【国家安全】境外组织正利用Word、PDF等日常办公文档作为窃密工具,针对我国政府、军事、电信、能源等关键领域实施定向攻击

• 2026年1月22日：工业和信息化部网络安全威胁和漏洞信息共享平台发布风险提示，指出攻击者将恶意代码藏匿于看似普通的DOC文档与PDF文件中，伺机窃取政府、军事、电信、能源等机构的系统凭证、机密文件等敏感数据。

• 2025年6月：国家安全部通报，国内某知名大学前沿科技领域专家杨教授收到境外人员伪装成“学生”发送的邮件，附件是加密的Word简历。经技术鉴定，该文档内置境外间谍情报机关专研的木马程序。所幸杨教授严格遵守保密要求，未在该计算机存储敏感信息，避免了失泄密。

套路1：嵌入恶意宏的Word文档——“启用内容”就是“开门揖盗”

攻击者将恶意宏代码嵌入Word文档，伪装成会议通知、合同、补丁说明等常用文件，邮件标题仿官方口吻。用户打开文档后弹出“启用宏才能正常显示”提示，一旦点击“启用内容”，宏代码自动执行：解密释放恶意载荷，生成伪装成合法程序的可执行文件，植入后门，实现开机自启、远程控机。

套路2：伪装成PDF的可执行文件——“双击打开”就会“引狼入室”

• 双后缀伪装：文件名看似“xxx.pdf”，实际是“xxx.pdf.exe”，图标显示为PDF，用户双击后看似打开PDF，实则运行可执行程序，释放后门。

• 恶意文件伪装：将恶意.desktop文件伪装成PDF，用户误点后触发隐藏命令，下载窃密程序。

关键防范措施

1. 提高风险意识，防范陌生邮件

• 立即禁用Office软件默认宏执行功能，仅允许受信任、已签名的宏运行。

• 严禁打开陌生邮件附件中的Word文档。若确需打开，先核实发件人身份，确认无风险后关闭宏功能再浏览，坚决不点击“启用内容”。

2. 警惕PDF陷阱，规范打开流程

• 接收PDF文件时，先查看文件名后缀，警惕“pdf.exe”双后缀文件，避免双击直接打开。

• 通过正规PDF阅读器打开文件，开启安全模式，禁止PDF自动运行嵌入式程序。

• 不接收陌生来源、无明确用途的PDF文件，尤其是压缩包中的PDF附件。

3. 强化终端防护，全面排查隐患

• 组织终端安全排查，删除SystemProc.exe等恶意程序。

• 实时监控注册表启动项异常写入，清除后门自启配置。

• 部署动态沙箱等安全防护工具，深度查杀伪装文档。

如发现可疑情况，请及时通过以下渠道举报：

• 国家安全机关举报受理电话：12339

• 网络举报平台：www.12339.gov.cn

• 国家安全部微信公众号举报受理渠道

• 直接向当地国家安全机关举报

重要提醒：网络窃密无孔不入，Word、PDF等日常办公文档已成为境外组织的“窃密利器”。机关、单位工作人员一次疏忽的点击、一个侥幸的操作，都可能导致国家秘密、工作秘密全盘失守，不仅会受到党纪政务处分，情节严重的还将承担刑事责任。

安情视界——洞见未来，智掌先机，持续追踪全球安全动态，精准解读政策与事件，深度预测研判趋势，护航企业全球化征程。