2025年7月16日,Seqrite Labs发布研究报告指出,一个被追踪为UNG0002(又称未知组织0002)的高级持续性威胁(APT)集群,自2024年5月起持续对中国、香港和巴基斯坦等亚洲地区开展网络间谍活动。该组织表现出高度的战术一致性和技术成熟度,攻击目标涵盖国防、电工工程、能源、民航、医疗、学术界、游戏、网络安全及软件开发等多个敏感行业,意在窃取知识产权及高价值信息。
UNG0002主要通过鱼叉式网络钓鱼传播恶意 ZIP 存档,其中包含伪装成简历的快捷方式(.lnk)文件和 VBScript 脚本,触发多阶段感染链。攻击最终部署自定义远控工具(RAT),如Shadow RAT、INET RAT与Blister DLL。特别是在2025年1月至5月的“琥珀雾行动”中,该组织滥用社会工程技术 ClickFix,通过伪造的巴基斯坦海事部登录页面引导用户点击虚假 CAPTCHA验证,从而远程执行PowerShell脚本,进一步植入恶意代码。
此外,该组织频繁使用DLL侧加载技术,通过 Rasphone、Node-Webkit等合法Windows程序执行恶意负载,有效绕过防护机制。其所部署的诱饵文档常以高价值职位简历为伪装,如游戏 UI设计师、知名高校计算机专业学生等,具高度针对性。该组织还展现出在命令与控制基础设施(C2)命名和操作安全性方面的持久性,说明其具备长期、系统性攻击准备。
尽管其真实身份尚未明确,但证据显示 UNG0002很可能源自东南亚,是一个以间谍活动为核心的复合型黑客集群,具备强烈适应性和模仿其他APT手法的能力,增加了溯源和归因的难度。分析表明,该组织极可能在未来扩展其活动范围,持续对区域内重要行业构成威胁。
主要发现
- 多阶段攻击:UNG0002 采用复杂的感染链,使用恶意LNK文件、VBScript、批处理脚本和 PowerShell 来部署自定义RAT植入程序,包括 Shadow RAT、INET RAT和Blister DLL。
- ClickFix社会工程:该组织利用虚假的 CAPTCHA 验证页面诱骗受害者执行恶意 PowerShell脚本,特别是欺骗巴基斯坦海事部网站。
- 滥用DLL侧加载:在最近的活动中,持续滥用合法 Windows 应用程序(Rasphone、Node-Webkit)进行DLL侧加载,以执行恶意负载,同时逃避检测。
- 以简历为主题的诱饵文件:使用针对特定行业的真实简历文件,包括游戏UI设计师和来自知名机构的计算机科学专业学生的虚假个人资料。
- 持久基础设施:在超过一年的多个活动中,维护具有一致命名模式和操作安全性的命令和控制基础设施。
- 目标行业重点:系统地针对国防、电工工程、能源、民航、学术界、医疗机构、网络安全研究人员、游戏和软件开发领域。
- 归因挑战:UNG0002代表一个不断演变的威胁集群,该集群通过模仿其他威胁行为者攻击手法的技术,展现出高度的适应性,使归因工作更加复杂。Seqrite实验室高度确信该组织源自东南亚,并专注于间谍活动。随着更多情报的披露,未来相关活动可能会得到扩展或完善。
基本情况
UNG0002 代表一个来自南亚的复杂而持久的威胁实体,自 2024 年 5 月以来一直针对多个亚洲司法管辖区持续开展行动。该组织表现出高度的适应性和技术熟练程度,不断发展其工具集,同时保持一致的策略、技术和程序。
威胁行为者专注于特定地理区域(中国、香港、巴基斯坦)和目标行业,表明其采取了战略性情报收集策略,也就是典型的间谍活动。他们使用看似合法的诱饵文件、社会工程技术和伪高级规避方法,表明其行动资源充足且经验丰富。
UNG0002在“钴悄悄行动”和“琥珀雾行动”中展现出一致的操作模式,保持了类似的基础设施命名约定、有效载荷投递机制和目标选择标准。该组织从主要使用Cobalt Strike和Metasploit框架,到开发Shadow RAT、INET RAT和Blister DLL 等自定义植入程序,其演变过程表明了其持续性。
值得关注的技术痕迹包括揭示开发环境的PDB路径,例如Shadow RAT的路径为C:UsersThe FreelancersourcereposJAN25mustangx64Releasemustang.pdb,INET RAT的路径为C:UsersShockwavesourcereposmemcomx64Releasememcom.pdb,这表明该恶意软件可能使用代号“Mustang”和“ShockWave”,这暗示其模仿了现有威胁组织。有关完整感染链的深入技术分析以及详细的攻击活动细节。
结论
将威胁活动归因于特定组织始终是一项复杂的任务。它需要对多个领域进行详细分析,包括目标模式、策略和技术 (TTP)、地理重点以及任何可能存在的运营安全漏洞。UNG0002是一个不断发展的集群,Seqrite Labs正在积极监控。随着更多情报的积累,我们可能会扩展或完善相关活动。根据我们目前的发现,我们高度确信该组织源自东南亚,并表现出高度的适应性——它们经常模仿其他威胁行为者攻击手法中的技术,从而使以间谍活动为重点的归因变得复杂。我们也感谢社区中的其他研究人员,例如 malformationhunterteam,感谢他们追踪这些活动。
关于Seqrite Labs
Seqrite Labs是印度上市网络安全企业 Quick Heal Technologies Limited直属的高级威胁研究部门,专注于企业终端安全解决方案研发与全球威胁情报分析。团队由资深安全专家组成,在恶意软件逆向工程、APT攻击防御领域拥有深厚积累,曾深度分析 Emotet、TrickBot等全球性威胁并为防御提供关键技术洞察。其核心创新成果包括: 基于AI的终端防护平台 OptraNEXT;云端沙箱动态分析技术 ;实时威胁情报网络(覆盖100+国家)。
参考资源
1、https://www.seqrite.com/blog/ung0002-espionage-campaigns-south-asia/
2、https://thehackernews.com/2025/07/ung0002-group-hits-china-hong-kong.html
END【内容来源:网空闲话plus】
转自:https://cn-sec.com/archives/4278858.html
