朝鮮黑客用2個Facebook賬號騙了3個月，專門盯著加密文件下手

2025年11月10日，兩個定位在平壤和平壤的Facebook賬號同時注冊。一個叫"richardmichael0828"，一個叫"johnsonsophia0414"。沒人注意到這對賬號的異常——直到三個月后，韓國Genians安全中心（GSC）發現它們已經滲透進多個目標的社交圈。

這是朝鮮APT37組織（又名ScarCruft）的最新手法。他們不搞漏洞轟炸，也不玩釣魚郵件那套老把戲。而是先把目標加為好友，聊出信任，再一步步把人引進陷阱。

社交工程的本質不是技術，是時間。

GSC的技術分析顯示，攻擊者完成整個鏈條需要數周甚至數月的鋪墊。Facebook只是入口，真正的獵場在Messenger和Telegram之間切換。當目標放下戒備，對方會拋出一個看似合理的請求：有一份加密的軍事文件，需要專門的PDF閱讀器才能打開。

這個閱讀器是篡改過的Wondershare PDFelement。安裝包看起來正經，啟動后卻釋放shellcode，悄悄連上遠程服務器。整個過程沒有彈窗，沒有報錯，用戶以為自己在解密文件，實際上在給黑客開門。

被劫持的"正常"：日本房產網站成了朝鮮的指揮部

攻擊鏈條里有個細節讓GSC的研究員印象深刻。APT37沒有租用廉價VPS，也沒有自建服務器，而是盯上了一家日本房產信息服務網站的分支——首爾站點。

這個網站叫"japanroom.com"，日常提供東京和大阪的租房信息。它的服務器在韓國，流量正常，SSL證書有效，被列入黑名單的概率極低。APT37入侵后，把它改造成了命令控制中心（C2），專門下發惡意指令和第二段載荷。

用被信任的基礎設施做壞事，比用惡意基礎設施更難被發現。

第二段載荷的傳遞方式同樣講究偽裝。黑客從C2下載一張JPG圖片，文件名是"1288247428101.jpg"，大小、格式、擴展名都正常。但圖片的像素數據里嵌著RokRAT的最終代碼，一種朝鮮黑客用了多年的遠程控制木馬。

GSC把這套組合技評為"高度規避性策略"：合法軟件篡改、合法網站濫用、文件擴展名偽裝，三層掩護疊加，傳統殺毒軟件幾乎不可能在任意一層攔截。

RokRAT的云端藏身術：把Zoho網盤當對講機

RokRAT本身不是新面孔。這個2017年首次被記錄的木馬，專門攻擊韓國政府、智庫和脫北者群體。它的設計哲學很務實：不追求持久化駐留，而是最大化利用現成的云服務。

這次變種把Zoho WorkDrive當成了C2通道。Zoho是印度企業軟件巨頭，WorkDrive是其網盤產品，企業用戶廣泛，域名信譽良好。RokRAT通過它上傳截圖、接收指令、回傳系統信息，流量混在正常辦公數據里，幾乎無法被邊界防火墻識別。

Zscaler ThreatLabz在2026年2月追蹤到一個代號"Ruby Jumper"的 campaign，同樣使用了Zoho WorkDrive作為C2。兩起事件的技術特征高度重合，說明這是APT37近期標準化的基礎設施選擇。

RokRAT的功能清單很直白：截屏、執行cmd.exe命令、收集主機信息、系統偵察。沒有花里胡哨的鍵盤記錄或攝像頭劫持，全是獲取情報的基礎操作。這種克制反而危險——它意味著攻擊者清楚自己要什么，不會用噪音暴露行蹤。

PDF閱讀器陷阱：為什么"專用軟件"請求總能得手

回看攻擊的社交工程環節，有個模式值得拆解。APT37的話術核心是讓目標相信：你面前的文件是加密的、敏感的、需要特殊處理的。

這個預設制造了雙重壓力。一是好奇壓力——"軍事文件"四個字足以讓某些目標放下警惕。二是技術壓力——加密文檔需要專用工具，這是很多人接受的常識。兩個壓力疊加，安裝一個來路不明的閱讀器就顯得合理了。

