朝鮮黑客用2個(gè)Facebook賬號(hào)騙了3個(gè)月，專門盯著加密文件下手

2025年11月10日，兩個(gè)定位在平壤和平壤的Facebook賬號(hào)同時(shí)注冊(cè)。一個(gè)叫"richardmichael0828"，一個(gè)叫"johnsonsophia0414"。沒人注意到這對(duì)賬號(hào)的異常——直到三個(gè)月后，韓國(guó)Genians安全中心（GSC）發(fā)現(xiàn)它們已經(jīng)滲透進(jìn)多個(gè)目標(biāo)的社交圈。

這是朝鮮APT37組織（又名ScarCruft）的最新手法。他們不搞漏洞轟炸，也不玩釣魚郵件那套老把戲。而是先把目標(biāo)加為好友，聊出信任，再一步步把人引進(jìn)陷阱。

社交工程的本質(zhì)不是技術(shù)，是時(shí)間。

GSC的技術(shù)分析顯示，攻擊者完成整個(gè)鏈條需要數(shù)周甚至數(shù)月的鋪墊。Facebook只是入口，真正的獵場(chǎng)在Messenger和Telegram之間切換。當(dāng)目標(biāo)放下戒備，對(duì)方會(huì)拋出一個(gè)看似合理的請(qǐng)求：有一份加密的軍事文件，需要專門的PDF閱讀器才能打開。

這個(gè)閱讀器是篡改過的Wondershare PDFelement。安裝包看起來正經(jīng)，啟動(dòng)后卻釋放shellcode，悄悄連上遠(yuǎn)程服務(wù)器。整個(gè)過程沒有彈窗，沒有報(bào)錯(cuò)，用戶以為自己在解密文件，實(shí)際上在給黑客開門。

被劫持的"正常"：日本房產(chǎn)網(wǎng)站成了朝鮮的指揮部

攻擊鏈條里有個(gè)細(xì)節(jié)讓GSC的研究員印象深刻。APT37沒有租用廉價(jià)VPS，也沒有自建服務(wù)器，而是盯上了一家日本房產(chǎn)信息服務(wù)網(wǎng)站的分支——首爾站點(diǎn)。

這個(gè)網(wǎng)站叫"japanroom.com"，日常提供東京和大阪的租房信息。它的服務(wù)器在韓國(guó)，流量正常，SSL證書有效，被列入黑名單的概率極低。APT37入侵后，把它改造成了命令控制中心（C2），專門下發(fā)惡意指令和第二段載荷。

用被信任的基礎(chǔ)設(shè)施做壞事，比用惡意基礎(chǔ)設(shè)施更難被發(fā)現(xiàn)。

第二段載荷的傳遞方式同樣講究偽裝。黑客從C2下載一張JPG圖片，文件名是"1288247428101.jpg"，大小、格式、擴(kuò)展名都正常。但圖片的像素?cái)?shù)據(jù)里嵌著RokRAT的最終代碼，一種朝鮮黑客用了多年的遠(yuǎn)程控制木馬。

GSC把這套組合技評(píng)為"高度規(guī)避性策略"：合法軟件篡改、合法網(wǎng)站濫用、文件擴(kuò)展名偽裝，三層掩護(hù)疊加，傳統(tǒng)殺毒軟件幾乎不可能在任意一層攔截。

RokRAT的云端藏身術(shù)：把Zoho網(wǎng)盤當(dāng)對(duì)講機(jī)

RokRAT本身不是新面孔。這個(gè)2017年首次被記錄的木馬，專門攻擊韓國(guó)政府、智庫和脫北者群體。它的設(shè)計(jì)哲學(xué)很務(wù)實(shí)：不追求持久化駐留，而是最大化利用現(xiàn)成的云服務(wù)。

這次變種把Zoho WorkDrive當(dāng)成了C2通道。Zoho是印度企業(yè)軟件巨頭，WorkDrive是其網(wǎng)盤產(chǎn)品，企業(yè)用戶廣泛，域名信譽(yù)良好。RokRAT通過它上傳截圖、接收指令、回傳系統(tǒng)信息，流量混在正常辦公數(shù)據(jù)里，幾乎無法被邊界防火墻識(shí)別。

Zscaler ThreatLabz在2026年2月追蹤到一個(gè)代號(hào)"Ruby Jumper"的 campaign，同樣使用了Zoho WorkDrive作為C2。兩起事件的技術(shù)特征高度重合，說明這是APT37近期標(biāo)準(zhǔn)化的基礎(chǔ)設(shè)施選擇。

RokRAT的功能清單很直白：截屏、執(zhí)行cmd.exe命令、收集主機(jī)信息、系統(tǒng)偵察。沒有花里胡哨的鍵盤記錄或攝像頭劫持，全是獲取情報(bào)的基礎(chǔ)操作。這種克制反而危險(xiǎn)——它意味著攻擊者清楚自己要什么，不會(huì)用噪音暴露行蹤。

PDF閱讀器陷阱：為什么"專用軟件"請(qǐng)求總能得手

回看攻擊的社交工程環(huán)節(jié)，有個(gè)模式值得拆解。APT37的話術(shù)核心是讓目標(biāo)相信：你面前的文件是加密的、敏感的、需要特殊處理的。

這個(gè)預(yù)設(shè)制造了雙重壓力。一是好奇壓力——"軍事文件"四個(gè)字足以讓某些目標(biāo)放下警惕。二是技術(shù)壓力——加密文檔需要專用工具，這是很多人接受的常識(shí)。兩個(gè)壓力疊加，安裝一個(gè)來路不明的閱讀器就顯得合理了。

