近期，針對高價值目標的網路間諜活動日益猖獗，其中一個名為 Bitter (APT-Q-37) 的網路間諜組織被廣泛認為是在南亞活動，該組織長期以來專注於從政府、電力和軍事等領域竊取機敏資料，特別是在中國和巴基斯坦等國家，其惡意活動一直受到資安界的關注。該組織正在使用新的、隱密的方法在高價值目標的電腦上安裝惡意後門程式。據Qi’anxin Threat Intelligence Centre研究人員稱，Bitter APT 正在使用至少兩種不同的方法來部署此後門，包括偽造的會議文件和存檔文件。

第一種方法是使用一個特殊的Microsoft Office 文件，在本例中名為「Nominated Officials for the Conference.xlam」。當受害者啟用內建指令（巨集）時，會顯示一條虛假的錯誤訊息，提示「檔案解析失敗，內容損壞」，以欺騙使用者。同時，該巨集會使用本機電腦工具（例如來自.NET 框架的工具）悄悄建立 C# 後門程式碼，將其轉換為可運行的程式（vlcplayer.dll）。

這是兩種方法中較為隱藏的一種，涉及一個壓縮檔案（RAR檔案），該檔案利用了WinRAR 軟體中一個較舊的、未修補的漏洞，該漏洞的具體漏洞在撰寫本文時仍不清楚。這個惡意 RAR 檔案（標題為 Provision of Information for Sectoral for AJK.rar）包含一個看似無害的 Word 檔案以及一個名為的隱藏惡意範本檔案Normal.dotm。

值得注意的是，兩次攻擊最終都安裝了相同的 C# 後門來收集基本設備資訊。為了確保安全，該中心敦促用戶對未知的電子郵件附件要非常小心，保持 WinRAR 等軟體為最新版本、禁用Macro、監控網路流量中的可疑活動，並使用沙箱等專門工具安全地檢查不受信任的文件。

值得深入探討的是，這兩種攻擊途徑雖然手法不同，但目的高度一致，均是為了植入相同的 C# 後門程式，該程式具備遠端下載與執行其他惡意軟體（EXE檔案）的能力。在第一種巨集攻擊模式中，攻擊者不僅透過巨集部署了 vlcplayer.dll 後門，還透過腳本設定了一個排定的任務（Scheduled Task），確保後門能在受害電腦上持續保持活躍，並連接到與該組織相關的網路位址以接收更多指令。至於第二種利用WinRAR漏洞的模式，其隱蔽性更高。一旦使用者解壓縮這個惡意RAR檔案，該漏洞便允許惡意的 Normal.dotm 範本檔案替換系統中真實的範本檔案。當受害者隨後開啟任何 Word 文件時，程式就會載入這個被竄改的範本，進而連接到遠端伺服器來執行最終的後門程式 winnsc.exe，實現與第一種模式相同的惡意行為。研究人員透過分析發現，這兩起獨立攻擊中所使用的基礎設施，包括今年四月註冊的網域名稱（例如後門通訊指向的 esanojinjasvc.com 子網域），都強烈指向Bitter組織。這一發現進一步證實了這些惡意樣本源自同一攻擊集團。面對這些不斷演進的威脅，資安專家再次強調了用戶對於電子郵件附件、軟體更新、巨集禁用、網路流量監控和沙箱等防護措施的重要性，以構築起堅實的數位防線，有效抵禦像 Bitter APT 這樣的進階持續性威脅組織的攻擊。