安全研究人员已经发现了一场被命名为STARK#MULE的正在进行的攻击活动，该活动使用与美军相关的文档作为诱饵，通过合法的被攻破的网站传播恶意软件。

这场活动似乎是针对韩语使用者的，可能表明它起源于朝鲜，尽管这一点尚未得到证实。

Vulcan Cyber的高级技术工程师Mike Parkin警告说：“朝鲜是几个已知在网络战、网络间谍和网络犯罪活动之间模糊界限的国家之一。”

“考虑到地缘政治的情况，这样的攻击是他们通过进一步推动政治议程来反击的一种方式，而不会有真正升级为实际战争的严重风险。”

这些诱饵文档声称含有关于美军/军事招募资源的信息，诱使接收者打开附件，无意中激活了嵌入的恶意软件。

据Securonix上周五发布的一份公告，STARK#MULE活动的整个恶意基础设施都集中在被破坏的合法韩国电商网站上。

通过利用这些网站，威胁行为者可以混入常规流量中，避免被检测，同时传输恶意软件阶段器并保持对受害者系统的完全控制。

这次攻击是从一封含有zip文件附件的网络钓鱼邮件开始的。这个文件包含了几个嵌套的zip文件，其中一个执行PowerShell代码。这将启动一系列事件，包括下载更多的恶意软件阶段器并创建定时任务以实现持久性。

最后的有效载荷与托管在被破坏的网站上的一个命令和控制（C2）服务器通信。在那里，攻击者从受感染的机器收集系统细节，使用MAC地址作为后续命令的设置ID。

Qualys的威胁研究经理Mayuresh Dani解释说：“绕过系统控制，通过混入合法的电商流量来逃避，以及在被标记的目标上获得完全控制，而且始终保持未被检测，使这个威胁引人注目。”

“STARK#MULE也可能已经找到了一个可能的零日漏洞，或者至少是一个已知的微软Office漏洞的变种，这使得威胁行为者只需让目标用户打开附件就能在目标系统上获得立足点。”

Securonix建议对未经请求的带有附件的电子邮件保持警惕和谨慎，尤其是那些传达紧迫感的邮件。