朝鮮黑客用2個Facebook賬號騙了3個月，專門盯著加密文件下手

2025年11月10日，兩個定位在平壤和平壤的Facebook賬號同時注冊。一個叫"richardmichael0828"，一個叫"johnsonsophia0414"。沒人注意到這對賬號的異常——直到三個月后，韓國Genians安全中心（GSC）發(fā)現(xiàn)它們已經(jīng)滲透進多個目標(biāo)的社交圈。

這是朝鮮APT37組織（又名ScarCruft）的最新手法。他們不搞漏洞轟炸，也不玩釣魚郵件那套老把戲。而是先把目標(biāo)加為好友，聊出信任，再一步步把人引進陷阱。

社交工程的本質(zhì)不是技術(shù)，是時間。

GSC的技術(shù)分析顯示，攻擊者完成整個鏈條需要數(shù)周甚至數(shù)月的鋪墊。Facebook只是入口，真正的獵場在Messenger和Telegram之間切換。當(dāng)目標(biāo)放下戒備，對方會拋出一個看似合理的請求：有一份加密的軍事文件，需要專門的PDF閱讀器才能打開。

這個閱讀器是篡改過的Wondershare PDFelement。安裝包看起來正經(jīng)，啟動后卻釋放shellcode，悄悄連上遠(yuǎn)程服務(wù)器。整個過程沒有彈窗，沒有報錯，用戶以為自己在解密文件，實際上在給黑客開門。

被劫持的"正常"：日本房產(chǎn)網(wǎng)站成了朝鮮的指揮部

攻擊鏈條里有個細(xì)節(jié)讓GSC的研究員印象深刻。APT37沒有租用廉價VPS，也沒有自建服務(wù)器，而是盯上了一家日本房產(chǎn)信息服務(wù)網(wǎng)站的分支——首爾站點。

這個網(wǎng)站叫"japanroom.com"，日常提供東京和大阪的租房信息。它的服務(wù)器在韓國，流量正常，SSL證書有效，被列入黑名單的概率極低。APT37入侵后，把它改造成了命令控制中心（C2），專門下發(fā)惡意指令和第二段載荷。

用被信任的基礎(chǔ)設(shè)施做壞事，比用惡意基礎(chǔ)設(shè)施更難被發(fā)現(xiàn)。

第二段載荷的傳遞方式同樣講究偽裝。黑客從C2下載一張JPG圖片，文件名是"1288247428101.jpg"，大小、格式、擴展名都正常。但圖片的像素數(shù)據(jù)里嵌著RokRAT的最終代碼，一種朝鮮黑客用了多年的遠(yuǎn)程控制木馬。

GSC把這套組合技評為"高度規(guī)避性策略"：合法軟件篡改、合法網(wǎng)站濫用、文件擴展名偽裝，三層掩護疊加，傳統(tǒng)殺毒軟件幾乎不可能在任意一層攔截。

RokRAT的云端藏身術(shù)：把Zoho網(wǎng)盤當(dāng)對講機

RokRAT本身不是新面孔。這個2017年首次被記錄的木馬，專門攻擊韓國政府、智庫和脫北者群體。它的設(shè)計哲學(xué)很務(wù)實：不追求持久化駐留，而是最大化利用現(xiàn)成的云服務(wù)。

這次變種把Zoho WorkDrive當(dāng)成了C2通道。Zoho是印度企業(yè)軟件巨頭，WorkDrive是其網(wǎng)盤產(chǎn)品，企業(yè)用戶廣泛，域名信譽良好。RokRAT通過它上傳截圖、接收指令、回傳系統(tǒng)信息，流量混在正常辦公數(shù)據(jù)里，幾乎無法被邊界防火墻識別。

Zscaler ThreatLabz在2026年2月追蹤到一個代號"Ruby Jumper"的 campaign，同樣使用了Zoho WorkDrive作為C2。兩起事件的技術(shù)特征高度重合，說明這是APT37近期標(biāo)準(zhǔn)化的基礎(chǔ)設(shè)施選擇。

RokRAT的功能清單很直白：截屏、執(zhí)行cmd.exe命令、收集主機信息、系統(tǒng)偵察。沒有花里胡哨的鍵盤記錄或攝像頭劫持，全是獲取情報的基礎(chǔ)操作。這種克制反而危險——它意味著攻擊者清楚自己要什么，不會用噪音暴露行蹤。

PDF閱讀器陷阱：為什么"專用軟件"請求總能得手

回看攻擊的社交工程環(huán)節(jié)，有個模式值得拆解。APT37的話術(shù)核心是讓目標(biāo)相信：你面前的文件是加密的、敏感的、需要特殊處理的。

這個預(yù)設(shè)制造了雙重壓力。一是好奇壓力——"軍事文件"四個字足以讓某些目標(biāo)放下警惕。二是技術(shù)壓力——加密文檔需要專用工具，這是很多人接受的常識。兩個壓力疊加，安裝一個來路不明的閱讀器就顯得合理了。

