机关、单位速查！境外组织通过Word、PDF直取机密文件

会飞的猫猫

在机关、单位日常办公中，接收邮件、查阅文档是每日基础工作。但你是否想过，一份看似平常的DOC或PDF文档，可能正携带着窃取机密的恶意代码？一起了解有关案例及相关防范措施。
典型案例案例1：2026年1月22日，工业和信息化部网络安全威胁和漏洞信息共享平台发布风险提示，指出攻击者将恶意代码藏匿于看似普通的DOC文档与PDF文件中，利用工作人员对常见文件格式的信任，伺机窃取政府、军事、电信、能源等机构的系统凭证、机密文件等敏感数据。

案例2：2025年6月，国家安全部通报一起典型案例。国内某知名大学前沿科技领域专家杨教授收到境外人员伪装成“学生”发送的邮件，附件是加密的Word简历，密码标注在邮件正文中，诱导杨教授打开。杨教授警惕性极高，及时上报，经技术鉴定，该Word文档内置境外间谍情报机关专研的木马程序。万幸的是，杨教授在日常科研工作中严格遵守保密管理要求，并未在该计算机中存储任何敏感信息，避免了失泄密情况的发生。Word、PDF如何成为“窃密工具”？攻击者利用了用户对Word和PDF文档的信任，精心构造了两种诱饵文件。
套路1：嵌入恶意宏的Word文档——“启用内容”就是“开门揖盗”攻击者将恶意宏代码嵌入Word文档，伪装成会议通知、合同、补丁说明等常用文件，邮件标题仿官方口吻，极具迷惑性。用户打开文档后，会弹出“启用宏才能正常显示”的提示，一旦点击“启用内容”，宏代码将自动执行：解密释放恶意载荷，生成伪装成合法程序的可执行文件，植入后门，实现开机自启、远程控机，全程静默无提示。

套路2：伪装成PDF的可执行文件——“双击打开”就会“引狼入室”这种手法更具欺骗性，主要有两种形式：一是“双后缀伪装”，文件名看似“xxx.pdf”，实际是“xxx.pdf.exe”，图标显示为PDF，用户双击后，看似打开PDF，实则运行可执行程序，释放后门；二是“恶意文件伪装”，将恶意.desktop文件伪装成PDF，用户误点后，触发隐藏命令，下载窃密程序。

sswbzh

提醒的很对，弹窗要小心，安装要小心。

heraldic

哪一天微软的office套件被禁用就好了

五指山下

heraldic 发表于 2026-3-31 14:32
哪一天微软的office套件被禁用就好了

我基本上不用微软office了
wps很方便

横槊赋诗

我一直用office2003，wps用在pdf

heraldic

五指山下 发表于 2026-3-31 14:37
我基本上不用微软office了
wps很方便

我也是用libreoffice，偶尔也wps
家里用单位用机器都没有微软office了

但是单位还在搞vba的那一套

adsmnt

涉密怎么搞

五指山下

heraldic 发表于 2026-3-31 14:42
我也是用libreoffice，偶尔也wps
家里用单位用机器都没有微软office了

没有使用过libreoffice，不知道能不能移动办公，

北北是最棒的

还好我没有啥机密可泄露

ljj93

感谢提醒

姑妄言之

heraldic 发表于 2026-3-31 14:32
哪一天微软的office套件被禁用就好了

和这没有关系，媒体搞大新闻罢了，wps也支持宏

gongqi

姑妄言之 发表于 2026-4-1 10:08
和这没有关系，媒体搞大新闻罢了，wps也支持宏

没错。自媒体哗众取宠而已。
机密和99%的人都无关。但要说木马之类的那大家都有关系。

其实，无非是启动宏要谨慎，双击附件要看请扩展名，就这么点事。
但是，如果这样写那就没有流量了。所以一定要弄上什么“境外组织”“机密文件”之类的噱头才能吸引眼球，但是但分有点脑子就会知道这些和自己毫无关系。