朝鲜国家关联的威胁组织扩大了攻击手段，正在大力传播将二维码武器化和传播移动恶意软件

据17日（当地时间）外国媒体报道，NKI白帽安全研究人员确认了9月存在的恶意活动，12月该活动在收到短信后点击链接后会重定向到假追踪网站。

该假网站上贴有二维码，用来诱使用户扫描二维码，下载被感染的安卓应用。






该恶意软件被分析为“DOCSWAP”的最新版本，该版本于2025年初首次被调查。新版本相较于前一代实现了多项改进。


引入了新的原生解密功能，欺骗用户的诱饵动作也变得更加多样化。

研究人员还确认，这场行动与金秀基之前的行动有关。

命令与控制（C2）服务器根目录中唯一的字符串“Million OK !!”被观察到了。

此外，HTML代码中韩语注释和错误信息也被指出，支持与朝鲜关联威胁行为者的联系。报告显示，金秀基针对智能手机的移动威胁能力——这些设备集中于金融和个人信息等敏感信息——持续演进。

Enki White Hat 研究人员创建了一个由 C2 服务器 27.102.137[.] 组成的网络。181 发现了正在部署的恶意应用。

该恶意应用通过冒充CJ物流与拍卖等合法服务，以及VPN应用和加密货币空投认证系统来欺骗受害者。

当用户访问电脑上的钓鱼链接时，会显示一个二维码，上面写着“出于安全原因，此页面无法在电脑上查看”。

当用户用移动设备扫描这个二维码时，应用开始下载看似“安全应用”的内容。

此外，如果你直接在安卓设备上打开同一链接，会看到假的安全检查界面，并提示安装安全应用以完成身份验证。