大数跨境

重磅APT预警|Nexus TAG182组织大肆投放MarkiRAT间谍木马,定向窃取涉密、涉外企业核心资料

重磅APT预警|Nexus TAG182组织大肆投放MarkiRAT间谍木马,定向窃取涉密、涉外企业核心资料 AI紫队安全研究
2026-07-04
4
导读:大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!

        大家好,我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“AI紫队安全研究,然后点击右上角的【...】,然后点击【设为星标】即可

        关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。


导语

全球威胁情报厂商Recorded Future追踪披露APT团伙Nexus TAG182正在开展大规模持续性间谍行动,核心武器自研MarkiRAT远控木马。该木马隐蔽性极强,依托Office宏、IM钓鱼批量入侵政企终端,主打长期潜伏窃密,键盘记录、截屏、全盘文件窃取、凭证抓取全能覆盖,多国涉外机构、科研院所、外贸企业接连中招。本文完整拆解团伙攻击链路、木马核心能力、全场景落地防御方案。

一、威胁主体:Nexus TAG182,长期定向情报窃取APT团伙

团伙核心特征

1. 攻击定位:国家级背景间谍组织,核心目标收集战略情报、商业机密、涉外业务数据,不以勒索加密牟利;

2. 目标范围:政府外事部门、高校科研机构、跨境贸易、能源制造、律所咨询、海外分支机构;

3. 行动模式:低频率长期运营,单次入侵潜伏数月,不制造系统故障降低曝光;

4. 核心工具:自研MarkiRAT定制化远控,不流通地下黑产,专属APT内部工具,特征难收录;

5. 配套战术:鱼叉邮件、即时通讯社工、RTLO文件名欺骗、合法系统工具LoLBins滥用。


团伙攻击习惯

TAG182擅长针对目标行业定制诱饵文档,贴合员工日常办公场景:外贸订单、涉外会议通知、科研课题资料、人事保密通知、境外合作协议,大幅提升用户点开启用宏的概率。


二、间谍利器MarkiRAT全技术拆解

MarkiRAT为Visual Studio编译Windows专属远控木马,适配Win10/Win11全版本,兼顾普通办公机与服务器,规避主流静态杀毒特征库。

1. 多渠道持久化,重启永不失联

注册表Run启动项:写入`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`伪装系统更新程序;

启动文件夹投放恶意快捷方式;

篡改主流通讯软件(Telegram、企业微信)快捷路径,打开软件同步启动木马;

滥用BITS后台传输服务,静默下载更新载荷、外发窃取文件,流量伪装系统后台同步。


2. 极致隐蔽窃密模块(APT核心杀手锏)

1. 智能键盘记录:仅在用户未开启密码管理器时激活记录,减少异常行为告警,抓取账号、合同密钥、登录口令;

2. 剪贴板实时监控:复制的密码、密钥、机密文本瞬间回传C2;

3. 定时高清截屏:自动截取办公软件、浏览器、内网系统界面;

4. 全盘文件检索:定向抓取Word、Excel、PDF、设计图纸、数据库备份;

5. 浏览器凭证窃取:Chrome、Edge、Firefox Cookie与登录密钥批量导出;

6. 终端进程枚举:记录所有后台程序,测绘内网资产用于横向渗透。


3. 隐蔽C2通信,混入正常网页流量

采用标准HTTP/HTTPS心跳轮询,请求头模仿浏览器正常访问;

指令、窃取文件分段Base64加密传输,流量无恶意特征;

支持多备用域名池,单一服务器封禁后自动切换备用节点,保证长期可控;

可适配企业代理环境,内网强制代理网络仍可外联攻击者服务器。


4. 成熟对抗检测规避手段

1. RTLO文字翻转欺骗:文件名视觉显示正常文档,后缀实为docm/exe;

2. 多层代码混淆,静态扫描无法提取恶意字符串;

3. 进程注入:将载荷注入explorer、浏览器等可信进程,无陌生程序;

4. 沙箱环境检测,识别虚拟机自动休眠、停止外联;

5. 清理系统日志,删除自身落地痕迹,增加事后溯源难度。


三、完整攻击链路:从钓鱼到内网持久窃密

阶段1:社工投递,最主要入侵入口

1. 鱼叉钓鱼邮件(主流)

标题贴合目标业务:《涉外合作保密协议》《境外项目对账表》《海外参会资料》,附件为带恶意宏docm/xlsx文件,正文诱导“启用宏查看完整内容”;

2. 办公IM传播

通过企业微信、钉钉、Telegram发送伪装文档压缩包,利用同事信任诱导双击;

3. 恶意网站下载:仿行业工具站点,下载捆绑MarkiRAT安装包。


阶段2:宏代码执行,释放第一阶段加载器

用户启用Office宏后,内置VBS/PowerShell脚本执行,调用系统curl、bitsadmin等LoLBins工具,从攻击者域名下载MarkiRAT本体,全程无弹窗、无报错。


