仿冒域名与新型攻击链：Patchwork组织针对中国的网络攻势研究

近年来，高级持续性威胁（APT）组织针对特定地区和行业的攻击活动日益频繁，其中Patchwork组织（又称Dropping Elephant、APT-C-09）因其长期针对中国、巴基斯坦、孟加拉国等南亚地区的外交、教育、科技领域进行网络攻击而备受关注。该组织以高度定制化的攻击工具和复杂的攻击链著称，常利用社会工程学手段（如钓鱼邮件、伪装文档）诱骗目标运行恶意负载，进而窃取敏感信息或部署后门程序。

Patchwork组织的攻击活动通常具有明确的地缘政治和经济目的，其攻击目标多为政府机构、科研单位及高等教育机构。近年来，该组织不断更新其攻击手法，结合多种技术手段（如白加黑、加密Shellcode、远程脚本加载）以规避安全检测。此外，其攻击基础设施中大量仿冒国内单位的域名也表明，Patchwork组织在攻击准备阶段投入了大量资源，以增强攻击的隐蔽性和成功率。

在此背景下，我们对Patchwork组织近期发起的恶意攻击活动进行了深入分析，揭示了两条主要攻击链及其技术细节。攻击链一（LNK->PDF+Loader->BadNews）主要针对国内目标，通过诱骗用户运行LNK文件，分阶段下载PDF文件、白文件、恶意DLL及加密Shellcode，最终解密并执行Patchwork组织的专属特马BadNews。攻击链二（LNK->PS->白+黑+加密负载->Shellcode Loader->Havoc框架）则利用LNK文件加载远程Powershell脚本，通过复杂的白加黑技术及加密负载，最终解密并加载Havoc框架以实现攻击目的。

通过对攻击链二样本的关联分析，我们发现该组织的攻击活动不仅限于国内，还涉及南亚地区，例如针对孟加拉国的钓鱼邮件攻击。此外，攻击者还使用包含OLE对象的DOCX文件加载LNK文件，进一步扩展了攻击面。资产分析显示，Patchwork组织注册了大量仿冒国内单位的域名，主要涉及外交、教育、科技等领域，表明其攻击目标具有高度针对性。

本报告详细剖析了攻击链的技术实现、样本关联及资产信息，为防御此类攻击提供了重要参考。Patchwork组织的攻击手法复杂且隐蔽，需引起相关单位的高度警惕，并采取针对性的防护措施。

根据攻击活动中加载的文件类型及最终攻击负载的不同，我们将近期捕获的样本分为两类攻击链。第一类攻击主要针对国内用户，最终加载的特马为BadNews（该特马在我们此前报告中已有详细分析，本文不再赘述）。第二类攻击主要针对南亚地区，但通过对相关资产的测绘分析，我们发现该组织仍在积极筹备针对我国的攻击活动，显示出其持续的地缘政治意图。

在该攻击链模式下，我们捕获到的样本如下：

样本一：以“国家重点研发计划重点专项项目实施工作方案”为诱饵，引诱目标运行LNK文件，执行后下载PDF文件、白文件、恶意DLL文件以及加密的Shellcode数据，此样本中我们未捕获到后续文件。

样本二：该文件以“2025年‘硕博连读’选拔评审成绩（军队计划）”为诱饵，引诱目标运行LNK文件，执行流程与上相同，后续加载Patchwork特马BadNews。

相关诱饵文件如下

样本三：以“中国气象局人工影响天气中心文件”为话题，引诱目标运行LNK文件，执行流程与上相同，后续同样加载Patchwork特马BadNews。

相关诱饵文件如下

我们捕获Patchwork使用Havoc框架的初始阶段样本信息如下：

该LNK文件托管在URL：

hxxps://army-mil.zapto.org/webdav/DH-Report76.pdf.lnk，该域名来自动态域名服务提供商zapto.org，文件运行后将执行远程文件f.ps1

f.ps1脚本包含指令执行后将下载远程文件sppc.dll、onelog.dll到本地，复制本机phoneactivate.exe文件到%Temp%目录并更名为word.exe，最后在开机自启目录创建快捷方式实现持久化，启动"word.exe"。该文件启动后将加载sppc.dll恶意DLL文件

下载文件信息如下：

sppc.dll文件用于DLL劫持，由白文件phoneactivate.exe加载，加载后将读取onelog.dll文件

sppc.dll调用SystemFunction033进行解密，用于解密有效载荷的密钥是nbmavjzjlsbpixbddwqqmkqrdejdihrq

解密后的onelog.dll包含Shellcode加载器以及下一阶段DLL

Shellcode加载器通过实现DJB2算法来解析API函数

最终有效负载为Havoc框架，其配置信息如下

依据提取的样本特征，我们在狩猎平台上发现的其他关联文件如

样本一为上传自孟加拉国的钓鱼邮件，邮件收件人为孟加拉国财政部金融机构部联合秘书Kamrul Hoque Maruf先生，邮件描述了发件人疑似遭遇的诈骗交易，并请求银行调查及退款，附件为交易详情。

附件包含PDF文件与LNK文件，LNK文件名为Transaction_of_7350_BDT.pdf.lnk，在引诱目标运行后，将执行远程Powershell脚本，并打开本地同名的PDF文件

PDF文件内容为邮件中提到的交易记录。

其远程执行的脚本疑似使用LLM生成，主要功能为下载远程文件到本地

下载文件信息如下：

与上述样本相同的是，此文件加载流程仍为白+黑加载Shellcode执行。不同的是，该样本未下载用于DLL劫持的可执行文件，其直接将恶意DLL文件及加密数据下载到了OneDrive目录，以便在OneDrive.exe启动时直接加载恶意负载。

此样本在通信中使用的域名（uat-updates.gateway.ceair.com.81-cn.info）中包含的cn、ceair（中国东方航空）等缩写，表明攻击者可能将中国作为主要目标之一。该域名解析到IP：47.236.170.136，该IP绑定的域名自2024年3月开始活跃，主要针对中国、巴基斯坦的政府、外交、教育等领域，涉及仿冒国内单位的域名如下：

针对性不强及仿冒邮箱登录的域名如下

针对巴基斯坦的域名如下

样本二同样上传自孟加拉国，其初始攻击负载是DOCX，文件内容与钓鱼邮件内容相似，均描述了孟加拉塔卡欺诈交易，并请求相关部门追回。

DOCX文档中嵌入了Shell.Explorer.1 OLE对象， 此样本中的OLE对象充当嵌入式Internet Explorer，用户双击后将运行远程文件：hxxp://47.76.135.130/microsoft-365-ms/ZONE2/Scam_Transaction_of_7350_BDT.pdf.lnk

该IP可关联到文件

该LNK文件同样执行远程Powershell脚本，后下载DLL文件与加密数据，并通过白+黑的方式加载运行

我们未捕获到关于此样本的后续文件。

Patchwork组织的攻击活动展现了一定的技术复杂性和针对性。长期以来，该组织不仅针对国内目标，还将攻击范围扩展至南亚地区，利用钓鱼邮件、恶意文档及仿冒域名等多种手段实施攻击。其攻击手法结合了社会工程学、加密技术和多阶段加载策略，成功规避了部分安全检测，显示出较强的隐蔽性和适应性。

相关单位需提高警惕，加强对钓鱼邮件、恶意文档及异常网络流量的监测，同时定期更新威胁情报，以有效防御此类高级持续性威胁。