文章总结： 2026年第一季度朝鲜背景APT组织活动高度活跃，其中Kimsuky组织最为频繁（占37.5%）。该组织采用AI辅助恶意软件开发、Google广告基础设施滥用、多阶段载荷投递等复合战术，重点针对韩国政府、金融机构及区块链开发团队。关键发现包括首次确认使用AI生成PowerShell后门、利用社交媒体二次传播、聚焦朝鲜半岛相关议题。建议加强钓鱼邮件检测、广告流量监控及多阶段攻击防护。 综合评分： 85 文章分类： 威胁情报,恶意软件,漏洞分析,红队,安全运营

2026年第一季度疑似朝鲜背景的APT组织综合分析

原创

BaizeSec BaizeSec

白泽安全实验室

2026年4月10日 09:01 北京

一、APT组织攻击活动背景概述

2026年第一季度，朝鲜背景的APT组织活动呈现高度活跃态势，共监测到6个主要活跃组织，分别为Kimsuky（APT43/Konni）、Lazarus Group（APT45/Andariel）、UNC1069、APT37（ScarCruft/Ruby Sleet）、WaterPlum（Famous Chollima/PurpleBravo）以及UAT-10027。其中Kimsuky活动频次最高，在监测周期内共发起9次攻击行动，占全部事件的37.5%，显示出该组织在本季度的绝对主导地位。Lazarus Group以7次攻击行动位居第二，WaterPlum组织有4次明确攻击记录，UNC1069和APT37各有2次攻击活动，UAT-10027有1次攻击记录。

二、Kimsuky组织攻击事件综合分析

2026年第一季度，Kimsuky组织展现出高度进化的攻击能力，采用”AI辅助恶意软件开发+广告基础设施滥用+多阶段载荷投递+社交媒体二次传播”的复合型战术。在初始渗透阶段，该组织主要采用鱼叉式网络钓鱼作为主要投递方式，同时利用Google广告重定向机制、compromised WordPress网站等基础设施，通过LNK恶意文件、AutoIt脚本等载体实现初始访问。

在漏洞利用阶段，Kimsuky组织展现出较强的漏洞挖掘和利用能力。2026年第一季度主要利用的漏洞包括：CVE-2017-11882（Microsoft Office内存破坏漏洞）、CVE-2019-0708（Remote Desktop Services远程代码执行漏洞）等。这些漏洞主要用于绕过安全防护机制，实现远程代码执行。

在载荷投递和执行阶段，Kimsuky组织采用多阶段载荷投递机制。通过WebDAV协议、compromised网站等途径下载恶意载荷，最终执行MiradorShell、EndRAT、BabyShark、AppleSeed等一系列恶意软件。攻击者还利用AI生成的PowerShell后门，展现出较高的自动化和隐蔽性。

在持久化控制阶段，Kimsuky采用多种持久化技术，包括计划任务创建、注册表修改、启动项添加等。同时，攻击者利用compromised社交媒体账户（如KakaoTalk）实现二次传播，确保攻击活动的持续性。在数据窃取方面，重点针对电子邮件账户、云身份凭证、敏感文档、系统信息等进行窃取，并利用compromised网站、云存储等作为C2通信基础设施。

在反分析阶段，Kimsuky组织综合运用了多种反沙箱、反调试与反虚拟机技术，主要包括虚拟机环境检测、安全分析工具特征检测、人机交互行为检测等手段。同时，该组织还利用AI辅助生成恶意代码以提升代码混淆度与分析对抗能力，并通过已攻陷的第三方基础设施（C&C服务器、中转节点等）开展攻击活动，以此降低自身攻击链路被溯源追踪的风险。

三、Kimsuky组织攻击活动战略核心特点

综合分析表明，Kimsuky组织的攻击呈现出以下鲜明特点：

其一，AI辅助恶意代码开发成为新常态。2026年Kimsuky组织被确认使用AI生成PowerShell后门，代码结构清晰、注释完善，展现出AI辅助开发的特征。这不仅提高了恶意代码的开发效率，也增加了安全分析的难度。

其二，广告基础设施滥用成为主要初始访问手段。攻击者利用Google Ads、DoubleClick等正常广告基础设施的重定向机制，将恶意URL隐藏在广告参数中，有效绕过电子邮件安全过滤和URL信誉检测。

