摘要：研究人员发现，有黑客组织伪装成DarkSamural利用带 PDF 图标的恶意 LNK 文件和由 GrimResource 加密混淆的MSC 文件，传递旨在窃取关键数据的多阶段有效载荷。

DarkSamural 是 OceanLotus（海莲花）APT 组织的一个分支，该组织通常针对巴基斯坦高价值目标。

研究人员发现，有黑客组织伪装成DarkSamural利用带 PDF 图标的恶意 LNK 文件和由 GrimResource 加密混淆的MSC 文件，传递旨在窃取关键数据的多阶段有效载荷。

研究人员经过深入的样本和相关性分析，最终确认DarkSamural 行动是由 Patchwork APT组织策划的假旗行动。

Patchwork，又名 APT Group 72，于 2009 年左右浮出水面，但直到 2015 年 Cymmetria 揭露其大规模间谍活动后才引起国际关注。

其主要目标包括中国、巴基斯坦和孟加拉国的军事、外交、教育和科研机构。

Patchwork 的招牌攻击手段是鱼叉式网络钓鱼：精心制作带有看似无害附件的电子邮件，但实际上隐藏着恶意可执行文件。在此次攻击活动中，攻击者利用 Windows MSC 文件，将其伪装成 PDF 图标来误导受害者。

打开后，这些容器会调用mmc.exe以加载 ActiveX 对象，从而使嵌入式JavaScript能够从远程C2服务器获取并执行后续有效负载。

Patchwork 维护着一系列专有和开源工具。其产品线包括用于隐秘远程访问的 BADNEWS RAT、用于直接 C2 通信的 QuasarRAT 和 AsyncRAT、模块化渗透测试框架 Mythic、商业版 Remcos RAT 以及 NorthStarC2。

通过循环使用这些工具，该组织确保对受感染环境的持续控制并逃避基于签名的防御。

最初的攻击依赖于欺骗性电子邮件，其中包含标记为“Drone_Information.pdf.msc”的压缩档案。执行时，该.msc文件利用 GrimResource 解密并运行混淆的 JScript，然后下载名为的第二阶段 HTML 文件Unit-942-Drone-Info-MAK3.html。

该文件包含两层混淆的 JavaScript。第一层通过触发 XSLT 转换CLSID{2933BF90-7B36-11D2-B20E-00C04F983E60}，从远程 URL 获取附加脚本。第二层将真正的有效载荷Drone_Information.pdf下载到C:\Users\Public。

为了逃避检测，JavaScript 在多个层面上被严重混淆，而合法的 Windows 实用程序（例如）dism.exe被重新用于侧载重命名的恶意 DLLDismCore.dll。

MicrosoftEdgeUpdateTaskMachineCoreXUI通过注册命名的计划任务和创建启动条目来实现持久性。

一旦驻留，植入物就会将日志数据写入C:\ProgramData\6092E833-F189-4160-951D.log，然后将其重命名为DismCore.dll，并调用其导出的DllRegisterServer，这会动态解析 API 地址并生成 Mythic 代理。

Mythic 代理于 2025 年 5 月 29 日编译，https://d11d6t6zp1jvtm[.]cloudfront[.]net/data使用 AES-HMAC 加密与其 C2 进行通信。

它通过 WinHTTP API 构造 POST 请求，将 IV 值附加到使用共享 256 位密钥加密的有效载荷中。

每次登录时，植入程序都会报告主机详细信息——IP、操作系统、用户、主机名、PID 和 UUID——以反映合法的 Mythic 流量模式。

该样本的action字段中的checkin标志，在线数据包数据结构，以及加密方式（AES-128-GCM）。

值得注意的是，HTML 诱饵页面包含越南语品牌，声称与 Dark Samurai 有联系，这表明存在故意误导。

对这些域名和其他 Protego 样本的相关性分析使研究人员将整个行动归咎于 Patchwork，栽赃给 DarkSamural 组织是一个故意制造威胁情报界混乱的假旗行动。

随着活动的展开，南亚及其他地区的组织必须加强电子邮件过滤，仔细检查看似无害的文档文件，并采用能够解析多层脚本的行为检测。

随着 Patchwork 工具包的不断发展，防御者面临着擅长欺骗和快速工具链轮换的强大对手。

技术报告：

来源：会杀毒的单反狗