经济背景
2025 年上半年,全球金融市场经历了罕见的巨变,黄金价格出现历史性暴涨,成为此次事件最为关键的经济背景。这一轮金价飙升主要由多重因素叠加驱动:其一,全球主要经济体货币政策出现分化,市场对信用货币的信心产生动摇;其二,地缘政治冲突持续升级,特别是某些区域的紧张局势加剧,极大地刺激了市场的避险情绪;其三,全球经济增长预期被多家机构大幅下调,恐慌性资金纷纷涌入黄金这类传统避险资产。金价的剧烈波动和巨大的交易量,使得围绕黄金交易的金融机构——包括交易所、银行、托管机构和投资基金——持有和流动的资金量急剧膨胀,这无疑为网络犯罪创造了极高的“投入产出比”。正是这种极其诱人的经济价值,吸引了包括 APT 组织在内的尖端攻击力量,它们试图通过供应链攻击这种隐蔽且高效的方式,渗透至香港金融体系的核心和内地高价值投资者。目的窃取巨额资金或操纵市场获取暴利。
事件背景
2024 年 5 月,奇安信威胁情报中心披露了针对游戏与人工智能行业的 APT 组织 UTG-Q-010[1]。该团伙报复心理极强,在报告发布后,竟针对我司国产化业务相关的公开邮箱发起低水平鱼叉邮件攻击。
攻击者在投递时似乎手忙脚乱,忙中出错,连正文中的探针域名都未能写全:
2025 年 7 月,通过天擎“六合”高级威胁引擎和红雨滴团队的私有情报生产流程,发现 UTG-Q-010 组织最新活动,部分政企客户在安装来自中国香港地区金融机构“金荣中国”(jrjr.hk)和“万州金业”(wzg.com)官网的金融软件时,触发了相关规则告警,人工分析后确认安装包中存在恶意代码。目前上述官网的安装包已恢复正常。
金荣中国和万州金业是两家知名的香港黄金交易所 AA 类持牌黄金交易商[2],也是目前国内高价值投资者主要选择的交易平台。
样本分析
恶意安装包信息如下:
MD5 | Filename |
3d60c16bbe50c562429a50b21dd6fcc0 | upway_desktop.exe |
af99f2aa90026f0690d44d9747cd7a78 | wzgoldgroup5setup.exe |
恶意 setup 程序除了正常的安装流程还会在 C:\\Windows\\Tasks 目录下释放白加黑组件:
msdtctm.dll 的恶意导出函数是 DtcMainExt, 执行下载者逻辑,与 2024 年活动的逻辑一致。从 https://cloudcenter.top/sys/systemupdate 处下载一套内存 loader 和 shellcode。
与 24 年不同的是 UTG-Q-010 将最终 payload 从 Pupy Rat 替换为 2025 年刚出现的全新渗透框架 AdaptixC2。
回连:cloudcenter.top/api/update。
远控指令逻辑如下:
与 Github 上的源码相比完全一致:
AdaptixC2 功能与 Cobalt Strike、Sliver、Havoc、Mythic 等传统渗透框架别无二致,目前天擎六合引擎已经支持对 AdaptixC2 渗透框架的内存查杀:
影响范围
奇安信 PDNS 数据显示,本次攻击活动的影响范围与去年相比存在显著差异。去年攻击仅集中于游戏、AI 和医疗领域,而此次供应链活动受害者已涉及到金融、制造及文化等关键行业。
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信 NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
FileHash-MD5:
3d60c16bbe50c562429a50b21dd6fcc0
af99f2aa90026f0690d44d9747cd7a78
C2:
cloudcenter.top
参考链接
[1]https://ti.qianxin.com/blog/articles/UTG-Q-010-Targeted-Attack-Campaign-Against-the-AI-and-Gaming-Industry-EN/
[2]https://finance.sina.com.cn/jjxw/2025-06-03/doc-ineyuiii1529546.shtml?froms=ggmp
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