篡改的PDFelement安裝包是個精心設計的道具。它包含四份正常PDF文檔和一份安裝說明，用戶按指引操作后，確實能打開文件看到內容。這種"功能正常"的反饋徹底消解了懷疑，而shellcode已經在后臺完成了初始立足。

攻擊者賭的不是技術漏洞，是人的確認偏誤——當你看到文件能打開，就會默認整個過程是安全的。

Facebook和Telegram的組合也有講究。Facebook用于建立初始信任，公開資料、共同好友、歷史動態都是可信度背書。轉到Telegram后，端到端加密和閱后即焚功能讓后續交流更難被監控，也方便發送ZIP等可能觸發平臺檢測的文件類型。

平壤定位的悖論：故意露餡還是操作失誤

兩個攻擊賬號的地理位置都設為朝鮮境內——平壤和平壤。這在專業分析中引發了一些討論。

一種解讀是操作安全疏忽。APT37的成員可能在注冊時未關閉定位，或者使用了固定IP段。另一種解讀更微妙：這是故意的偽裝層。如果賬號被發現，"朝鮮定位"可以引導調查者歸因于特定國家行為體，掩蓋更復雜的真實來源；或者反過來，讓安全研究員懷疑"哪有這么明顯的黑客"，從而低估威脅。

無論哪種情況，這個細節都說明APT37的運營并非無懈可擊。但他們的容錯空間很大——即使目標中有人起疑，只要整體轉化率足夠，campaign就值得繼續。

GSC沒有披露具體的受害人數和成功率。但從攻擊鏈條的完整度來看，這套流程已經過多次迭代優化。Facebook賬號的創建時間（2025年11月）到分析披露（2026年初）之間，至少有三個月的活躍窗口。

三個月，兩個賬號，多平臺跳轉，多層載荷投遞。這不是即興發揮，是標準化的工業流程。

防御者的困境：當攻擊者比用戶更懂"正常"

APT37的這次campaign暴露了一個深層問題：安全產品的檢測邏輯越來越依賴"異常行為"，但高級威脅的操作模式正在向"正常行為"收斂。

被篡改的PDFelement是正版軟件的修改版，數字簽名可能失效，但普通用戶不會檢查。C2服務器是合法網站，域名年齡、流量模式、證書鏈都沒有破綻。最終載荷是JPG圖片，文件內容惡意但格式合規。Zoho WorkDrive是企業常用工具，數據上傳下載都是日常場景。

每一層單獨看都正常，串聯起來才是攻擊。這種"正常性堆疊"讓基于單點檢測的安全架構很難奏效。

對個人用戶的啟示很實際：社交平臺上突然出現的"好友"，即使聊了幾周，也不等于可信。任何要求安裝額外軟件才能查看的內容，都應該用獨立設備或虛擬機處理。企業安全團隊則需要重新審視"允許列表"策略——當攻擊者開始大規模濫用合法服務，基于信譽的放行規則可能需要更細粒度的行為分析補充。

APT37的代號更迭過多次——ScarCruft、Group123、Reaper、Thallium，但核心能力始終穩定：長期潛伏、精準定位、最小暴露。他們不追求一擊必殺，而是在目標生態里慢慢織網。

這次Facebook campaign的收尾細節沒有被公開披露。GSC的分析止于技術鏈條的還原，沒有說明那兩個賬號的最終狀態，也沒有透露是否有目標在發現異常后主動報告。

但有一個數據點值得注意：攻擊者選擇Telegram作為文件傳輸渠道，而非Facebook原生功能。這說明他們對平臺的內容檢測機制有清晰認知，知道哪里是監管的縫隙。這種"平臺套利"思維，可能比任何具體的技術手段都更難防御。

當"richardmichael0828"和"johnsonsophia0414"在2025年11月10日點擊注冊按鈕時，它們只是無數新賬號中的兩個。三個月后，它們成為了進入多個目標的數字跳板。問題是，現在還有多少類似的賬號正在積累信任，等待收網？