伪装执行。

项目代码中定义了一个执行流程和两个自定义任务：Task A和Task B，自定义任务均使用CodeTaskFactory直接嵌入C#代码。

Task A（下载与执行/持久化模块）：

该代码通过设置安全协议为TLS 1.2确保与C2服务器的安全通信，使用WebClient将远程文件下载至本地指定路径，并借助schtasks.exe通过计划任务执行该文件。根据参数A4的值选择执行模式：若A4为0，则创建一个计划于当日23:59运行的任务并立即强制触发，用于即时启动诱饵文件；若A4非零，则创建一个在当前时间基础上延迟A4分钟后执行的一次性任务，实现延迟持久化。整个过程通过设置CreateNoWindow=true和UseShellExecute=false静默运行，避免用户察觉。具体代码如下图：

Task B（仅下载）:

功能: 负责从URL下载文件到本地，不执行，具体代码如下：

执行流程（Target “X”）

Target Name=”X”是脚本的入口点，它按顺序执行了以下三个步骤，组成了完整的部署链，如下图所示：

第一步：部署主程序（调用Task A）

下载https[:]//nexnxky[.]info/TO96v.Wst到C:\Windows\Tasks\pythonw.exe。pythonw.exe是一个合法的Python解释器，但在此时被用作“白文件”。通过A4=1,设置名为WinUpdate的计划任务，延迟1分钟后执行,并伪装成Windows更新以降低管理员警惕。

第二步：部署恶意DLL（Task B）

下载https[:]//nexnxky[.]info/Ytu7Y.Rut到C:\Windows\Tasks\python310.dll。python310.dll是一个攻击者自己开发的恶意的DLL文件。通过DLL侧加载，当第一步中的pythonw.exe启动时，它会优先加载同目录下的python310.dll。攻击者将恶意代码写入这个DLL中，利用合法的Python进程执行恶意代码，从而绕过部分杀软对非白名单进程的查杀。

第三步：释放诱饵文档（Task A）

下载https[:]//nexnxky[.]info/P7DuR.Dtt到C:\Windows\Tasks\decmeMett.pdf，decmeMett.pdf是一个诱饵PDF文件，设置名为SysCheck的计划任务并立即运行。让用户误以为自己只是打开了一个普通文件，掩盖后台正在进行的恶意行为。

2.2）二阶恶意载荷分析

二阶恶意载荷（python310.dll）入口位于Py_Main导出函数，pythonw.exe会默认加载该导出函数，二阶载荷首先会从三阶样本下载服务器nexnxky.info拉取名为RTRP4.tmps的三阶载荷保存到本地。

下载的三阶载荷部分内容如下：

需要特别说明的是，下载的三阶载荷其数据遵循如下格式，累计有2471个文件的base64数据，导致数据文件特别大，并且也干扰了分析者辨别真正恶意的base64文件数据。

| | | — | | Filename Base64(filedata) ===END=== Filename Base64(filedata) ===END=== *** |

随后二阶载荷开始处理部署三阶载荷，通过两个嵌套循环遍历提取三阶载荷中的所有数据，以便提取文件名、base64解码文件等功能。下图是提取数据的逻辑。

将三阶载荷提取部署完成后，通过创建计划任务的方式启动三阶载荷从而达到持久化和启动三阶载荷的目的。

| | | — | | schtasks.exe /Create /F /SC MINUTE /MO 5 /TN “MicrosoftEdgeUpdat e2Network” /TR “\”C:\Users[用户名]\AppData\Local\PythonVersion3\p ythonw.exe\” \”C:\Users[用户名]\AppData\Local\PythonVersion3\pyth on2_pycache_.dll\”” |

3. 恶意组件AnonDoor分析

经过二阶恶意dll处理后的三阶载荷共2471个文件，其中除python2_pycache_.dll文件外其余文件均为合法正常文件，且python2_pycache_.dll是伪造DLL文件，该文件其实为pyc文件，经分析该组件类型是基于Python的AnonDoor组件。

3.1）AnonDoor核心功能概述

由于python2_pycache_.dll基于Python 3.13版本编译，目前市面尚无成熟的反编译工具支持。为此，我们通过自研增强型反汇编工具尝试对代码进行还原。受限于该方式的技术局限性，反编译代码可能存在逻辑偏差，以下分析结果仅供参考。

