【保密知识】警惕!境外组织通过文档窃取机密信息

       在机关、单位的日常办公场景中，收发邮件、查阅文档是再平常不过的工作。但很多人不知道，一份看似普通的Word、PDF文件，可能早已被境外组织植入恶意代码，成为窃取国家机密的“隐形武器”。本文结合真实案例，拆解攻击手段，给出可落地的防范指南，帮你守住保密安全底线。

案例一：常见格式成窃密通道，多行业机构遭威胁

2026年1月，工信部网络安全威胁信息平台发布紧急风险提示：境外攻击者将恶意代码隐藏在DOC、PDF等日常办公文档中，利用工作人员对常见文件格式的信任，针对政府、军事、电信、能源等重点领域，窃取系统凭证、机密文件等核心敏感数据，一旦中招，后果不堪设想。

案例二：伪装简历的间谍木马，专家险中招

2025年6月，国家安全部通报一起典型窃密案：国内某顶尖高校前沿领域的专家，收到境外人员伪装成“学生”的邮件，附件是标注了密码的Word简历，诱导其打开。经技术鉴定，该文档内置境外间谍机关专员的木马程序，所幸专家警惕性极高，且严格遵守保密规定，未在该电脑存储任何敏感信息，才避免了重大失泄密事件。

套路一1：带宏Word文档：点“启用内容”=主动开门

1. 攻击者将恶意宏代码嵌入Word文件，伪装成会议通知、合同、工作方案等常用办公文档，邮件标题仿造官方口吻，极具迷惑。

1. 攻击逻辑：用户打开文档后，会弹出”启用宏才能正常显示内容”的提示，一旦点击”启用内容”，恶意宏会自动执行，解密释放病毒载荷，植入远程控制后门，实现开机自启，全程静默窃取数据，用户毫无察觉。

套路2：伪装PDF文件：双击打开=引狼入室

这类攻击欺骗性更强，主要有两种手段：

1. 双后缀伪装术：文件名显示为”xxx.pdf”,实际后缀是”.exe”，同时将图标改成PDF样式，用户双击后，看似打开文档，实则运行恶意程序，直接植入后门。

1. 伪装文件诱骗：将恶意.desktop文件伪装成PDF图标，用户误点后，自动触发隐藏命令，后台下载窃密木马，窃取电脑内所有文件。