其三，多阶段载荷投递体系高度模块化。Kimsuky形成了以LNK文件、AutoIt脚本、PowerShell后门为核心的模块化攻击体系，各组件职责明确，可根据目标环境动态调整载荷组合。

其四，社交媒体账户滥用实现二次传播。攻击者在成功渗透目标后，会访问受害者的KakaoTalk等社交媒体账户，向好友列表发送恶意文件，利用信任关系扩大攻击范围。

其五，攻击目标高度聚焦朝鲜半岛相关议题。Kimsuky组织重点围绕韩国、日本、美国等国家的政府机构、学术界、智库、人权组织等目标，攻击主题涉及朝鲜人权、金融安全、区块链技术等。

四、Kimsuky组织典型攻击事件分析

案例一：2026年1-2月Operation Poseidon（海神行动）——Google广告重定向机制滥用攻击

2026年1-2月，Kimsuky组织实施了代号为”Operation Poseidon”的专项攻击行动，主要针对韩国金融机构、人权组织等目标。攻击者利用Google Ads广告重定向机制，将恶意URL隐藏在广告参数中，成功绕过安全检测。

攻击过程分析：

初始投递阶段，攻击者通过鱼叉式钓鱼邮件发送包含恶意下载链接的邮件，链接伪装为Google Ads广告URL。载荷投递阶段，受害者点击链接后经Google Ads 重定向，从已沦陷的WordPress网站下载含有LNK恶意文件的ZIP压缩包。执行阶段，LNK文件执行后通过PowerShell解密并执行内嵌恶意脚本，下载AutoIt3.exe及伪装PDF文件。持久化阶段，创建计划任务，每5分钟执行一次MiradorShell v2.0后门以实现驻留。数据窃取阶段，通过C2服务器窃取系统信息、文档、凭证等敏感数据。

案例二：2026年1月区块链主题钓鱼攻击——AI生成PowerShell后门首次确认

2026年1月，Check Point Research发现Kimsuky组织实施了针对软件开发人员和工程团队的钓鱼攻击，主题为区块链相关项目。此次攻击首次确认使用AI生成的PowerShell后门。

攻击过程分析：

初始投递阶段，攻击者通过Discord等渠道分发包含恶意ZIP压缩包的链接。载荷投递阶段，ZIP文件包含PDF诱饵文档和LNK恶意文件。执行阶段，LNK文件执行后，提取CAB压缩包，创建伪装成OneDrive启动任务的计划任务，执行XOR解密的PowerShell后门。AI特征分析：该PowerShell后门代码结构清晰，包含详细的文档注释，如”This script ensures that only one instance of this UUID-based project runs at a time. It sends system info via HTTP GET every 13 minutes.”，并包含典型的LLM生成代码特征，如”# <– your permanent project UUID”注释。

五、网络攻击事件影响评估

此次攻击活动标志着Kimsuky组织开始采用AI辅助恶意代码开发，攻击目标从传统的政府机构扩展到软件开发团队，意图获取区块链相关基础设施和API凭证的访问权限。

参考链接：

https://www.genians.co.kr/blog/threat_intelligence/spear-phishing

https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/?_gl=1*f083p8*_gcl_au*NTM4MTU1ODUzLjE3NjgyNjQ1NTg

https://mp.weixin.qq.com/s/h2TRwzeB-72Mc5Nhv9TyXg

https://mp.weixin.qq.com/s/PNTDJ9lGWkTGiGW6jveWpg

往期推荐

LockBit勒索组织发布声明并重建泄露网站——每周威胁情报动态第166期（2.23-2.29）

GoldFactory组织开发针对iOS系统的GoldPickaxe木马病毒——每周威胁情报动态第165期（2.9-2.22）

新APT组织APT-LY-1009针对亚美尼亚政府投递VenomRAT——每周威胁情报动态第164期（02.02-02.07）

APT28组织对全球多个组织发起NTLMv2哈希中继攻击——每周威胁情报动态第163期（01.26-02.01）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白泽安全实验室 BaizeSec BaizeSec《2026年第一季度疑似朝鲜背景的APT组织综合分析》