篡改的PDFelement安裝包是個(gè)精心設(shè)計(jì)的道具。它包含四份正常PDF文檔和一份安裝說明，用戶按指引操作后，確實(shí)能打開文件看到內(nèi)容。這種"功能正常"的反饋徹底消解了懷疑，而shellcode已經(jīng)在后臺(tái)完成了初始立足。

攻擊者賭的不是技術(shù)漏洞，是人的確認(rèn)偏誤——當(dāng)你看到文件能打開，就會(huì)默認(rèn)整個(gè)過程是安全的。

Facebook和Telegram的組合也有講究。Facebook用于建立初始信任，公開資料、共同好友、歷史動(dòng)態(tài)都是可信度背書。轉(zhuǎn)到Telegram后，端到端加密和閱后即焚功能讓后續(xù)交流更難被監(jiān)控，也方便發(fā)送ZIP等可能觸發(fā)平臺(tái)檢測(cè)的文件類型。

平壤定位的悖論：故意露餡還是操作失誤

兩個(gè)攻擊賬號(hào)的地理位置都設(shè)為朝鮮境內(nèi)——平壤和平壤。這在專業(yè)分析中引發(fā)了一些討論。

一種解讀是操作安全疏忽。APT37的成員可能在注冊(cè)時(shí)未關(guān)閉定位，或者使用了固定IP段。另一種解讀更微妙：這是故意的偽裝層。如果賬號(hào)被發(fā)現(xiàn)，"朝鮮定位"可以引導(dǎo)調(diào)查者歸因于特定國(guó)家行為體，掩蓋更復(fù)雜的真實(shí)來源；或者反過來，讓安全研究員懷疑"哪有這么明顯的黑客"，從而低估威脅。

無論哪種情況，這個(gè)細(xì)節(jié)都說明APT37的運(yùn)營(yíng)并非無懈可擊。但他們的容錯(cuò)空間很大——即使目標(biāo)中有人起疑，只要整體轉(zhuǎn)化率足夠，campaign就值得繼續(xù)。

GSC沒有披露具體的受害人數(shù)和成功率。但從攻擊鏈條的完整度來看，這套流程已經(jīng)過多次迭代優(yōu)化。Facebook賬號(hào)的創(chuàng)建時(shí)間（2025年11月）到分析披露（2026年初）之間，至少有三個(gè)月的活躍窗口。

三個(gè)月，兩個(gè)賬號(hào)，多平臺(tái)跳轉(zhuǎn)，多層載荷投遞。這不是即興發(fā)揮，是標(biāo)準(zhǔn)化的工業(yè)流程。

防御者的困境：當(dāng)攻擊者比用戶更懂"正常"

APT37的這次campaign暴露了一個(gè)深層問題：安全產(chǎn)品的檢測(cè)邏輯越來越依賴"異常行為"，但高級(jí)威脅的操作模式正在向"正常行為"收斂。

被篡改的PDFelement是正版軟件的修改版，數(shù)字簽名可能失效，但普通用戶不會(huì)檢查。C2服務(wù)器是合法網(wǎng)站，域名年齡、流量模式、證書鏈都沒有破綻。最終載荷是JPG圖片，文件內(nèi)容惡意但格式合規(guī)。Zoho WorkDrive是企業(yè)常用工具，數(shù)據(jù)上傳下載都是日常場(chǎng)景。

每一層單獨(dú)看都正常，串聯(lián)起來才是攻擊。這種"正常性堆疊"讓基于單點(diǎn)檢測(cè)的安全架構(gòu)很難奏效。

對(duì)個(gè)人用戶的啟示很實(shí)際：社交平臺(tái)上突然出現(xiàn)的"好友"，即使聊了幾周，也不等于可信。任何要求安裝額外軟件才能查看的內(nèi)容，都應(yīng)該用獨(dú)立設(shè)備或虛擬機(jī)處理。企業(yè)安全團(tuán)隊(duì)則需要重新審視"允許列表"策略——當(dāng)攻擊者開始大規(guī)模濫用合法服務(wù)，基于信譽(yù)的放行規(guī)則可能需要更細(xì)粒度的行為分析補(bǔ)充。

APT37的代號(hào)更迭過多次——ScarCruft、Group123、Reaper、Thallium，但核心能力始終穩(wěn)定：長(zhǎng)期潛伏、精準(zhǔn)定位、最小暴露。他們不追求一擊必殺，而是在目標(biāo)生態(tài)里慢慢織網(wǎng)。

這次Facebook campaign的收尾細(xì)節(jié)沒有被公開披露。GSC的分析止于技術(shù)鏈條的還原，沒有說明那兩個(gè)賬號(hào)的最終狀態(tài)，也沒有透露是否有目標(biāo)在發(fā)現(xiàn)異常后主動(dòng)報(bào)告。

但有一個(gè)數(shù)據(jù)點(diǎn)值得注意：攻擊者選擇Telegram作為文件傳輸渠道，而非Facebook原生功能。這說明他們對(duì)平臺(tái)的內(nèi)容檢測(cè)機(jī)制有清晰認(rèn)知，知道哪里是監(jiān)管的縫隙。這種"平臺(tái)套利"思維，可能比任何具體的技術(shù)手段都更難防御。

當(dāng)"richardmichael0828"和"johnsonsophia0414"在2025年11月10日點(diǎn)擊注冊(cè)按鈕時(shí)，它們只是無數(shù)新賬號(hào)中的兩個(gè)。三個(gè)月后，它們成為了進(jìn)入多個(gè)目標(biāo)的數(shù)字跳板。問題是，現(xiàn)在還有多少類似的賬號(hào)正在積累信任，等待收網(wǎng)？