APT黑客利用Korplug加载器和恶意USB驱动器攻击

根据 ESET 2025 年第一季度 APT 活动报告披露，APT组织针对欧洲政府和工业实体的活动持续。

该报告涵盖了 2024 年 10 月至 2025 年 3 月的活动，重点介绍了这些威胁组织渗透敏感网络所采用的复杂策略和工具。

Mustang Panda被认为是主要参与者，其利用 Korplug 加载器和恶意 USB 驱动器组合攻击政府机构和海上运输公司。

这些加载器通常用于部署辅助有效载荷，能够在受感染的系统上实现隐秘持久性，而 USB 驱动器则可作为有效的感染媒介，利用对隔离环境的物理访问。

其他APT组织，如 DigitalRecyclers 和 PerplexedGoblin，也一直在积极瞄准欧洲实体，利用先进的后门和匿名网络来维持秘密行动。

DigitalRecyclers 针对欧盟政府机构部署了 RClient、HydroRShell 和 GiftBox 后门，并使用 KMA VPN 网络混淆其命令和控制 (C2) 通信。

PerplexedGoblin 推出一款名为 NanoSlate 的新型间谍后门，专门针对中欧政府实体。

ESET 研究人员还指出， ShadowPad 集群可能除了从事间谍活动外，还参与勒索软件以获取经济利益，而 Worok 则经常使用 HDMan、PhantomNet 和 Sonifake 等共享工具集，凸显了追踪重叠活动所面临的复杂归因挑战。

研究人员指出，这些 APT 通常优先考虑长期访问权而不是即时的经济回报。ESET 报告强调，报告的情报来自专有遥测数据并经过专家研究人员的验证。

技术报告：

https://www.welivesecurity.com/en/eset-research/eset-apt-activity-report-q4-2024-q1-2025/

新闻链接：

https://gbhackers.com/chinese-apt-hackers-target-organizations/