2018年8月15日，网络安全公司趋势科技公开了其在今年7月捕获到的一例在野0day漏洞攻击，该攻击利用了Windows VBScript Engine的代码执行漏洞，经过分析对比发现该0day漏洞和2018年4月360公司首次发现影响IE浏览器并通过Office文档进行攻击的“双杀”漏洞（详见参考[1]）使用了多个相同的攻击技术，极有可能是同一团伙所为。 奇安信威胁情报中心第一时间对该0day漏洞进行了分析确认，并通过大数据关联分析确认本次的0day在野攻击与DarkHotel APT组织存在关联。

近半年来，全球APT攻击活动呈现出较高的活跃程度。奇安信威胁情报中心在近半年中监测到的APT相关公开报告（从2017.12月至2018.6月）也多达227篇。本次研究主要以2017年底至2018年上半年，全球各研究机构公开披露的APT报告或研究成果为基础，对当前的APT攻击形势进行综合分析。 2018年上半年，APT攻击活动呈现出明显的地缘政治特征，当前主要活跃的APT攻击活动可以划分为如下几块：中东地区、东欧和中亚、亚太地区、美国和欧洲。  2018年上半年，至少存在8个不同来源的APT组织针对境内实施APT攻击行动。它们分别是：海莲花、摩诃草、蔓灵花、Darkhotel、APT-C-01、蓝宝菇，以及另外两个已被360威胁情报中心监测到，但尚未被任何组织机构披露的APT组织。

Darkhotel（APT-C-06）是一个长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。2014年11月，卡巴斯基实验室的安全专家首次发现了Darkhotel APT组织，并声明该组织至少从2010年就已经开始活跃，目标基本锁定在韩国、中国、俄罗斯和日本。奇安信威胁情报中心对该团伙的活动一直保持着持续跟踪，而在最近几个月我们再次跟踪到该团伙发起的新的攻击活动。

红雨滴团队持续发现与跟踪APT活动，相关的样本、IP、域名等数据只要一出现就会立即进入我们的视线。5月10日VirusTotal上有人提交了一个样本，安博士标记为DarkHotel相关。这个团伙在2014年被卡巴斯基做过一次暴光，但直到最近还一直非常活跃，下面我们来对VT上的这个样本做个简单的分析。