近年来,全球网络空间安全形势日益严峻,国家级高级持续性威胁(APT)组织的活动愈发活跃,其中DoNot APT组织的最新动向引发广泛关注。该组织长期以来专注于南亚地区网络侦察和情报收集,2025年初则将攻击目标扩展至欧洲外交部等关键政府机构,利用其标志性恶意软件LoptikMod发起一系列复杂的网络间谍行动。DoNot APT组织又被称为APT-C-35、Mint Tempest、Origami Elephant、SECTOR02以及Viceroy Tiger,自2016年以来活跃。根据全球著名网络安全机构Trellix高级研究中心的分析,DoNot团队以针对政府实体、外交部门、国防机构及非政府组织(NGO)的定向攻击为主要特征,尤其锁定南亚和欧洲地区。此次针对欧洲外交机构的攻击,标志着DoNot APT从传统的地缘政治影响范围跨入更具战略意义的西方政府网络空间,彰显其网络间谍活动的升级与全球化。攻击的核心战术依托于社会工程学手段,攻击者通过精心设计的鱼叉式钓鱼邮件攻击目标用户。
邮件往往伪装成来自军方官员的官方信件,以关注南亚地区事务为由引诱受害者点击邮件中的Google Drive链接,该链接下载的RAR压缩包里包含伪装成PDF文件格式的恶意可执行程序。该恶意程序即LoptikMod远程访问木马(RAT),一旦执行便能在被感染系统上实现持久存在。具体实现手段包括创建计划任务来保证恶意程序自启动,维持对主机的长期控制能力。LoptikMod能够与远程命令控制(C2)服务器通信,收集系统信息,接收后续指令,下载额外模块,并将窃取的数据传输回攻击者。值得关注的是,该恶意软件采用了反虚拟化技术和ASCII混淆手段,用以躲避安全分析人员利用沙箱和虚拟机进行的检测和研究。这种技术阻碍提高了恶意软件的隐蔽性,增加了网络安全防御的难度。
对于为何选择欧洲外交部作为攻击对象,Trellix研究人员认为其背后存在明确的情报收集动机。欧洲国家与南亚地区国家在外交、安全领域的合作紧密,获取欧洲外交机关的数据有助于攻击方了解西方国家的外交政策动向及对南亚地区的参与计划。此次行动不仅仅局限于单纯的网络入侵,更体现了系统性的长期监控和持续数据窃取行为。值得注意的是,Trellix指出此次攻击所用的C2服务器目前处于非活动状态,可能意味着攻击者已转移基础设施以规避追踪,或是暂时中断行动以整顿战术。此举使得安全研究人员难以获取详细指令集及已被窃取数据的具体内容。虽然如此,历史数据表明DoNot APT早已波及欧洲,2016年曾攻击挪威一家电信公司,也曾锁定英国目标。
此次针对主权国家外交部的特定针对,前所未有地暴露出DoNot APT的作战策略升级,标志其由以往的机会主义攻击,迈向更具政治目的的精密间谍行动。网络安全专家认为,这一发展表明DoNot APT背后的操控者加大了投入,扩展情报收集视野,并在技术层面不断完善攻击工具链。LoptikMod作为该组织专有的恶意软件,自2018年以来未做重大变更,但攻击手法持续升级以适应防御环境,例如漏洞利用、钓鱼手法和反分析机制均日趋成熟。由此可见,针对政府机构的网络防御不能止步于基础安全措施,必须增强员工网络安全意识培训,强化对鱼叉式钓鱼攻击的识别能力。同时应部署先进的端点检测与响应系统(EDR),结合行为分析与威胁情报,及时发现并应对异常活动。此外,重视邮件安全防御,采用多层次防护措施,如邮件网关过滤、附件动态分析和多因子认证等手段,也能有效阻断攻击链的初始环节。
对于国际社会而言,DoNot APT的扩展行动揭示了网络空间地缘政治斗争的加剧。各国政府应进一步加强跨国情报共享与协作,联合抵御此类高级网络威胁,共筑国家关键基础设施安全防线。未来,DoNot APT等APT组织可能继续优化攻击工具与战术,拓展新的目标领域,如外交、国防、能源及关键基础设施,网络安全挑战将更加复杂。持续关注APT组织动态,及时调整和升级防御策略,将是维护数字主权和国家安全的重要保障。总体而言,DoNot APT组织利用LoptikMod恶意软件针对欧洲外交部的攻击事件,展示了其技术实力和战略意图的明显提升。面对如此复杂且具高度隐蔽性的网络威胁,政府与企业需采取综合防御姿态,结合技术、管理和培训多维度措施,最大限度降低潜在风险,确保信息安全与国家利益不受侵害。
。