阶段3:落地驻留,建立长期控制通道

木马写入持久化机制,注入系统进程,建立加密C2心跳通道,后台静默运行,无任何窗口提示。


阶段4:情报收集+内网横向移动

黑客远程下发指令,开启截屏、键盘记录、文件窃取;同时枚举内网域账号、共享盘,渗透财务、数据库服务器,批量导出核心资料回传境外C2。


四、高风险单位自查清单

1. 涉外贸易、跨境投融资企业;

2. 科研院所、芯片/新材料研发机构;

3. 政府外事、涉外事业单位;

4. 能源、高端制造出海分公司;

5. 律所、咨询、审计等保密服务机构;

6. 经常接收境外邮件、海外合作伙伴文件的财务、商务岗。


高危办公行为

未关闭Office宏自动启用,外部文档随意允许宏运行;

终端仅免费杀毒,无EDR行为检测;

内网无分段隔离,办公终端直连核心数据库;

未审计注册表Run项、BITS异常任务、启动文件夹;

允许终端无限制外联境外未知域名。


五、分层落地防御方案(企业运维+员工双版)

一、全员基础防护(阻断钓鱼入口)

1. Office全局禁用宏,外部文档统一上传沙箱检测后再打开;

2. 不打开陌生邮件附件、IM发来的不明压缩包;

3. 开启系统“显示文件扩展名”,警惕RTLO翻转伪装文档;

4. 境外业务文件统一走安全传输通道,禁止私人聊天工具收发涉密资料。


二、终端安全加固(拦截MarkiRAT驻留)

1. 部署具备进程注入、BITS任务监控的EDR终端检测平台;

2. 定期审计三类可疑驻留项:注册表Run键、开机启动文件夹、BITS后台任务;

3. 监控PowerShell、curl、bitsadmin无文件下载载荷行为;

4. 拦截篡改浏览器、通讯软件快捷方式的异常操作;

5. 及时更新系统补丁,关闭不必要脚本执行权限。


三、网络边界防护

1. 防火墙拦截TAG182团伙C2恶意域名池,定期同步威胁情报IOC;

2. 上网行为审计监控高频境外HTTPS心跳上传流量;

3. 内网VLAN分段,办公终端访问财务服务器增设权限校验;

4. 留存全量网络日志,便于入侵溯源。


四、终端疑似中毒应急处置步骤

1. 立刻断开内外网,禁止重启设备(保留内存取证痕迹);

2. 检索可疑注入进程、BITS异常同步任务、注册表新增启动项;

3. 删除木马本体、清理所有持久化配置;

4. 全量修改域账号、邮箱、业务系统密码,强制开启MFA二次验证;

5. 同网段批量扫描同源样本,排查横向扩散痕迹;

6. 导出终端流量、进程日志,留存取证资料备查。


六、文末总结

Nexus TAG182借助MarkiRAT形成成熟长期间谍攻击体系,木马依托合法系统工具、伪装办公文件大幅降低拦截概率。传统仅查杀文件的防护手段完全失效,企业必须做到「员工钓鱼培训+终端行为监控+网络情报拦截」三位一体防护。

当下涉外、科研相关单位务必全面排查终端宏策略与启动项,及时补齐安全短板,避免核心商业、科研情报长期被境外APT组织窃取。



你们企业是否严格管控Office宏权限?遇到过伪装外贸合同的钓鱼文档吗?评论区分享运维防护经验!


 

加入知识星球,可获取权益

一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

二、为什么加入?  

职场瓶颈期找不到突破方向?安全项目落地缺成熟方案?面对APT攻击、勒索病毒不知如何构建防御体系?  


三、在这里,你能获得的不只是资料包,而是直接对接行业专家的「私人顾问服务」 

✅ 职业发展「精准导航」

 1v1简历优化:针对安全岗(渗透测试/安全运营/合规等)拆解JD,突出核心竞争力;  

 晋升避坑指南:从工程师到安全负责人,分享晋升路径,避开「技术强但管理弱」的晋升陷阱;

 技能栈规划:根据你的基础(应届生/3年经验/资深专家)定制学习路线,比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库:含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案(附落地工具清单+成本测算);

 架构设计咨询:小到EDR选型,大到零信任体系搭建,提供「预算效果」平衡的最优解(已帮10+企业节省40%防护成本)。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例(如某支付公司攻防对抗的实战复盘);  


四、适合谁?  

 想突破职业天花板的安全工程师/架构师;  

 需快速落地安全项目的企业负责人;  

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。


【声明】内容源于网络
0
0
AI紫队安全研究
在网络攻防演习中,除了攻防双方的红蓝两队之外,作为 “下一代渗透测试” 的紫队相比于传统的红蓝对抗,代表着更具协作性的方法。本公众号致力于从防御视角如何进行更隐秘地攻击,从攻击视角促进国内防守能力水平更好更快地提升。
内容 18
粉丝 0
AI紫队安全研究 在网络攻防演习中,除了攻防双方的红蓝两队之外,作为 “下一代渗透测试” 的紫队相比于传统的红蓝对抗,代表着更具协作性的方法。本公众号致力于从防御视角如何进行更隐秘地攻击,从攻击视角促进国内防守能力水平更好更快地提升。
总阅读16
粉丝0
内容18