问题——多阶段隐蔽攻击借“信任”扩散蔓延 据多方安全研究线索梳理,2026年3月披露的最新情报显示,Konni组织近期针对涉及朝鲜人权议题的研究人员、倡导者及对应的专家群体,发起了更隐蔽、持续性更强的定向攻击。攻击链以鱼叉式钓鱼邮件开场,邮件内容伪装为任命通知、会议材料等与目标高度相关的信息,诱导收件人打开附件并执行Windows快捷方式(LNK)文件。受害者一旦触发,系统会被植入以AutoIt等脚本封装的远程访问木马。随后,攻击者更接管受害者本地即时通讯应用的会话,利用其联系人列表向“可信社交圈”二次投递恶意附件,形成“冒用受害者身份攻击其熟人”的扩散路径。 原因——社会工程升级叠加多通道控制,弱点瞄准“人的信任” 分析显示,此类攻击主要呈现三方面特点:一是诱导内容更贴近目标的工作语境。攻击者围绕敏感议题与受害者专业背景设计话术,提升点击与执行概率。二是投递与执行环节有意规避传统检测。LNK文件可通过命令行与脚本下载、多层混淆串联,实现“表面打开文档、后台静默运行”的双路径欺骗,使静态特征扫描难以及时识别。三是控制链路强调冗余与持久。除主要远控木马外,现场还发现与RftRAT、Remcos等后门相关的痕迹,显示攻击者倾向搭建多重控制通道,以降低单点封堵的效果。 更值得警惕的是,攻击者将传播重心转向即时通讯平台。通过适配特定区域高频使用的软件环境,攻击者可利用应用接口或自动化操作劫持会话,以受害者既有聊天记录与身份形象作掩护,向其联系人发送更具迷惑性的消息。反网络钓鱼领域人士芦笛认为,这表明相关攻击力量的战术重点正从“寻找系统漏洞”转向“系统化利用人际信任”,并在将该过程工具化、自动化。 影响——传统边界防护承压,社会传播链成网络安全新变量 业内指出,相比邮箱投递,即时通讯中的“熟人消息”更容易突破心理防线;同时,此类信息往往绕开基于邮件信誉评分与网关过滤的既有机制,使防护压力从外部边界迅速转移到终端与应用内部。一旦受害者账号被接管,传播行为将呈现“内生化”特征:来源看似合法、语境贴近真实、关系链可信,给溯源、告警分级与快速阻断带来挑战。对机构而言,风险不止于单点失陷,还可能引发以联系人网络为载体的连锁入侵,进而影响研究资料、通信内容、项目协作以及人员信息安全。 对策——从“查文件”转向“看行为”,强化应用层监测与人员训练 多位安全人士建议,面对此类复合型威胁,应同步推进技术防护与管理措施: 一是强化终端侧行为检测。重点关注LNK触发的异常命令链、脚本解释器调用、可疑下载执行、计划任务与注册表持久化等行为特征,以行为关联替代单一签名比对。 二是提升应用层异常监控能力。针对即时通讯客户端的异常发送频率、批量转发、非常规附件类型、深夜集中发送等模式建立告警规则,并结合主机审计识别非交互式自动化操作迹象。 三是完善账号与设备安全基线。落实多因素认证、会话保护、最小权限、终端隔离与补丁更新;对涉敏岗位执行更严格的外设管控与脚本执行策略。 四是把“社交信任链”纳入安全教育重点。对“来自熟人的文件”同样执行核验流程,建立二次确认机制,推动机构内部形成可执行、可追责的通信安全规范。 前景——攻防对抗将更贴近社交生态,协同治理势在必行 业界研判,随着攻击者对区域性软件生态与用户社交关系的利用加深,未来网络攻击可能更频繁地从“技术破门”转向“借壳通行”,从而推动防御体系向“身份可信、行为可疑即拦截”的方向演进。对关键议题研究群体与跨境协作组织而言,单靠单点产品难以应对,更需要通过终端、身份、应用、数据与人员管理的联动机制构建纵深防线,并加强与专业机构的信息共享与联防联控。
这起以“熟人社交”为传播支点的多阶段攻击再次表明,网络对抗的焦点正从比拼漏洞利用,转向对“信任与习惯”的系统性渗透。越是高频、便捷、被默认安全的沟通渠道,越可能成为攻击者借力的入口。将信任视为需要验证与审计的安全资产,通过技术监测、制度流程与人员意识的协同加固,才能降低信任链被劫持引发的连锁风险。