近年来,随着网络安全威胁日益严峻,国家级的网络间谍行动频繁曝光,尤其是在地缘政治敏感区域,网络攻击手段不断升级。2025年Seqrite实验室揭露的HanKook Phantom行动便是一个典型案例,显示出朝鲜关联的高级持续性威胁组织ScarCruft(别名APT37)针对韩国学术界发动的网络攻击活动。该行动借助恶名昭彰的RokRAT恶意软件,企图窃取敏感情报并建立长期潜伏,进一步推动其间谍活动。HanKook Phantom行动的发现令韩国安全界和全球网络安全产业高度警惕,凸显了国家研究机构及学者群体成为网络犯罪集团重点攻击目标的趋势。HanKook Phantom行动的攻击载体主要通过针对性极强的鱼叉式钓鱼邮件展开。攻击者利用了南韩国家情报研究机构相关的知名研究组织的名义,伪装成"国家情报研究协会通讯-第52期"的电子期刊,诱使目标点击并下载附件。
邮件内的ZIP文件含一个伪装成PDF文档的Windows快捷方式(LNK),用户一旦开启便触发恶意程序,表面上显示该新闻通讯作为欺骗手法,实则在后台植入并释放恶意软件RokRAT。RokRAT作为APT37集团惯用的攻击工具,具备高度多功能性。它能够自动收集感染主机的系统信息,执行定制命令,枚举文件系统,捕获屏幕画面并下载后续载荷。更为隐蔽的是,攻击者借助Dropbox、Google云、pCloud以及Yandex云存储实现数据窃取的隐蔽通道,躲避传统安全防护监测。Seqrite实验室还发现HanKook Phantom行动的第二波攻击中,攻击载体再次利用LNK文件启动一个经过混淆的Windows批处理脚本。此脚本借助无文件PowerShell技术部署一个恶意下载器,随后运行下阶段的有效载荷,盗取目标主机中的敏感信息,且通过模拟Chrome浏览器文件上传请求的方式隐藏网络流量。
这种高级的隐匿传输手段使得检测与追踪更加困难。一份假扮信件则引用了朝鲜劳动党宣传与信息部副部长金与正于2025年7月28日发表的声明,强调拒绝首尔和解努力,将政治信息作为诱饵,极具针对性地击中韩国相关学术与政府部门人士的心理防线。该攻击不仅局限于军事或政府领域,更多面向学术研究机构、情报研究者、前官员及相关专家群体,说明攻击团伙意图通过长期监控与渗透,获取深层敏感数据并支持未来的战略行动。APT37,也称为ScarCruft或InkySquid,是朝鲜最活跃且高度复杂的网络攻击组织之一,已有多次利用定制开发恶意软件对外情报收集及网络破坏行为。本次采用的RokRAT是一款植根于文件系统和内存的多功能木马,能够有效突破传统防御体系,持续潜伏并窃取机密。HanKook Phantom行动正体现了国家级网络攻击对于学术界的新型威胁模式。
韩国学界因涉及国家安全、技术研发和政策制定,成为网络间谍获取情报和扰乱工作的重要对象。此外,行动揭示了鱼叉式钓鱼依然是APT组织首选攻击手段,通过精准的社会工程学设计,诱导目标执行恶意代码,迅速实现初始感染。攻击者利用信息伪装和文件混淆技术,显著提升了防御难度,对安全团队形成极大挑战。值得关注的是数据泄露渠道设计巧妙,利用合法云存储服务作为数据交换中转,分散流量特征,规避安全检测软件的规则匹配,反映了APT攻击集团不断演进的攻击策略。面对HanKook Phantom行动,韩国政府及研究机构需强化电子邮件安全策略,重点提升对鱼叉式钓鱼的防范能力,结合先进的检测手段,比如行为分析、沙箱检测与人工智能辅助监测系统,形成多层次防御。对LNK文件及无文件执行技术的研究亦不可忽视,以实现快速溯源与响应。
值得一提的是,ScarCruft组织的攻击活动并非孤立存在。同期其它朝鲜支持的黑客组织,如臭名昭著的Lazarus集团也在全球范围内施展攻击,包括利用ClickFix战术假冒硬件驱动更新,诱骗视频求职者中招。Lazarus通过JavaScript恶意脚本及Python后门实现对目标系统的完全控制和隐秘窃取,延伸出多样的信息战路径。这反映出朝鲜APT组织背后具备成熟的基础设施与高度协调的攻击能力,广泛涉足从传统情报到区块链游戏开发的多个领域,为资金筹集与信息渗透构筑坚实基础。美国财政部OFAC针对相关供应链和个人的制裁措施进一步表明国际社会对朝鲜远程信息技术人员参与非法活动态度的日渐严厉与零容忍。总结来看,HanKook Phantom行动揭示了以APT37为代表的朝鲜网络间谍团伙针对韩国核心学术研究领域的新一轮严峻挑战。
面对攻击者技术手段持续升级和攻势深远,防御体系需及早布局,融合威胁情报分享、全方位安全教育和先进技术,实现对钓鱼攻击及隐蔽恶意软件的主动防御。学术界及安全社区只有联合协作,方能筑牢网络空间安全防线,保障国家科研及情报安全稳步发展。同时,此事件也警醒全球在网络安全格局日益复杂的年代,针对科研、政府及关键基础设施的网络攻击将呈现更多新型形式,各国均需加强跨境合作与技术创新,切实提升防御能力,保护国家利益与信息主权。不论是通过严密的防御战略,还是高效的响应机制,防范类似HanKook Phantom行动的高级持续性威胁,将成为未来网络安全工作的核心课题。唯有如此,才能在技术主导的时代持续维护和平与稳定,捍卫数字化世界的安全底线。 。
