夜雨聆风
Word、PDF如何成为境外组织“窃密工具”?机关、单位速查
一份看似普通的会议通知,可能暗藏国家级木马;一封伪装成学生的邮件,险些让顶尖专家落入陷阱。当日常办公文档成为境外组织的“窃密利器”,我们该如何守住指尖上的防线?
2026年3月30日,中央保密委员会办公室主管的“保密观”微信公众号发布重要提醒:境外组织正利用工作人员对Word、PDF等日常办公文档的信任,通过嵌入恶意代码、伪装文件后缀等方式,伺机窃取政府、军事、电信、能源等机构的敏感数据。这一警示,将网络窃密这一隐蔽战线的较量,推到了每个普通办公人员的眼前。
01
两份文档,两条“夺命路径”
攻击者的手法并不复杂,却极其精准地利用了人性的弱点——对熟悉事物的不设防。根据“保密观”披露的信息,境外组织的窃密套路主要分为两种。
第一种:嵌入恶意宏的Word文档——“启用内容”就是“开门揖盗”
攻击者将恶意宏代码嵌入看似普通的Word文档,将其伪装成会议通知、合同文件、补丁说明等日常工作常见的内容。邮件标题模仿官方口吻,极具迷惑性。当工作人员打开文档后,屏幕上会弹出“启用宏才能正常显示”的提示——这个看似正常的操作要求,实则是窃密程序启动的开关。
一旦点击“启用内容”,宏代码便会自动执行:解密释放恶意载荷,生成伪装成合法程序的可执行文件,植入后门程序,实现开机自启、远程控机,而整个过程静默无提示,用户浑然不觉。
第二种:伪装成PDF的可执行文件——“双击打开”就是“引狼入室”
这种手法更具欺骗性,主要有两种形式。一是“双后缀伪装”:文件名看似“xxx.pdf”,实则真实后缀为“.exe”,完整的文件名是“xxx.pdf.exe”。Windows系统默认隐藏已知文件扩展名时,用户看到的只有“xxx.pdf”,图标也被伪装成PDF格式,双击后看似打开了PDF文档,实则在后台运行了可执行程序,释放窃密后门。
二是“恶意文件伪装”:攻击者将恶意的.desktop文件伪装成PDF,用户误点后,触发隐藏命令,自动下载并安装窃密程序。这类文件往往通过压缩包发送,绕过了部分邮件系统的安全检测。
02
真实案例:杨教授的“幸运”与警示
这些技术套路并非理论推演,而是已经发生在现实中的攻击。
2025年6月,国家安全部通报了一起典型案例。国内某知名大学前沿科技领域的专家杨教授,收到了一封境外人员伪装成“学生”发送的邮件。邮件附件是一份加密的Word简历,密码被“贴心”地标注在邮件正文中,诱导杨教授打开。这种设计极为精巧——加密附件既能绕过邮件安全扫描,又增加了“正常学术往来”的可信度。
所幸杨教授警惕性极高,并未轻信操作,而是及时将情况上报。经技术鉴定,该Word文档内置了境外间谍情报机关专研的木马程序。更值得庆幸的是,杨教授在日常科研工作中严格遵守保密管理要求,从未在连接互联网的计算机中存储任何敏感信息,从而避免了失泄密情况的发生。
这起案例传递出两个关键信息:一是境外组织的攻击目标已从单纯的军事、政府机构延伸至高校科研领域,尤其是前沿科技专家;二是严格的保密习惯——物理隔离敏感信息、不轻信陌生邮件——是阻断窃密的最后一道防线。
03
为何是Word和PDF?信任的“双刃剑”
Word和PDF之所以成为境外组织的首选“特洛伊木马”,背后是对人类心理的深刻洞察。
在全球办公场景中,Word和PDF是最常见的文档格式。每天,数以亿计的这类文档在邮件、即时通讯工具中流转。这种普遍性使得它们几乎不会引起任何警惕——谁会怀疑一份会议通知或简历呢?
Word的宏功能本是为自动化办公设计的便捷工具,却被攻击者利用成为恶意代码的载体。PDF支持嵌入JavaScript、启动外部程序等高级功能,同样为攻击者提供了可乘之机。
而 Windows系统默认“隐藏已知文件类型的扩展名”,这意味着“xxx.pdf.exe”在用户眼中只会显示为“xxx.pdf”。一个小小的默认设置,成了攻击者伪装身份的帮凶。
值得一提的是对“加密文件”的心理暗示。 杨教授案例中,攻击者特意将附件设置为加密Word文档,并在邮件正文中提供密码。这种做法既绕过了邮件安全扫描,又给收件人一种“发件人很谨慎、文件很重要”的心理暗示,降低了警惕性。
04
从单点攻击到系统围猎
深入技术层面,此类攻击的成功,不仅依赖于简单的文件伪装,更在于其背后不断演进的技术原理和长期渗透策略。
在技术实现上,攻击者日益注重隐蔽性。例如,有分析指出,高级持续性威胁(APT)组织会创造性地将Webhook服务与传统宏病毒结合。Webhook是一种合法的网络开发工具,用于接收和转发HTTP请求。
攻击者利用此类服务搭建命令控制(C2)通道和数据外泄出口,由于其流量与普通网页通信无异,能轻松绕过传统防火墙基于关键词的拦截。整个攻击链可能仅依赖VBScript、BAT批处理等基础工具组合调用,实现“无恶意软件(malware-free)”的窃密逻辑,这让依赖特征码检测的传统安全工具难以应对。
从攻击策略看,境外间谍情报机关的活动已从传统的单点窃密,转向针对关键岗位人员的长期经营和系统性围猎。其手段融合了“情感投资、隐私要挟、利益诱惑”的组合拳。
他们会以“商务代表”、“学术同行”或“热心友人”等身份在线上线下主动接近目标,通过帮助解决困难、提供利益等方式建立信任和情感依赖,最终诱导或胁迫对方提供机密,或打开其发送的恶意文档。这种“猎密者”不仅存在于现实社交,更活跃于网络社交媒体,通过分析用户发布的照片、定位、工作信息等公开内容,精准锁定涉密目标,然后以合作、兼职等名义进行接触。
05
警惕“指尖上的泄密”
网络窃密无孔不入,Word、PDF等日常办公文档,早已成为境外组织的“窃密利器”。近年来的典型案例反复证明:机关、单位工作人员一次疏忽的点击、一个侥幸的操作,都可能导致国家秘密、工作秘密全盘失守。不仅会受到党纪政务处分,情节严重的还将承担刑事责任。
在信息技术深度融入办公场景的今天,保密工作已不再是少数专职人员的职责,而是每个使用电脑、处理文档的普通工作人员的日常必修课。正如“保密观”所警示的:绷紧保密之弦,警惕每一份陌生文档,杜绝“指尖上的泄密”,共同筑牢网络保密安全防线,守护国家秘密安全。
一份看似平常的文档,背后可能是一场没有硝烟的战争。而这场战争的胜负,往往就在一念之间、一指之间。
欢迎邮局订阅2026年《电脑报少年派》
订阅代号:77-42(科技新知)
77-43(科创校园)
全年订价:120.00元 零售单价:10元/单册
邮局服务热线:11185