羅馬尼亞安全企業Bitdefender公司本周發布報告稱，“黑暗酒店（DarkHotel）”網絡高級持續威脅組織一直在針對朝鮮政府的雇員發動新型攻擊。

2014年11月，卡巴斯基公司曾發布一份報告，其中詳細介紹了黑暗酒店高級持續威脅（簡稱APT）組織如何針對亞太地區的商旅人士施以相當復雜的網絡間諜攻擊。而該組織已經存在近十年之久，且部分研究人員認為其成員主要來自韓國。

攻擊者們利用多種方法窺探受害者的秘密，具體包括使用酒店Wi-Fi、零日漏洞以及點對點（即P2P）文件共享網站等等。在近一年之后，安全行業又觀察到該組織利用新型技術與一項泄露自意大利間諜軟件開發集團Hacking Team的安全漏洞。

黑暗酒店（DarkHotel）的受害者遍布各個國家與地區，具體包括朝鮮、俄羅斯、韓國、日本、孟加拉國、泰國、中國（含中國臺灣省）、美國、印度、莫桑比克、印度尼西亞以及德國等等。直到不久之前，該組織還一直在對國防工業 、軍事、能源、政府、非政府組織、電子制造、制藥以及醫療等行業的企業高管、研究人員及開發人員施以入侵。

根據Bitdefender公司方面表示，黑暗酒店（DarkHotel）近期的攻擊活動被命名為“Inexsmar”，且開始利用一些新型方法指向政治人物。

Bitdefender公司的分析基于采集自2016年9月的樣本。黑暗酒店（DarkHotel）方面通過網絡釣魚郵件發送初始木馬下載程序，用以收集受感染設備上的信息并將結果發送回命令與控制（簡稱C&C）服務器。如果目標系統滿足其要求，即持有者屬于值得關注的對象，則向其中發布被偽裝為OpenSSL組件的黑暗酒店惡意下載程序。

與此同時，為了避免引起懷疑，該惡意軟件還會打開一份名為“Pyongyang e-mail lists - September 2016（平壤郵件列表-2016年9月）”的文件，其中提供了朝鮮首都各組織機構的聯系人郵件清單。

如果系統配置信息與攻擊者的關注方向并不一致，則C&C服務器會返回一條“失敗”字符串并停止攻擊。如果攻擊繼續，則檢索第二項有效載荷(Payload)。

在對惡意軟件樣本進行分析時，Bitdefender公司發現該C&C服務器處于離線狀態，意味著其無法借此了解受害者身份以及此項攻擊造成的危害。然而，Bitdefender公司的伯格丹·伯特扎圖在接受采訪時解釋稱，根據其網絡釣魚信息的結構，黑暗酒店（DarkHotel）指向的目標很可能屬于政府或者國家機構工作人員，且其明顯對朝鮮政治局勢很感興趣。

專家們認為，相較于直接利用安全漏洞，使用社交工程與多段式下載程序效果顯然更好——因為這意味著攻擊者將能夠在惡意軟件發布層面擁有更好的靈活性，同時確保木馬始終處于最新狀態。