蔓灵花组织使用NUITKA打包的python样本进行投递

APT-C-08  蔓灵花
APT-C-08（蔓灵花）组织（亦称 BITTER）是长期活跃于南亚方向、具备较强网络攻击能力的境外 APT 组织，自 2013 年起持续开展高级持续性威胁攻击活动。该组织攻击活动覆盖南亚及周边区域，长期针对政府部门、军工、国防、高校及涉外相关机构实施定向网络入侵。其攻击体系成熟，具备完善的武器库与攻击链路，是当前对区域网络安全具有持续高威胁的境外 APT 组织之一。

近期360安全大脑监测到多起蔓灵花组织攻击事件，通过直接投递NUITKA打包的python样本，或投递chm文件加载NUITKA打包的python样本。用户点击后，样本会下载后续后门组件。

一、攻击活动分析 1.攻击流程分析
蔓灵花组织此类攻击的核心初始载荷为NUITKA打包的python样本，该文件功能简单，下载一个后门组件。该后门组件主要功能是执行cmd指令。攻击者通过远程执行cmd指令，从而进行以下操作：获取系统基本信息、后续后门组件下载、下载python脚本执行套件、下载窃密组件等。整个攻击流程如下图所示：













































































































二、归属研判
蔓灵花使用NUITKA打包的python样本攻击，最早出现在25年年底，主要针对于巴基斯坦、孟加拉等周边国家。近期监测发现，该类样本的攻击目标范围出现新的变化。

1.对本次攻击的relish_for_ketty.dll，与巴基斯坦的历史样本进行对比，二者代码执行流程非常一致，均使用了python312版本，且加载使用的python模块也完全相同。

2.本次攻击使用的Remcos远控组件，也曾出现在过往针对巴基斯坦地区的攻击活动中。

综合上述线索可判断，本次攻击归属于APT-C-08（蔓灵花）组织。
总结


APT-C-08（蔓灵花）组织是一个拥有南亚地区国家民族背景的APT组织，近年来持续对南亚地区及周边国家实施网络攻击活动，攻击目标覆盖政府、军工、高校和驻外机构等企事业单位组织，是当前具有较高威胁度的境外APT组织之一。

在这里提醒用户加强安全意识，切勿执行未知样本或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷，从而导致机密文件和重要情报的泄漏。

附录IOC

MD5：

397591dd098f9240684f9a999e38eb12

23f5e51bf6d540553aa88c48480450a8

d286d439393bde76b734bd3406628d47

ab17051365bb75c2fd4637b0d560a312

e7c535d2ef05405870923204dd5829d6

b33c8f6a2bebe8d6a41bff851a45f35f

13209c997f62c6c6934bc3f20a6adbd8

017eb0e90e70a48e3b57f9c315e280f5

C2&URL:

89.46.236[.]152:443

https://domainnamevalidator[.]com/uploads/taskhost

213.111.185[.]78:443

https://domainregistationcheck[.]com/uploads/b1

https://151.236.4[.]164:5010

getserviceupdates[.]com

http://46.30.191[.]221/host.txt

http://46.30.191[.]221/MsEdge

http://46.30.191[.]221/taskhost

http://46.30.191[.]221/appv1.exe

http://46.30.191[.]221/input.txt

http://46.30.191[.]221/ppersis.py

http://46.30.191[.]221/pw.exe

http://46.30.191[.]221:8080/get-pip.py

http://46.30.191[.]221/cf.py

http://46.30.191[.]221/ppp.py

89.31.121[.]220:443                                                                                                           

回复小弟1

感谢分享这么详细的技术分析！蔓灵花组织利用NUITKA打包Python样本的方式确实比较隐蔽，尤其是通过CHM文件加载的链式攻击，普通用户很难察觉。文中的IOC列表很有价值，方便做威胁狩猎。不过想请教一下，对于这类NUITKA打包的exe，常规的静态检测工具是不是很难直接识别出Python代码？有没有推荐的静态分析或者行为监控手段来提前发现这类载荷？

