Patchwork 利用恶意 LNK 文件对土耳其国防公司进行鱼叉式网络钓鱼攻击

名为Patchwork的威胁行为者被认为是针对土耳其国防承包商发起新一轮鱼叉式网络钓鱼活动的幕后黑手，其目的是收集战略情报。

北极狼实验室在本周发布的技术报告中表示： “此次攻击活动采用了五阶段执行链，通过伪装成会议邀请的恶意 LNK 文件向有兴趣了解更多无人驾驶汽车系统的目标发送攻击。”

此次行动还特别提到了一家未透露名称的精确制导导弹系统制造商，似乎是出于地缘政治动机，因为时间恰逢巴基斯坦和土耳其之间不断深化的国防合作以及最近印度和巴基斯坦发生的军事冲突。

Patchwork，又名 APT-C-09、APT-Q-36、Chinastrats、Dropping Elephant、Operation Hangover、Quilted Tiger 和 Zinc Emerson，被评估为一个由印度政府支持的黑客组织。该黑客组织至少自 2009 年以来一直活跃，曾袭击过中国、巴基斯坦和其他南亚国家的实体。

网络安全
就在一年前，Knownsec 404 团队记录了Patchwork 针对与不丹有联系的实体，以提供 Brute Ratel C4 框架和名为 PGoShell 的后门的更新版本。

自 2025 年初以来，该威胁行为者已与针对中国大学的各种活动相关联，最近的攻击使用与该国电网相关的诱饵来传递基于 Rust 的加载程序，进而解密并启动名为 Protego 的 C# 木马，以从受感染的 Windows 系统中收集广泛的信息。

中国网络安全公司奇安信今年 5 月份发布的另一份报告称，其发现 Patchwork 和DoNot Team （又名 APT-Q-38 或 Bellyworm）之间的基础设施重叠，表明这两个威胁集群之间存在潜在的操作联系。


该黑客组织将 Türkiye 作为攻击目标，表明其攻击范围有所扩大，他们使用通过网络钓鱼电子邮件分发的恶意 Windows 快捷方式 (LNK) 文件作为起点，启动多阶段感染过程。

具体来说，LNK 文件旨在调用 PowerShell 命令，这些命令负责从外部服务器（“expouav[.]org”）获取额外的有效负载，该域创建于 2025 年 6 月 25 日，托管一个模仿无人驾驶汽车系统国际会议的 PDF 诱饵，其详细信息托管在合法的 waset[.]org 网站上。

“PDF文档充当视觉诱饵，旨在分散用户的注意力，而其余执行链则在后台静默运行，”北极狼表示。“此次攻击发生之际，土耳其占据了全球65%的无人机出口市场，并正在研发关键的高超音速导弹能力，同时在印巴紧张局势加剧的时期加强了与巴基斯坦的防务联系。”

网络安全
下载的工件中有一个恶意 DLL，它通过计划任务使用 DLL 侧加载启动，最终导致执行 shellcode，对受感染的主机进行广泛的侦察，包括截取屏幕截图，并将详细信息泄露回服务器。

该公司表示：“这代表该威胁行为者的能力已显著提升，从 2024 年 11 月观察到的 x64 DLL 变体过渡到目前具有增强命令结构的 x86 PE 可执行文件。Dropping Elephant 展示了其持续的运营投入和发展，其架构从 x64 DLL 到 x86 PE 格式多样化，并通过模拟合法网站增强了 C2 协议的实施。”