AnonDoor首先会检测系统平台是否为nt,随后创建互斥体“Global\MyUniqueMutexName”从而保持单实例运行。

入口检测通过后，开始初始化C2和URL路径，分析版本的AnonDoor包括了两个C2地址nexnxky[.]info、upxvion[.]info，如下图所示。同时由配置设置使用443还是80端口，同时网络请求的User-Agent被硬编码为 Mozilla/5.0 (Windows NT 10.0; Win64; x64)，试图混淆为正常的Windows浏览器流量。

完成C2初始化后，AnonDoor会首先向C2获取后续的插件模块加载运行，当初始模块加载完成后通过心跳保持与C2的长连接及解析服务端下发的指令。

后续的各功能模块会通过模块下发的方式完成，同时根据代码结构来看，下发的模块（pyc）后缀为.dll,攻击者可根据目标归属灵活加载各类型功能模块。代码功能函数如下所示。

目前AnonDoor组件支持不限于以下功能：

3.2）后续功能模块分析

后续攻击者会根据目标特点下发多种模块，在此列举初期的两种加载模块。

模块一：用户信息收集模块

其主要目的是收集受害者的系统信息，生成唯一的“受害者 ID”（Bot ID），并将这些信息打包返回给主控端收集的信息及格式如下：

| | | — | | ibjfkhg = {UUID}$!!${Windows版本}$!!${主机名+用户}$!!${局域网IP}$!!${公网IP}$!!${国家}$!!${系统详细名}$!!$ |

模块二：存储器扫描模块

它利用ctypes直接操作Windows API获取底层磁盘信息，将受害者的存储布局发送回C2服务器。

二、归属研判

通过对捕获样本整体分析，我们发现本次攻击行动与Confucius组织之前使用的攻击手段相符合，具体包括以下几点。

在初始攻击阶段，Confucius组织惯常利用LNK文件启动恶意程序。该恶意文件会访问3个URL下载链接，分别用于获取白组件、黑组件以及诱饵文档。相关URL具有较为明显的特征，均使用.info域名。此外，在文件名构词逻辑上也与该组织以往样本高度同源，通常表现为首字母大写+随机字符组合，且并非标准系统文件格式。URL格式对比如下：

本次攻击最终加载的组件是基于Python的AnonDoor RAT，这个类型与Confucius的分析报告[1]提到的木马一致，并且URL结构(都为*.info/lj782mGDl32ki44djfmjkFD3dfjlkh4/Fhjdjkle489_fjGDEkhkDG876F.php)，以及User-Agent、通信格式都高度一致。
通过对Confucius组织本次攻击事件所涉及的基础设施（upxvion[.]info 和 nexnxky[.]info）进行网络测绘分析，我们发现这些基础设施的JARM指纹、服务器特征以及“.info”顶级域的使用均符合该组织此前已知的基础设施测绘特征。
结合受害者为巴基斯坦，符合攻击者目标。

综上将其本次攻击归属于Confucius组织。

#

总结

Confucius组织持续针对南亚地区国家发起高频网络攻击，其攻击手法呈现明显的技术升级与模块化趋势。在本次攻击活动中，该组织仍以LNK文件作为初始攻击载体，但最终下发的载荷采用了基于Python的AnonDoor后门–这一新型载荷此前未在该组织的攻击活动中出现，未来极可能被广泛用于后续攻击。面对此类持续演变的定向威胁，各机构及个人用户亟需提升安全防护意识，尤其需警惕可疑邮件附件、非可信来源的压缩文件及诱导性链接，通过主动防御规避潜在风险。

附录 IOC

MD5

6b0afae982f23b84712147a228886245

a3bba6502f987efae30c3951313452e2

422bf81af2f0e461ede2020648217e16

e34ff54e8ae202c25e3c9db51f39a172

777ee7d08db5bf86a1187a540dc2ffba

4046cd7a59764a6db7132d79a4cf7a8c

00f67ef1cb0d81bdd3f71f4039d2d29f

URL

nexnxky[.]info

upxvion[.]info

参考

[1]https://www.fortinet.com/blog/threat-research/confucius-espionage-from-stealer-to-backdoor

团队介绍

TEAM INTRODUCTION

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360威胁情报中心高级威胁研究院高级威胁研究院《Confucius组织针对巴基斯坦部署AnonDoor后门的攻击活动分析》