【态势情报】摩诃草组织针对亚洲地区的网络间谍活动分析

事件摘要

2025年7月，摩诃草组织（APT-Q-36）针对亚洲地区的网络间谍活动再次被发现。该组织通过仿冒国内高校域名的远程服务器，下载诱饵文档和后续载荷，后续载荷为Rust编写的加载器，利用shellcode解密并内存加载C#木马。攻击目标为电力能源行业的研究人员。攻击中使用的恶意LNK文件伪装为PDF文档，下载后续载荷并设置计划任务。加载器伪装成系统程序，解密并执行内置的shellcode，最终加载C#木马Protego，进行信息收集和远程控制。该组织还使用了多个开源木马模块，显示出其持续的攻击能力和针对性。受害者主要为高校和科研机构，攻击者通过伪装合法来源来隐藏其恶意行为。

事件概况

事件时间：2025-07	 
目标国家/地区：中国
事件类型：APT事件  数据窃取事件
目标行业：科学研究、教育
事件影响：数据泄露 数据完整性破坏 业务中断
目标机构：--
情报来源：cn-sec.com
黑客组织：白象

关键结论

事件背景

摩诃草组织（APT-Q-36）被认为具有南亚地区背景，自2009年11月以来持续活跃，主要针对亚洲国家进行网络间谍活动，攻击目标包括政府、军事、电力、工业、科研教育、外交和经济等领域的组织。近期，该组织通过仿冒高校域名的远程服务器下载诱饵文档和后续载荷，攻击目标可能是电力能源行业的研究人员。

攻击概要

攻击使用了伪装为PDF的LNK文件（MD5: 8930abf86e2e94b1a4b373e25d01f2ff），通过下载诱饵文档后，执行命令下载后续载荷，重命名为Winver.exe（C#木马Loader，MD5: e5cfa25f8f3fab90dc1777ac1b96c890）。该加载器使用Rust编写，解密内置的shellcode并内存加载C#木马（MD5: 29e584797a4c1bb71e8c1c018bd431ad）。木马通过C2服务器（hxxps://arpawebdom.org/bIHTfcVHegEoMrv/WCcod7JY3zwUpDH.php）与攻击者建立连接，执行信息收集、命令执行等功能。攻击者还使用了多个开源木马模块，如Quasar RAT和SantaRat，进行情报窃取。

事件影响

此次攻击活动的主要影响在于针对电力能源行业的研究人员，可能导致敏感信息泄露。攻击者通过伪装合法来源，隐藏其恶意行为，增加了检测和防御的难度。受害者终端上可能被下发多个恶意载荷，进一步加剧了安全风险。

应对措施

针对该安全事件，建议用户提高警惕，防范钓鱼攻击，避免打开不明链接和邮件附件，及时备份重要文件，更新系统补丁。使用奇安信威胁情报平台进行文件深度分析，以识别潜在威胁。此外，奇安信的多款安全产品已支持对该类攻击的精确检测，用户应积极部署相关防护措施。

攻击技战术

病毒木马（3）

攻击手法（7）

威胁防范

处置建议（5）

威胁指标IOC：