2025年11月10日,两个定位在平壤和平壤的Facebook账号同时注册。一个叫"richardmichael0828",一个叫"johnsonsophia0414"。没人注意到这对账号的异常——直到三个月后,韩国Genians安全中心(GSC)发现它们已经渗透进多个目标的社交圈。
这是朝鲜APT37组织(又名ScarCruft)的最新手法。他们不搞漏洞轰炸,也不玩钓鱼邮件那套老把戏。而是先把目标加为好友,聊出信任,再一步步把人引进陷阱。
社交工程的本质不是技术,是时间。
GSC的技术分析显示,攻击者完成整个链条需要数周甚至数月的铺垫。Facebook只是入口,真正的猎场在Messenger和Telegram之间切换。当目标放下戒备,对方会抛出一个看似合理的请求:有一份加密的军事文件,需要专门的PDF阅读器才能打开。
这个阅读器是篡改过的Wondershare PDFelement。安装包看起来正经,启动后却释放shellcode,悄悄连上远程服务器。整个过程没有弹窗,没有报错,用户以为自己在解密文件,实际上在给黑客开门。
被劫持的"正常":日本房产网站成了朝鲜的指挥部
攻击链条里有个细节让GSC的研究员印象深刻。APT37没有租用廉价VPS,也没有自建服务器,而是盯上了一家日本房产信息服务网站的分支——首尔站点。
这个网站叫"japanroom.com",日常提供东京和大阪的租房信息。它的服务器在韩国,流量正常,SSL证书有效,被列入黑名单的概率极低。APT37入侵后,把它改造成了命令控制中心(C2),专门下发恶意指令和第二段载荷。
用被信任的基础设施做坏事,比用恶意基础设施更难被发现。
第二段载荷的传递方式同样讲究伪装。黑客从C2下载一张JPG图片,文件名是"1288247428101.jpg",大小、格式、扩展名都正常。但图片的像素数据里嵌着RokRAT的最终代码,一种朝鲜黑客用了多年的远程控制木马。
GSC把这套组合技评为"高度规避性策略":合法软件篡改、合法网站滥用、文件扩展名伪装,三层掩护叠加,传统杀毒软件几乎不可能在任意一层拦截。
RokRAT的云端藏身术:把Zoho网盘当对讲机
RokRAT本身不是新面孔。这个2017年首次被记录的木马,专门攻击韩国政府、智库和脱北者群体。它的设计哲学很务实:不追求持久化驻留,而是最大化利用现成的云服务。
这次变种把Zoho WorkDrive当成了C2通道。Zoho是印度企业软件巨头,WorkDrive是其网盘产品,企业用户广泛,域名信誉良好。RokRAT通过它上传截图、接收指令、回传系统信息,流量混在正常办公数据里,几乎无法被边界防火墙识别。
Zscaler ThreatLabz在2026年2月追踪到一个代号"Ruby Jumper"的 campaign,同样使用了Zoho WorkDrive作为C2。两起事件的技术特征高度重合,说明这是APT37近期标准化的基础设施选择。
RokRAT的功能清单很直白:截屏、执行cmd.exe命令、收集主机信息、系统侦察。没有花里胡哨的键盘记录或摄像头劫持,全是获取情报的基础操作。这种克制反而危险——它意味着攻击者清楚自己要什么,不会用噪音暴露行踪。
PDF阅读器陷阱:为什么"专用软件"请求总能得手
回看攻击的社交工程环节,有个模式值得拆解。APT37的话术核心是让目标相信:你面前的文件是加密的、敏感的、需要特殊处理的。
这个预设制造了双重压力。一是好奇压力——"军事文件"四个字足以让某些目标放下警惕。二是技术压力——加密文档需要专用工具,这是很多人接受的常识。两个压力叠加,安装一个来路不明的阅读器就显得合理了。
篡改的PDFelement安装包是个精心设计的道具。它包含四份正常PDF文档和一份安装说明,用户按指引操作后,确实能打开文件看到内容。这种"功能正常"的反馈彻底消解了怀疑,而shellcode已经在后台完成了初始立足。
攻击者赌的不是技术漏洞,是人的确认偏误——当你看到文件能打开,就会默认整个过程是安全的。
Facebook和Telegram的组合也有讲究。Facebook用于建立初始信任,公开资料、共同好友、历史动态都是可信度背书。转到Telegram后,端到端加密和阅后即焚功能让后续交流更难被监控,也方便发送ZIP等可能触发平台检测的文件类型。
平壤定位的悖论:故意露馅还是操作失误
两个攻击账号的地理位置都设为朝鲜境内——平壤和平壤。这在专业分析中引发了一些讨论。
一种解读是操作安全疏忽。APT37的成员可能在注册时未关闭定位,或者使用了固定IP段。另一种解读更微妙:这是故意的伪装层。如果账号被发现,"朝鲜定位"可以引导调查者归因于特定国家行为体,掩盖更复杂的真实来源;或者反过来,让安全研究员怀疑"哪有这么明显的黑客",从而低估威胁。
无论哪种情况,这个细节都说明APT37的运营并非无懈可击。但他们的容错空间很大——即使目标中有人起疑,只要整体转化率足够,campaign就值得继续。
GSC没有披露具体的受害人数和成功率。但从攻击链条的完整度来看,这套流程已经过多次迭代优化。Facebook账号的创建时间(2025年11月)到分析披露(2026年初)之间,至少有三个月的活跃窗口。
三个月,两个账号,多平台跳转,多层载荷投递。这不是即兴发挥,是标准化的工业流程。
防御者的困境:当攻击者比用户更懂"正常"
APT37的这次campaign暴露了一个深层问题:安全产品的检测逻辑越来越依赖"异常行为",但高级威胁的操作模式正在向"正常行为"收敛。
被篡改的PDFelement是正版软件的修改版,数字签名可能失效,但普通用户不会检查。C2服务器是合法网站,域名年龄、流量模式、证书链都没有破绽。最终载荷是JPG图片,文件内容恶意但格式合规。Zoho WorkDrive是企业常用工具,数据上传下载都是日常场景。
每一层单独看都正常,串联起来才是攻击。这种"正常性堆叠"让基于单点检测的安全架构很难奏效。
对个人用户的启示很实际:社交平台上突然出现的"好友",即使聊了几周,也不等于可信。任何要求安装额外软件才能查看的内容,都应该用独立设备或虚拟机处理。企业安全团队则需要重新审视"允许列表"策略——当攻击者开始大规模滥用合法服务,基于信誉的放行规则可能需要更细粒度的行为分析补充。
APT37的代号更迭过多次——ScarCruft、Group123、Reaper、Thallium,但核心能力始终稳定:长期潜伏、精准定位、最小暴露。他们不追求一击必杀,而是在目标生态里慢慢织网。
这次Facebook campaign的收尾细节没有被公开披露。GSC的分析止于技术链条的还原,没有说明那两个账号的最终状态,也没有透露是否有目标在发现异常后主动报告。
但有一个数据点值得注意:攻击者选择Telegram作为文件传输渠道,而非Facebook原生功能。这说明他们对平台的内容检测机制有清晰认知,知道哪里是监管的缝隙。这种"平台套利"思维,可能比任何具体的技术手段都更难防御。
当"richardmichael0828"和"johnsonsophia0414"在2025年11月10日点击注册按钮时,它们只是无数新账号中的两个。三个月后,它们成为了进入多个目标的数字跳板。问题是,现在还有多少类似的账号正在积累信任,等待收网?
热门跟贴