间谍软件GIFTEDCROOK三度进化！和平谈判期间疯狂窃取乌克兰军政机密

“一份伪装成军事人员名单的Excel文档，背后是直通克里姆林宫的数字间谍通道。”

PS：有内网web自动化需求可以私信

—

导语

2025年6月，伊斯坦布尔的谈判桌上，乌克兰与俄罗斯代表就战俘交换和停火协议展开艰难磋商。与此同时，一场无声的网络情报战正在同步上演。

网络安全公司Arctic Wolf最新报告揭示，曾被认定为普通信息窃取程序的GIFTEDCROOK恶意软件已完成三次迭代升级，从最初仅能窃取浏览器密码的工具，蜕变为针对乌克兰军政机构的精密情报收割机。

01 地缘博弈中的恶意代码进化论

GIFTEDCROOK的演变轨迹如同一部精心编排的间谍剧本。根据Arctic Wolf实验室的分析，该恶意软件在2025年2月仅处于概念验证阶段，3月便投入实战部署。

到4月初乌克兰计算机应急响应小组（CERT-UA）首次发出警报时，它已被用于针对军事组织、执法机构和地方自治机构的攻击，特别是位于乌克兰东部边境附近的机构。

短短三个月内，黑客组织UAC-0226完成了三级跳式技术升级：4月的v1版本仅能窃取浏览器数据；5月v1.2开始收集特定文件；6月推出的v1.3已具备全面情报收割能力，攻击窗口正好覆盖6月2日启动的“伊斯坦布尔战俘与遗体交换协议”谈判。

“攻击时间线与地缘政治事件高度吻合绝非偶然。”Arctic Wolf分析师在报告中指出，“恶意软件功能紧随政治目标调整，地缘政治目标直接驱动了技术升级路线图。”

02 军事诱饵：精密构造的感染链条

攻击始于一封封看似平常的公务邮件。收件人邮箱中出现的，是标题为“第609528组织应征军人通知名单”的军事文件，附带一个Mega网盘链接。这份名为“Список оповіщених військовозобов’язаних організації 609528.xlsm”的Excel文档，表面是标准的军方登记表，实则暗藏杀机。

当目标人员启用宏命令查看文件内容时，恶意代码即刻激活。攻击者深谙目标人群心理——军事人员对这类文档毫无戒心。

“用户通常不会怀疑工作中的电子表格，特别是那些看似来自政府机构的文件。”安全专家强调，这正是恶意文档能绕过防御的关键。

邮件伪造技术同样精湛。分析显示，攻击者偏好伪造乌克兰西部城市乌日霍罗德（Uzhhorod）的邮件来源，收件人栏填入“巴哈穆特当局”作为障眼法，真实目标则隐藏在“未公开收件人”条目中。这种发送策略既增加邮件可信度，又有效掩盖真实攻击目标。

03 技术解剖：从数据过滤到隐身外传

最新版GIFTEDCROOK v1.3在受害系统中创建%ProgramData%PhoneInfoPhoneInfo目录作为据点，并采用睡眠规避技术绕过基础沙箱检测。其文件收集机制展现出高度针对性：

时间筛选：专门收集最近45天内修改的文件（早期版本仅15天），确保获取最新活跃文档
类型定向：覆盖办公文档（.doc/.docx）、演示文稿（.pptx）、图像（.jpeg/.png）、压缩包（.rar/.zip），尤其关注OpenVPN配置文件（.ovpn）

获得数据后，恶意软件使用动态密钥进行XOR加密（如样本中出现的“BPURYGBLPEWJIJJ”密钥），随后通过合法Telegram API通道外传。为避免触发网络警报，超过20MB的文件会被自动分割成.01、.02等序列片段，通过格式为hxxps://api.telegram.org/bot7726014631:AAFe9jhCMsSZ2bL7ck35PP30TwN6Gc3nzG8/sendDocument的机器人令牌传输。

攻击的最后一步显示出专业级的反侦察意识：执行批处理脚本彻底清除主机上的恶意软件痕迹。

04 战略升级：从凭证窃贼到国家间谍工具

GIFTEDCROOK的演变史映射出网络武器在地缘冲突中的战略价值跃升：

版本迭代与功能演进

时间	版本	主要功能	攻击目标
2025年2月	概念版	浏览器数据窃取	技术验证
2025年4月	v1	浏览器Cookie/历史记录窃取	军政人员
2025年5月	v1.2	15天内修改的文档收集	敏感文件
2025年6月	v1.3	45天内文档+OpenVPN配置窃取	谈判情报

尤其值得警惕的是.ovpn配置文件的针对性收集。这些文件包含VPN连接凭证和网络配置信息，获取后攻击者可直接渗透机构内部网络，实施更深入的间谍活动。

“这不仅是窃取密码——它正在系统性地收割情报。”安全研究人员指出，“专门收集VPN配置和近期办公文档，表明其目标是获取机构敏感信息，而不仅是个人凭证。”

05 防护战线：如何抵御定向文档窃取

面对不断进化的文档窃取恶意软件，企业安全团队需采取分层防御策略：

宏执行管控：对来自外部的Office文档默认禁用宏执行，建立可信文档白名单制度。GIFTEDCROOK的初始感染完全依赖宏启用
网络流量分析：监控异常Telegram API通信，尤其关注异常文件分割传输行为（如连续发送.01/.02后缀文件）
端点行为检测：部署能识别睡眠规避技术和异常文件目录扫描（如%ProgramData%PhoneInfo）的EDR解决方案
员工专项培训：重点教育军政人员识别军事主题钓鱼邮件特征，建立可疑文件报送流程

乌克兰CERT-UA建议对涉及和平谈判的机构实施临时网络隔离，在敏感任务期间切断非必要外联通道，尤其阻断Telegram API通信。

当GIFTEDCROOK的开发者将文件收集窗口从15天延长到45天时，他们显然意识到：战争情报的价值不限于即时战术信息，更在于理解对手的中期战略部署。这份“耐心”暴露出网络间谍活动的新形态——恶意代码成为地缘博弈的延伸，键盘化作新型武器，而每一次和平谈判的灯光亮起，数字暗战便随之升级

免责声明：

本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负。

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助

第十二条：国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条：国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。