APT预警:NexusTAG182投放MarkiRAT木马,涉外企业严防核心资料长期窃密
2026年7月6日,紫队安全研究联合全球威胁情报厂商RecordedFuture发布重磅APT安全预警,境外间谍组织NexusTAG182近期启动大规模持续性网络间谍行动,自研MarkiRAT远控木马作为核心攻击工具,国内多家涉外企业、科研院所、外事机构接连遭遇入侵,大量商业机密、科研数据面临泄露风险。
该团伙具备国家级情报搜集背景,攻击不以勒索、挖矿牟利,核心目标长期窃取战略情报与商业涉密资料,重点盯防政府外事部门、跨境贸易企业、能源制造出海机构、高校科研实验室、涉外律所等单位。团伙采用低频率潜伏模式,入侵终端后可静默驻留数月,极少触发系统异常,以此规避企业安全设备检测。与黑产流通木马不同,MarkiRAT为团伙专属定制工具,不会在暗网流通,传统杀毒特征库很难匹配拦截,防护难度大幅提升。
在社工诱饵设计上,TAG182贴合各行业办公场景定制恶意文档,伪装成涉外合作协议、海外项目对账表、科研课题资料、人事保密通知,利用员工业务需求诱导启用Office宏,大幅提升钓鱼成功率。

一、MarkiRAT木马核心技术拆解:多重隐蔽手段实现长期窃密
MarkiRAT为Windows专属远控木马,兼容Win10、Win11全系列终端与服务器,依靠多层对抗技术绕过常规安全防护,核心能力分为四大模块。
其一,多途径持久化驻留。木马写入注册表开机启动项、投放恶意快捷方式,篡改企业微信、Telegram等办公软件启动路径,同时滥用系统BITS后台传输服务,实现开机自动运行,重启设备也不会清除控制通道。
其二,全维度窃密功能。可智能键盘记录、实时监控剪贴板、定时高清截屏,全盘检索Word、PDF、图纸、数据库备份文件,批量导出浏览器账号Cookie,完整测绘内网资产,为横向渗透铺路。
其三,伪装式加密通信。采用标准HTTPS心跳传输,流量模拟正常网页访问,窃取文件分段Base64加密,搭配多组备用C2域名,单一服务器封禁后自动切换,内网代理环境下仍可外联攻击者。
其四,成熟反检测机制。利用RTLO文字翻转篡改文件名,多层代码混淆,注入浏览器、资源管理器等可信进程;自动识别虚拟机沙箱并休眠,清理系统日志抹除入侵痕迹,大幅增加事后溯源难度。
二、完整攻击链路:钓鱼投递到内网横向渗透全流程
团伙攻击分为四个标准化阶段,邮件、办公IM是两大主要入侵入口。
第一阶段社工投递:发送标题贴合业务的鱼叉钓鱼邮件,附件为带恶意宏的docm文件;或通过企业微信、钉钉发送伪装压缩包,依靠同事信任诱导双击打开。
第二阶段载荷落地:用户启用宏后,VBS脚本调用curl、bitsadmin等系统自带工具,静默下载MarkiRAT本体,全程无弹窗、无报错。
第三阶段建立持久控制:木马完成驻留注入,搭建加密C2通道,后台静默运行无任何可视化窗口。
第四阶段情报窃取与内网扩散:黑客远程下发窃密指令,同时枚举内网共享盘、域账号,渗透财务、数据库服务器,批量回传涉密文件至境外服务器。
三、分层防御+中毒应急方案,筑牢企业APT防护屏障
针对NexusTAG182攻击特征,企业需搭建员工、终端、网络三位一体防护体系。
1、全员基础防护层面:全局禁用Office外部文档宏,陌生邮件、IM附件统一上传沙箱检测;系统开启完整文件扩展名显示,警惕RTLO翻转伪装文档;涉密资料禁止通过私人聊天软件传输。
2、终端安全加固层面:部署具备进程注入、BITS任务监控能力的EDR,定期审计注册表启动项、开机脚本;监控PowerShell无文件下载行为,及时更新系统补丁,收紧脚本执行权限。
3、网络边界防护层面:防火墙同步TAG182恶意域名情报,拦截境外异常心跳上传流量;内网实施VLAN分段隔离,核心数据库增设访问校验,留存全量网络日志便于溯源。
若终端疑似感染木马,需第一时间断开内外网,切勿重启设备破坏取证痕迹;清理注册表异常启动项、BITS恶意任务,全量修改域账号、业务系统密码并开启二次验证;全网扫描同源样本,排查横向扩散风险,留存进程、流量日志备查。
当前境外APT组织针对国内涉外单位的窃密行动持续升级,MarkiRAT凭借极强隐蔽性突破传统防护,各高危行业需尽快完成终端自查,补齐安全短板,避免核心机密长期被境外间谍组织窃取。