FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

以攻击俄罗斯机构闻名的网络间谍组织升级了攻击武器库，通过恶意Excel插件绕过防御系统并植入新型后门。Intezer最新报告显示，Paper Werewolf组织（又称GOFFEE）开始使用XLL文件（Excel专用的Windows DLL类型）来投递名为EchoGather的隐蔽植入程序。

2025年10月下旬检测到的此次攻击活动，标志着该组织战术的重大转变——将传统邮件诱饵与新型执行方法相结合，专门针对俄罗斯高科技与国防工业。

XLL文件：更强大的攻击载体

虽然基于宏的恶意软件长期是网络犯罪的标配，但Paper Werewolf已转向更有效的载体：XLL文件。与标准电子表格不同，XLL本质上是Excel直接加载到内存的编译程序。

报告解释："XLL是Excel作为插件加载的原生Windows DLL，允许通过xlAutoOpen等导出函数执行任意代码"。由于这些文件以原生代码运行，可绕过微软对传统VBA宏设置的诸多安全限制和"解释型脚本"约束。

独特的延迟触发机制

该攻击活动的独特之处在于恶意软件选择何时触发。不同于文件打开立即运行的常见行为（易触发杀毒软件警报），这个恶意加载器会等待。

研究人员发现，该恶意逻辑仅在线程退出时触发。"在DLL_THREAD_DETACH期间触发恶意负载，通过延迟执行至线程退出帮助恶意软件规避检测"。这种微妙延迟使攻击能绕过主要关注初始活动的基于行为的检测系统。

EchoGather后门功能剖析

加载器执行后会释放主负载：EchoGather。这个定制后门专为侦察与持久化设计。

报告指出："该DLL包含嵌入式第二阶段负载，即我们命名为EchoGather的后门"。激活后，恶意软件会"收集系统信息、与硬编码C2服务器通信，并支持命令执行和文件传输操作"。

恶意软件通过HTTPS通信，使用模仿食品配送服务（dostavka/lavka/...）的硬编码用户代理字符串混入合法流量。

AI生成的漏洞百出诱饵文档

攻击依赖鱼叉邮件投递文件名骇人的XLL文件（如"敌方计划目标.xll"）。但该组织的攻击手法存在明显破绽。

伪装成俄罗斯工贸部公文的诱饵文档充满暴露人工痕迹的错误。研究人员指出："PDF由AI生成，包含多处明显矛盾"，包括拼写错误的俄语单词，以及国徽更像"扭曲的鸟类图案"而非官方双头鹰标志。

攻击溯源与基础设施分析

尽管存在这些拙劣错误，基础设施分析清晰指向已知攻击者。通过分析所用域名和漏洞利用（包括WinRAR漏洞（CVE-2025-8088）），研究人员将活动关联至Paper Werewolf。

报告称："基于共享基础设施（如ruzeda[.]com域名）、诱饵文档构造的显著相似性，以及利用ADS的WINRAR漏洞攻击，我们将此活动归因于Paper Werewolf（即GOFFEE）威胁组织"。

技术工具持续进化

转向XLL文件表明，虽然该组织易犯语言错误，但其技术工具持续进化。"威胁行为体正积极探索新的规避检测方法，包括使用基于XLL的投递技术和新开发的有效负载"。

参考来源：

AI-Generated Decoys & XLL Stealth: Inside the New “EchoGather” Cyber Espionage Campaign

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）