从 2018 年至 2025年，毒云藤组织利用大陆最常使用的社交软件、邮箱系统、以及政府机构网站、 军工网站、高等院校网站等进行了大规模的仿制，目的是尽可能多地获取目标的个人信息，为后续窃取大陆情报信息做准备。

APT-C-01（毒云藤）是具备高度定向攻击能力的APT组织，其攻击模式呈现多阶段递进特征。该组织在初始侦察阶段会对目标行业属性、业务特征及人员信息进行深度分析，利用开源情报和社交工程手段构建精准受害者画像，但是钓鱼攻击手段较为简单。

钓鱼方式主要为首先将搭建好的钓鱼网站，然后通过构建邮件，将钓鱼网站插入到邮件中，当受害者打开网站后，会直接弹出附件下载的页面，点击下载，就会弹出邮箱账号密码输入框，这时候受害者输入账号后，压缩包才会进行下载。

本月进行投放的2025年会议主题钓鱼网站

我们针对这些钓鱼网站进行了相关工作，发现这些网站存在一个共性：其会将所有通过网络钓鱼得到的账号密码，以TXT文本存储的方式，存储在钓鱼网站的目录下面。

而这个手段，则是攻击者“主动”告知给我们的，这源于一次其针对大陆的钓鱼活动中，在其中本应该仅存放有钓鱼诱饵的压缩包中，出现了攻击者误打包的文件，这个文件包含了他们本次用来钓鱼活动使用的服务器账号密码。

泄漏的服务器账号密码以及服务器上的钓鱼网站代码和日志

其中有大量的台湾省IP在服务器上进行登录操作，并且每时每刻都有台湾省IP针对服务上的word.txt进行读取，获取被钓鱼的重点人员的邮箱账号密码。

而在之后的钓鱼活动中，攻击者会针对大陆的攻击目标，记录在文档中，并制作对应的钓鱼网站。

攻击者计划制作钓鱼诱饵的列表

攻击者按照其计划日程制作的钓鱼网站

在此基础上，针对毒云藤组织网的钓鱼域名进行了分析，发现这些域名均为仿冒国内一些基础设施的域名，通过一些手段发现，这些域名均来自godaddy、name等国外域名注册商。

某域名注册平台的购买记录

域名注册用户均来自台湾省某个账号。

某域名注册平台登录记录

毒云藤组织在钓鱼邮件中的木马附件通常名称为“文件命名.pdf.exe” ,木马通常为一个该组织自主编写的Loader，最后加载一个开源或者商用木马，木马基本为cobaltstrike 、siliver、tinyshell等，这类木马早已被各大APT组织或网络犯罪团伙滥用，以下是奇安信通过某些手段，获取到的一些该组织目前典型木马的分析情况。

木马运行后对内置的base64数据进行三次解码后，再分别与0x5c、0x5b、0x5a进行异或解密，随后对异或后的数据进行AES解密，key：'0rc42Pro'。

解密完成后申请内存执行解密后的dll文件，最终运行CobaltStrike远控。

木马执行后会在Ntdll内进行内存映射，随后加载资源执行窃密木马。

加载木马资源，随后解密。

创建注册表自启动项"Windows Security"。

木马会遍历磁盘下的"txt"、"doc"、"xls"、"ppt"、"csv"、"pdf"后缀文件并发送至C2。

木马采用.net编译，并添加了虚拟化技术保护代码。

可以看到木马内的详细代码都已经被虚拟化，采用动态加载的方式解密执行函数内部代码。

动态加载代码后其会反射加载模块

在进行模块解密后，设置接受所有TLS 证书流量。

并从远程服务器下载配置文件，将下载回来的前16个字节之后的数据进行AES CBC模式解密：

key= "adZqC3HjuNIBG7lo",VI="cbXDvd64V9CWOcnQ"。

解密后为压缩的payload，再对该数据进行解压。

随后申请内存，创建线程执行。

申请内存0x104EFC0读取前5个字节之后的数据解密，随后通过获取Loadlibtary和GetProaddress填充IAT。

修改系统日志APIEtwEventWrite首字节为0XC3(Ret),防止系统日志记录。

随后创建内存映射，将数据映射后跳转至映射的内存。

映射后的木马分析后为Sliver木马。

经过奇安信大数据监测发现，毒云藤组织近年来持续使用大量Nday漏洞（已经公开的漏洞武器），针对大陆各类设备进行漏洞攻击，并利用这些设备作为攻击其他单位的跳板，或者作为内网渗透的入口进行利用。

经奇安信研判，这些使用的均为网络泄漏的Nday漏洞，漏洞基本通过Github或者网络安全社区的方式进行获取。

此外，经过分析发现，实际上台湾省APT组织，在针对大陆的设备进行漏洞攻击的类型中，大部分为路由器、摄像头、智能家居、防火墙等的弱口令漏洞，这些攻击占比整体漏洞攻击30%的量级，因此个人和企业尤其需要对自己的设备进行全方位的安全性加固，其中最重要的就是使用一个复杂性密码。