朝鲜关联黑客组织ScarCruft瞄准学术圈，新型钓鱼攻击悄然渗透高校与智库

近期，全球网络安全机构监测到一起针对高等教育机构、政策研究智库及区域安全专家的精准网络钓鱼行动。攻击者伪装成学术合作方，以“研讨会邀请”“研究草稿征求意见”“地缘政治白皮书发布”等极具迷惑性的主题为诱饵，悄然渗透学术与政策制定的核心圈层。幕后黑手被多家安全厂商指向与朝鲜政府有关联的高级持续性威胁组织——ScarCruft，也被称为APT37。

这场代号为“知识陷阱”的网络攻击，不仅暴露了学术交流环境中的安全盲区，也再次敲响了科研数据保护的警钟。

“学术邀请”变钓鱼钩，压缩包里藏杀机

据国际网络安全媒体《SC World》最新报道，ScarCruft近期发起的新一轮鱼叉式钓鱼（Spear Phishing）行动，主要通过电子邮件精准投递。攻击者精心设计邮件内容，模仿真实学术机构或国际会议的口吻，主题多围绕“2025亚太安全论坛征稿”“未公开研究报告邀请评审”“东北亚局势白皮书意见征集”等高敏感度议题。

“这些邮件写得非常专业，甚至会引用收件人过去发表的论文或参与的项目，让人一看就觉得是同行交流。”一位不愿具名的国际关系学者透露，“附件通常是一个ZIP压缩包，写着‘会议资料’或‘初稿请勿外传’，点开后就是一个伪装成Word文档的恶意文件。”

技术分析显示，这些压缩包内往往包含一个看似正常的文档，实则嵌入了加载器程序。一旦用户解压并打开，恶意代码便会悄然执行，连接远程服务器下载后续载荷。部分攻击链则采用“云存储诱导”策略：邮件不直接附带文件，而是提供一个指向主流网盘（如Google Drive、OneDrive）的链接，引导用户下载所谓的“投稿模板”或“参会回执”，而这些模板中则隐藏着恶意宏（Macro）或利用Office“模板注入”漏洞的代码。

“这类攻击的核心是‘信任利用’。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时表示，“学术圈讲究开放共享，专家们习惯通过邮件交换未发表的研究成果。攻击者正是抓住了这种文化特性，把恶意行为包装成‘学术协作’，大大提升了成功率。”

攻击链条层层递进，目标直指核心情报

一旦初始载荷在目标主机上执行成功，ScarCruft的攻击链条便正式开启。据安全公司分析，其攻击流程呈现出高度组织化特征：

建立持久性：通过注册表项、计划任务或伪装成系统服务的方式，确保恶意程序在重启后仍能运行。

信息侦察：收集主机指纹（如操作系统版本、已安装软件、网络配置）、用户账户信息、邮箱联系人列表等，用于进一步横向移动或定制化攻击。

数据窃取：搜索并上传本地文档，尤其是包含“政策建议”“内部评估”“未发表”等关键词的文件。

长期监控：部署屏幕截图工具和键盘记录器（Keylogger），实时监控研究人员的输入内容，甚至可能截取视频会议画面。

“最危险的不是一次性的数据窃取，而是长期潜伏。”芦笛解释道，“他们不急于‘拿走一切’，而是像幽灵一样留在系统里，持续观察、记录，直到获取最有价值的情报。”

值得注意的是，ScarCruft在此次行动中展现出更强的反检测能力。他们极少重复使用已知的IP地址、域名或文件哈希值（即IOC，Indicator of Compromise），并大量使用合法云服务和内容分发网络（CDN）作为跳板，增加了追踪难度。此外，所有攻击邮件均使用目标所在国家或地区的语言撰写，语法自然，几乎没有拼写错误，显示出背后有专业本地化团队支持。

