韩国 DarkHotel 黑客组织在 2021 年 12 月至 2022 年 1 月的新活动中被发现，目标是中国澳门的豪华酒店。

DarkHotel 是一个 复杂的 黑客组织，其目标是酒店业， 通过暗网销售进行高级间谍活动 或数据货币化 。

澳门是中国南方的一个自治区，靠近香港，休闲和商务游客源源不断。其巨大的赌场和购物中心为澳门赢得了“亚洲拉斯维加斯”的绰号。

DarkHotel 对该地区特别感兴趣，它的目标是酒店系统通过 WiFi 网络拦截客人浏览数据。

对 DarkHotel 活动的最新观察来自 Trellix 的威胁分析师 ，他们跟踪了Zscaler在 2021 年 12 月的一份报告中公开的 C2 IP 地址，以追踪 攻击者 的活动。

奇怪的是，在攻击标识符暴露后，DarkHotel 并没有费心将其运营转移到不同的基础设施；因此，Trellix 的后续跟踪成为可能。

澳门运动

此次活动确定的两家连锁酒店分别是路环海逸度假酒店和永利皇宫，均为 5 星级酒店。

这些酒店计划举办有关贸易、投资和环境的国际会议，因此 DarkHotel 的活动可能旨在为未来的间谍活动奠定基础。

Trellix 于 2021 年 12 月 7 日记录了该威胁组织的第一批网络钓鱼电子邮件，这些电子邮件从冒充澳门旅游局的地址发送至 17 家酒店。

附加的 Excel 文件据称包含对酒店运营商的重要信息，其中包含模糊形式的恶意宏代码。

打开文件并在 Microsoft Office 套件上启用内容后，该文档会加载任务计划程序服务并将 VBS 脚本放入系统文件夹中。
从那里，恶意软件可以启动 PowerShell 和 wscript.exe 以获取主机系统详细信息并将其发送到 C2 服务器，在本例中为“https://fsm-gov.com”。

这是一个冒充密克罗尼西亚联邦政府实际网站的欺骗域，该网站位于“.fsmgov.org”上。

通过进一步调查，Trellix 发现 C2 的后端与之前报道的与 DarkHotel 相关联的后端相似，并且还发现了 Mailman 用于分发网络钓鱼电子邮件的滥用。

2022 年 1 月 18 日，在上述酒店宣布因 COVID-19 推迟会议后不久，威胁行为者停止了电子邮件分发。

归因

Trellix 对这次活动的归属并不完全有信心，但他们有关键证据指向韩国威胁行为者。

• 第一种是使用与 Zscaler 报告的相同的 C2 IP 地址。 
• 其次，目标实体和明显的竞选目标与 DarkHotel 的运营方法相匹配。
• 第三，C2 面板与该小组以前使用的面板非常相似。

唯一令人怀疑的问题是特定 IP 地址在公开曝光后仍持续使用，这与老练参与者的 OPSEC 级别不符。

此外，Trellix 还发现了其他来自同一 IP 地址的恶意活动，这些活动似乎与 DarkHotel 无关。

对此的一种可能解释是，DarkHotel 故意将这个公共 IP 地址与其他威胁参与者一起使用，通过隐藏在其他活动后面来掩盖其踪迹。

Trellix已将此事通知澳门保安部队事务局，有关方面正密切留意事态发展。

建议使用酒店 WiFi 连接的酒店客人使用 VPN 工具对其网络流量进行加密，以防被拦截。