蔓灵花组织，又称为BITTER，是一支据称有南亚背景的高级持久性威胁（APT）组织。自2013年11月起，该组织开始活跃，并主要专注于巴基斯坦和中国两国。其攻击目标主要包括政府部门、电力行业、军工业相关单位，其意图是窃取敏感资料。近期蔓灵花组织主要使用鱼叉式钓鱼邮件投递恶意CHM文件和带有漏洞的Office文件来进行攻击，其在攻击活动中使用远程控制工具wmRAT。wmRAT是蔓灵花组织最新的攻击武器，支持多种远程控制指令，用于执行各种恶意操作。 此外，蔓灵花组织还利用PowerPoint单击鼠标事件创建计划任务，利用白+黑加载后续后门组件。

2022年全年，研究人员捕获到Bitter组织相关钓鱼攻击200+次，捕获相关仿冒诱导文档60+，根据去年捕获情况来看，该组织攻击依然延续与以往相似的常态化热点攻击。Bitter组织针对行业主要集中在航空航天、军工、大型企业、国家政务、部分高校。近期，研究人员在对Bitter组织的持续追踪过程中发现其武器库中出现了一款新型DLL后门，原始名称为OLEMAPI32.DLL，产品名称为Microsoft Outlook，本次发现的后门使用的通讯方式较为独特，与该组织其他武器相比较，本次发现的后门通讯方式采用RPC与服务端交互。根据已有信息来看，此次新发现的后门极有可能针对Outlook用户群体，为方便后续追踪狩猎及区分，研究人员将其命名为ORPCBackdoor。

Bitter APT组织针对中国核能部门发起了网络钓鱼活动。攻击者伪装成吉尔吉斯斯坦大使馆，向中国核能行业人员发送电子邮件。邮件邀请收件人参加与他们相关的主题会议，诱使收件人下载并打开包含Microsoft编译的HTML帮助文件(CHM)或恶意Excel文档的RAR文件。

BITTER组织在2021 到2023 年初一直保持活跃的状态。其常用打点技巧为鱼叉攻击，向目标投递带 lnk 与 chm 恶意附件的邮件，在 2023 年初并未发生较大变化，且该组织已向多个目标投递恶意邮件进行攻击。其投递恶意 chm 文件，诱导目标执行该文件创建恶意计划任务下载第二阶段载荷，命令行使用字符 ‘^’ 进行混淆，创建计划任务下载执行第二阶段载荷，自 2021 年以来，该攻击手法没有发生较大变化。在最新的攻击行动中，研究人员观察到其使用了新的组件进行攻击，还观察到该组织疑似攻陷了巴基斯坦相关的内衣网站作为其载荷托管点，“http://mirzadihatti[.]com/css/try.php”与“http://guppu[.]pk/log/try.php”，该类网站都为wordpress站点，研究人员怀疑 BITTER 组织会长期攻陷目标境内wordpress站点以作为载荷托管中心。

Meta（Facebook）发布了2022年第二季度的对抗性威胁报告，报告披露了南亚的两起间谍活动，这些活动利用其社交媒体平台向潜在目标分发恶意软件。第一组活动由Bitter APT组织发起，针对新西兰、印度、巴基斯坦和英国的个人，该组织用恶意软件感染其目标，使用了 URL 缩短服务、受感染网站和第三方文件托管服务提供商的组合。Bitter的武器库中增加了两个移动应用程序，分别针对 iOS 和 Android 用户。Android 应用程序是一种被 Meta 命名为“Dracarys”的新恶意软件，它在未经用户同意的情况下滥用无障碍服务来增加权限，充当间谍软件、窃取短信、安装应用程序和录制音频。

Bitter又名T-APT-17，是疑似南亚的APT组织，自 2013 年以来一直活跃，针对中国、巴基斯坦和沙特阿拉伯的能源、工程和政府部门展开间谍活动。在最近的活动中，该组织将目标扩大到了孟加拉国政府实体。 与猎影实验室此前披露的Bitter攻击活动一致，诱饵文件是一封发送给孟加拉国警察快速行动营 (RAB) 高级官员的鱼叉式网络钓鱼电子邮件。电子邮件包含恶意 RTF 文档或被武器化以利用已知漏洞的 Microsoft Excel 电子表格。一旦受害者打开恶意文档，Microsoft Equation Editor 应用程序就会自动启动以运行包含 shellcode 的嵌入式对象，以利用 CVE-2017-11882、CVE-2018-0798 和 CVE-2018-0802，然后从托管服务器下载名为“ZxxZ”的木马并在受害者的机器上运行。攻击链如下：

近期安恒安全数据部猎影实验室捕获到多个疑似蔓灵花组织（Bitter）利用得到权限的巴基斯坦、孟加拉国政府邮箱发起的网络攻击活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似，延续了其一贯的攻击特征。 另外，其中一处回连域名使用了中文拼音，疑似伪装为我国进行攻击。虽然此次攻击时针对孟加拉，但也不排除存在针对国内的攻击行动的，可能需要排查是否也有可能存在攻击国内的情况。

近期猎影实验室捕获到多个疑似蔓灵花组织利用“尼泊尔建军节邀请函”等相关诱饵发起的网络攻击活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似。可以说是延续了其一贯的攻击特征。另外虽然本次捕获的样本没有明确表明其攻击目标，但是我们从该组织长期以来的攻击活动，以及地缘政治等方面推测此次攻击活动很可能是“针对巴基斯坦国家的政府、以及核能方面的相关从业人员”。

事件背景蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织，该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击，窃取敏感数据，具有较强的政治背景。 近期安恒威胁情报中心猎影实验室捕获到一个疑似蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Report.doc”的诱饵文档进行攻击。并且使用一个处于失陷状态的巴基斯坦二手交易网站服务器来下发第二阶段载荷。

BITTER组织是疑似具有南亚背景的APT组织，长期针对东亚，南亚等地区进行攻击活动，主要针对政府、军工业、电力、核能等单位进行定向攻击，窃取敏感资料。研究人员捕获了数百个蔓灵花（BITTER）组织在2021年2月到9月的攻击样本。在攻击活动中，攻击者主要以军事、能源、财务等为主题，通过向受害者发送钓鱼邮件，诱使受害者打开包含恶意CHM或RTF的RAR压缩包附件，执行内置的恶意脚本，释放其常用的.NET远控程序。 简况部分样本信息如下：文件名MD5样本类型C2下XXXXX程.doc/supply enquiry.doc