APT-C-53（#Gamaredon），又名Primitive Bear、Winterflounder、BlueAlpha，是一个自2013年起活跃的高级持续威胁（APT）组织，长期针对目标国家的政府部门、军事机构等重点单位进行攻击，主要目的为窃取情报等。该组织十分活跃，即使近几年不断被安全厂商披露其攻击活动，但也未曾阻止APT-C-53停止行动潜伏，反而有越演越烈的趋势。 近期，360高级威胁研究院捕获到了一批APT-C-53（Gamaredon）组织的VBS样本，这些恶意脚本通过代码片段化拆分结合Base64编码加密实现高度混淆，采用分阶段部署机制逐次释放后续攻击载荷。其通过感染用户正常文件实现持久化驻留，并构造以军事情报为诱饵主题的恶意LNK快捷方式文件。攻击链中特别利用军事类题材降低用户警惕性，通过社会工程学手段诱导目标点击执行恶意程序。鉴于该组织近期频繁以军事情报相关内容对多用户进行攻击，并且在观察中发现其攻击手法也持续升级，因此我们在这里进行详细分析，希望相关部门与个人强化安全防护意识，加强涉密情报与用户数据的加密保护及访问控制，有效防范恶意攻击导致的信息泄露风险。