瑞星披露：“蔓灵花”每16分钟一次窃取我国数据

近日，瑞星威胁情报平台披露，长期针对我国实施网络间谍活动的南亚黑客组织“蔓灵花”（Bitter）再度出手，对我国某政府部门发动了定向攻击：伪造“自然资源部”公务邮件，向相关人员发送携带病毒的“Excel文件”。一旦点开，受害电脑便沦为黑客的“监控站”——屏幕遭实时窥探、文件被秘密窃取，甚至每16分钟自动向境外服务器回传情报！

攻击手法：披着“公务”外衣的陷阱

1. 伪造身份，精准投递：

攻击者精心伪造发件人身份与邮件内容，冒充“中华人民共和国自然资源部”官方机构。邮件主题以“用户数据”等看似合理的公务内容为幌子，附件名称伪装成Excel格式（如 “
mail.mnr.gov.cn202501104759.xls.chm”），极具迷惑性，目的是诱骗工作人员放松警惕、点击打开。

2. 恶意附件，隐蔽激活：

所谓的“Excel 文件”实质是带有恶意脚本的HTML文件。受害者一旦点开，隐藏其中的恶意代码便会在后台自动运行，悄无声息地启动攻击流程。

3. 持久潜伏，定时回传：

恶意脚本会在受害电脑中创建名为“
WindowsDefenderVerification”的定时任务，每16分钟自动连接境外服务器——一边接收黑客指令，一边回传窃取的数据，实现对电脑的长期隐蔽控制。

幕后黑手“蔓灵花”：有国家背景的 “数字间谍”

“蔓灵花”（Bitter）是一个具有明确地缘政治动机的境外高级持续性威胁（APT）组织，疑似来源于印度，且有明显的国家支持背景。

自2013年被首次发现以来，该组织持续活跃，攻击目标高度集中于中国、巴基斯坦等地区的战略性目标，包括政府机构、军事部门、能源基础设施及其他关键信息基础设施。其核心目的是通过网络间谍活动，窃取目标国家和机构的敏感信息、机密文档与战略情报。

防护指南：四道防线抵御"数字间谍"

鉴于"蔓灵花"组织以窃取系统配置、机密文件、实时屏幕画面为核心目标，且具备长期潜伏、定向攻击特性，我国政府部门及相关企业需立即启动以下防御机制：

1. 警惕陌生邮件附件

收到来源不明的邮件，尤其是带附件的，千万别轻易点开。

2. 给电脑装上“防护盾”

安装专业的防护产品，及时更新病毒库，借助软件拦截恶意文件。

3. 给网络加设“安全门”

部署能监测异常网络活动的系统，及时发现黑客的远程控制行为，从源头阻断攻击路径。

4. 及时修补系统漏洞

定期为电脑系统和常用软件打补丁，减少因漏洞被攻击的风险。