文章总结： 本文深度分析DarkHotelAPT组织二十年攻击演进，指出该组织疑似与韩国国家利益关联，以酒店WiFi定向攻击、HTA投递、Flash0day利用及RTLO社工为核心手法，针对东亚地区高价值目标开展网络间谍活动。文章系统梳理其恶意软件武器库与防御规避技术体系，并映射MITREATT&CK框架，建议企业加强WiFi安全管控、HTA文件拦截及供应链验证以有效防御。 综合评分： 85 文章分类： 威胁情报,漏洞分析,恶意软件,应急响应,安全意识

DarkHotel APT组织最新攻击活动深度分析

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年6月20日 18:00 广东

在小说阅读器读本章

去阅读

目录

• 一、DarkHotel组织概述
• 二、攻击活动时间线（2004–2025）
• 三、标志性攻击手法：酒店WiFi定向攻击深度剖析
• 四、DUBNIUM活动与Flash漏洞利用链深度拆解
• 五、RTLO社工与RAR附件攻击技术解析
• 六、恶意软件武器库与演进谱系
• 七、防御规避技术体系
• 八、MITRE ATT&CK技术映射
• 九、检测与防御建议
• 十、未来趋势与威胁评估

一、DarkHotel组织概述

DarkHotel（又称DUBNIUM、Zigzag Hail），是一个疑似与韩国国家利益关联的高级持续性威胁组织。该组织自2004年以来持续活跃，是东亚地区持续时间最长、手法最独特的APT组织之一。其最标志性的攻击手法是通过酒店WiFi网络对出差高管和外交人员进行定向攻击——”DarkHotel”之名由此而来。

1.1 组织画像

| 属性 | 详情 | | — | — | | 组织代号 | DarkHotel / DUBNIUM / Zigzag Hail | | 疑似归属 | 韩国（高度疑似，未官方确认） | | 活跃时间 | 2004年至今（超过20年） | | 主要目标 | 朝鲜、中国、日本、俄罗斯、东南亚 | | 攻击动机 | 网络间谍、情报收集、地缘政治 | | 技术水平 | APT级，擅长0day利用和社工 | | 核心工具 | HTA下载器、SSH后门、信息窃取器、键盘记录器 | | 标志性特征 | 酒店WiFi攻击、HTA文件投递、RC4/XOR多层加密、窃取代码签名证书 | | MITRE ID | G0012 |

1.2 历史重大攻击事件

| 时间 | 事件 | 目标 | 技术特征 | | — | — | — | — | | 2004–2007 | 酒店WiFi攻击 | 亚洲出差高管 | WiFi劫持+恶意iframe | | 2007–2010 | HTA下载器攻击 | 朝鲜相关目标 | 恶意HTA+Adodb.stream | | 2010 | Brookings文章社工 | 朝鲜研究学者 | 伪装智库文章+HTA | | 2012 | 朝鲜旅游群体攻击 | 朝鲜经济学者 | 恶意邮件链接+HTA | | 2014.11 | Kaspersky披露报告 | 全球安全社区 | 首次公开完整技术分析 | | 2015 | Hacking Team 0day利用 | 外交/商业目标 | Flash CVE-2015-8651 | | 2015 | RTLO RAR社工 | 韩国目标 | Right-to-Left Override | | 2016 | DUBNIUM活动 | 东亚多国 | Flash漏洞+代码签名 | | 2017–2018 | P2P/USB传播 | 东亚企业 | 可移动媒体感染 | | 2019–2020 | 供应链攻击 | 软件用户 | 软件更新劫持 | | 2020 | COVID-19钓鱼 | 全球目标 | 疫情主题社工 | | 2023 | Zigzag Hail新命名 | 东亚目标 | 微软威胁_actor命名 | | 2024–2025 | 持续活跃 | 东亚定向 | AI增强社工 |

1.3 与其他APT组织的关系

DarkHotel的归属判定存在一定争议：

| 归属线索 | 分析 | | — | — | | 攻击目标 | 主要针对朝鲜、中国、俄罗斯——与韩国情报利益高度一致 | | 语言特征 | 韩文诱饵文档、韩语编码特征 | | 地缘政治 | 攻击活动与朝韩关系紧张期高度吻合 | | 技术特征 | 与Lazarus Group（朝鲜）存在明显差异，但偶有工具重叠 | | 运营规模 | 中等规模，专注于高价值目标，非大规模投放 |

核心判断：DarkHotel极可能是韩国情报机构支持的网络间谍组织，其攻击活动与韩国对朝情报收集、东亚地缘政治监控的战略需求高度一致。

二、攻击活动时间线（2004–2025）

2.1 酒店WiFi+HTA时代（2004–2012）

DarkHotel早期攻击模式:

`

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全分析与研究 pandazhengzheng pandazhengzheng《DarkHotel APT组织最新攻击活动深度分析》