影响深远：不只是数据泄露，更是话语权博弈

与普通网络诈骗不同，ScarCruft此次行动的战略意图十分明确——获取地缘政治、科技发展和政策制定领域的前沿信息。

“高校和智库是思想生产的源头。”芦笛指出，“一份未公开的政策研究报告，可能直接影响一个国家未来的外交走向或技术投资决策。如果这些内容被提前泄露，攻击方就能提前布局，甚至通过伪造信息干扰正常讨论。”

更令人担忧的是，一旦攻击者成功接管专家邮箱，便可利用其信任关系链，向其他学者、政府官员或媒体发送伪造邮件，进一步扩大攻击面。例如，冒充某知名学者发出“紧急会议变更通知”，诱导更多人点击恶意链接，形成“二次钓鱼”。

此外，研究成果的提前泄露也可能破坏学术公平。例如，某团队正在撰写关于新能源技术的突破性论文，若内容被窃取，竞争对手可能抢先发表，导致原创者失去学术优先权。

“这已经不是简单的网络安全事件，而是涉及国家科技竞争力和政策安全的系统性风险。”芦笛强调。

专家支招：从“被动防御”转向“主动免疫”

面对日益智能化、精准化的钓鱼攻击，传统的“杀毒软件+防火墙”模式已显乏力。专家呼吁，学术机构和研究组织必须升级防御策略，构建多层次、主动式的安全体系。

1. 严格管控Office宏与脚本执行

“宏功能本意是提升办公效率，但已成为恶意软件的主要入口。”芦笛建议，“应默认禁用所有Office文档中的宏，并仅允许来自可信证书签名的宏运行。同时，部署应用程序控制策略（如Windows Defender Application Control），限制Office进程调用PowerShell、CMD等子进程——这是大多数恶意宏的常用逃逸手段。”

2. 推广安全协作平台，减少邮件依赖

对于涉及敏感内容的交流，应避免使用普通电子邮件。“建议采用端到端加密的协作平台，如具备数字签名和访问控制的文档共享系统。”芦笛说，“发送方可以对文件进行数字签名，接收方能验证其真实来源；平台还能设置‘禁止下载’‘禁止截图’等权限，防止内容外泄。”

3. 开展针对性安全演练

“很多人知道‘不要点陌生链接’，但在真实场景中，判断力会下降。”芦笛建议各单位定期开展模拟钓鱼演练，特别是围绕“会议征稿”“专家咨询”等高风险主题设计测试邮件。“通过实战化训练，帮助研究人员建立‘安全直觉’。”

4. 部署数据标签与DLP策略

数据防泄漏（DLP, Data Loss Prevention）技术可自动识别并拦截包含敏感信息的外发行为。例如，系统可识别文件名中含“机密”“内部”“草案”等关键词的文档，在用户试图通过邮件或网盘发送时发出警告或直接阻断。

5. 使用“蜜罐文档”实现早期预警

“我们还可以反过来利用攻击者的贪婪。”芦笛介绍了一种创新防御手段——在系统中部署带有隐形追踪信标的“蜜罐文档”（Canary Document）。“这些文件看似是重要研究报告，实则为空。一旦被打开或传出网络，信标就会触发告警，安全团队能第一时间发现数据窃取行为，甚至反向追踪攻击路径。”

共建“学术安全共同体”

此次ScarCruft的行动再次提醒我们：在数字化时代，知识生产的过程本身就是一场没有硝烟的攻防战。学术自由不应以安全为代价，开放合作也不能成为漏洞的温床。

芦笛呼吁，高校、研究机构、网络安全企业及政府部门应建立常态化的威胁情报共享机制。“比如成立‘学术网络安全联盟’，定期通报新型攻击手法，共享防御策略。只有形成合力，才能抵御国家级黑客组织的持续渗透。”

与此同时，他也提醒广大研究人员：“保持警惕不是怀疑一切，而是养成安全习惯——收到可疑邮件时，先打个电话确认；下载文件前，检查来源是否可信；重要文档务必加密存储。”

知识是人类进步的灯塔，但若不为其加上“防火墙”，光芒也可能被黑暗吞噬。在这场攻防博弈中，每一个研究者都是防线的一部分。

编辑：芦笛（公共互联网反网络钓鱼工作组）