篡改的PDFelement安裝包是個精心設(shè)計的道具。它包含四份正常PDF文檔和一份安裝說明，用戶按指引操作后，確實能打開文件看到內(nèi)容。這種"功能正常"的反饋徹底消解了懷疑，而shellcode已經(jīng)在后臺完成了初始立足。

攻擊者賭的不是技術(shù)漏洞，是人的確認(rèn)偏誤——當(dāng)你看到文件能打開，就會默認(rèn)整個過程是安全的。

Facebook和Telegram的組合也有講究。Facebook用于建立初始信任，公開資料、共同好友、歷史動態(tài)都是可信度背書。轉(zhuǎn)到Telegram后，端到端加密和閱后即焚功能讓后續(xù)交流更難被監(jiān)控，也方便發(fā)送ZIP等可能觸發(fā)平臺檢測的文件類型。

平壤定位的悖論：故意露餡還是操作失誤

兩個攻擊賬號的地理位置都設(shè)為朝鮮境內(nèi)——平壤和平壤。這在專業(yè)分析中引發(fā)了一些討論。

一種解讀是操作安全疏忽。APT37的成員可能在注冊時未關(guān)閉定位，或者使用了固定IP段。另一種解讀更微妙：這是故意的偽裝層。如果賬號被發(fā)現(xiàn)，"朝鮮定位"可以引導(dǎo)調(diào)查者歸因于特定國家行為體，掩蓋更復(fù)雜的真實來源；或者反過來，讓安全研究員懷疑"哪有這么明顯的黑客"，從而低估威脅。

無論哪種情況，這個細(xì)節(jié)都說明APT37的運營并非無懈可擊。但他們的容錯空間很大——即使目標(biāo)中有人起疑，只要整體轉(zhuǎn)化率足夠，campaign就值得繼續(xù)。

GSC沒有披露具體的受害人數(shù)和成功率。但從攻擊鏈條的完整度來看，這套流程已經(jīng)過多次迭代優(yōu)化。Facebook賬號的創(chuàng)建時間（2025年11月）到分析披露（2026年初）之間，至少有三個月的活躍窗口。

三個月，兩個賬號，多平臺跳轉(zhuǎn)，多層載荷投遞。這不是即興發(fā)揮，是標(biāo)準(zhǔn)化的工業(yè)流程。

防御者的困境：當(dāng)攻擊者比用戶更懂"正常"

APT37的這次campaign暴露了一個深層問題：安全產(chǎn)品的檢測邏輯越來越依賴"異常行為"，但高級威脅的操作模式正在向"正常行為"收斂。

被篡改的PDFelement是正版軟件的修改版，數(shù)字簽名可能失效，但普通用戶不會檢查。C2服務(wù)器是合法網(wǎng)站，域名年齡、流量模式、證書鏈都沒有破綻。最終載荷是JPG圖片，文件內(nèi)容惡意但格式合規(guī)。Zoho WorkDrive是企業(yè)常用工具，數(shù)據(jù)上傳下載都是日常場景。

每一層單獨看都正常，串聯(lián)起來才是攻擊。這種"正常性堆疊"讓基于單點檢測的安全架構(gòu)很難奏效。

對個人用戶的啟示很實際：社交平臺上突然出現(xiàn)的"好友"，即使聊了幾周，也不等于可信。任何要求安裝額外軟件才能查看的內(nèi)容，都應(yīng)該用獨立設(shè)備或虛擬機處理。企業(yè)安全團隊則需要重新審視"允許列表"策略——當(dāng)攻擊者開始大規(guī)模濫用合法服務(wù)，基于信譽的放行規(guī)則可能需要更細(xì)粒度的行為分析補充。

APT37的代號更迭過多次——ScarCruft、Group123、Reaper、Thallium，但核心能力始終穩(wěn)定：長期潛伏、精準(zhǔn)定位、最小暴露。他們不追求一擊必殺，而是在目標(biāo)生態(tài)里慢慢織網(wǎng)。

這次Facebook campaign的收尾細(xì)節(jié)沒有被公開披露。GSC的分析止于技術(shù)鏈條的還原，沒有說明那兩個賬號的最終狀態(tài)，也沒有透露是否有目標(biāo)在發(fā)現(xiàn)異常后主動報告。

但有一個數(shù)據(jù)點值得注意：攻擊者選擇Telegram作為文件傳輸渠道，而非Facebook原生功能。這說明他們對平臺的內(nèi)容檢測機制有清晰認(rèn)知，知道哪里是監(jiān)管的縫隙。這種"平臺套利"思維，可能比任何具體的技術(shù)手段都更難防御。

當(dāng)"richardmichael0828"和"johnsonsophia0414"在2025年11月10日點擊注冊按鈕時，它們只是無數(shù)新賬號中的兩個。三個月后，它們成為了進入多個目標(biāo)的數(shù)字跳板。問題是，現(xiàn)在還有多少類似的賬號正在積累信任，等待收網(wǎng)？