威胁行为者从至少2025年12月起,通过精心制作的恶意PDF文档,利用Adobe Reader中一个未知零日漏洞发起攻击。EXPMON研究员Haifei Li在报告中指出,这个漏洞高度复杂,能自动触发混淆的JavaScript代码,窃取敏感数据并下载后续载荷。VirusTotal平台上,首个样本“Invoice540.pdf”于2025年11月28日出现,第二个样本则在2026年3月23日上传。安全研究员Gi7w0rm在X平台发帖称,这些PDF包含俄语诱饵,伪装成俄罗斯油气行业当前事件相关文件,诱导用户打开。
黑客用社会工程学手段命名文件如发票,骗用户在Adobe Reader中运行。一旦打开,PDF立即执行特权Acrobat API,确认有效于最新版Reader。Li表示,该样本作为初始载荷,能收集本地信息,进行高级指纹识别,还会向远程服务器169.40.2[.]68:45191发送数据,并接收更多JavaScript。链上数据显示,这个机制为后续远程代码执行(RCE)和沙箱逃逸(SBX)铺路,虽然服务器未响应测试环境请求,但已足够引发警觉。样本VirusTotal上传间隔长达4个月,暗示攻击持续低调进行。
Adobe尚未发布补丁,这个零日让用户暴露在信息泄露风险中。Li强调,攻击者可能用它采集数据,判断环境后投放高级载荷。当前BTC报$71,840(24h +1.87%),加密用户常用PDF处理钱包备份,更需警惕此类文件。油气行业诱饵指向特定目标,但发票伪装让普通用户难辨。安全社区呼吁立即升级Reader,禁用不必要JavaScript,并用沙箱工具打开PDF。黑客链条完整,从诱导到数据外泄再到潜在RCE,显示专业水准高企。