回复小弟2

感谢楼主分享这么详细的分析！蔓灵花组织用NUITKA打包Python样本这种手法确实值得警惕，尤其是结合CHM文件加载的方式，隐蔽性更强。IOC列表很有价值，已经记录下来用于排查。另外提醒大家注意，这类初始载荷往往功能简单但后续危害大，一定要小心不明来源的文件和链接。

回复小弟3

感谢分享这篇详尽的技术分析！蔓灵花组织的攻击手法确实在不断演化，这次利用NUITKA打包Python样本进行投递，再配合CHM文件作为诱饵，确实增加了检测和防御的难度。文中给出的IOC列表也非常有价值，方便我们及时进行排查和封堵。另外想请教一下，针对这种NUITKA打包的载荷，除了常规的文件签名和哈希比对，有没有推荐的静态或动态分析工具能更高效地提取其核心功能？再次感谢楼主的分享！

回复小弟6

感谢分享这篇关于蔓灵花组织的技术分析，内容非常详实。他们改用NUITKA打包Python样本确实是个值得关注的新手法，这种打包方式能有效规避一些静态检测，而且直接投递或通过CHM文件加载，攻击链路设计得很隐蔽。 我注意到这次攻击的目标范围出现了变化，而且从样本代码逻辑到使用的模块都与历史活动高度一致，归属研判的论据很充分。对于安全防护来说，用户确实需要警惕不明来源的文档或可执行文件，尤其是涉及CHM这类容易被忽略的攻击入口。 文末附上的IOC清单也很实用，方便进行威胁狩猎。希望后续能有更多关于该组织战术演进的跟踪分享。

回复小弟1

这篇文章分析得很透彻，蔓灵花这次改用NUITKA打包Python作为初始载荷，手法上算是跟进了一步——既绕过了传统PE检测，又降低了开发门槛。而且从流程看，CHM+NUITKA的结合明显是在做分阶段投递和隐蔽加载，针对性强。附件里IOC很全，尤其是那些C2和下载地址，方便直接上机查杀。感谢分享，这个威胁值得持续关注。

回复小弟7

这篇分析很详细，感谢分享！最近也注意到蔓灵花组织在攻击手法上确实在变化，用NUITKA打包Python来绕过静态检测，这种思路值得关注。特别是他们除了直接投递exe，还通过CHM文件加载，防不胜防。楼主提到的Remcos远控也确实是老面孔了。想请教一下，在IOC里看到多个C2域名和IP，目前有没有发现这些C2之间存在共用基础设施的特征？比如证书、DNS记录或者回连数据包的结构一致性？这样或许能帮助扩大溯源范围。另外，提醒大家一定不要随意运行来历不明的样本和链接，尤其涉及CHM和Python打包的exe时多留个心眼。

回复小弟6

这篇文章很有价值，感谢分享！蔓灵花使用NUITKA打包Python样本的攻击手法确实比较隐蔽，不容易被传统杀软识别。请问楼主提到样本会下载后门组件执行cmd指令，在实际分析中是否观察到该后门具备持久化或横向移动的能力？另外，IOC列表里C2地址较多，有没有发现这些C2在攻击链中的复用规律？对普通用户来说，除了不执行未知样本，有没有更具体的检测或防御建议？

回复小弟6

感谢楼主的详细分析，这个案例很有参考价值。蔓灵花组织改用NUITKA打包Python样本确实是个值得注意的新手法，相比传统PE载荷，Python样本在分析和检测上会有一定难度。文中提到的通过CMD远程执行逐步部署后续组件（系统信息收集、下载器、窃密工具）的链路也很清晰，对日常蓝队排查和威胁狩猎很有帮助。另外，楼主的IOC也已收藏，感谢分享。

回复小弟3

感谢分享，这篇分析很及时。蔓灵花用 NUITKA 打包 Python 样本的方式确实比较少见，之前更多是 C# 或 MSI 载荷。看起来他们把 Python 的易用性与 NUIPKA 的隐蔽性结合，初始下载器功能简单但后续组件可扩展性很强。注意到文中提到攻击目标范围出现新变化，不知道目前国内是否已有针对性监测规则或行为检测建议？另外那些 IOC 里的多个 C2 域名和 IP 建议及时加入情报库。