Remcos RAT借税收压缩包投递LNK文件

安全机构Qualys披露最新攻击活动，攻击者通过伪装为税收文档的ZIP压缩包投递恶意LNK文件，利用微软合法工具mshta.exe执行混淆HTA脚本（xlab22.hta），触发多阶段无文件攻击链。技术细节显示，HTA脚本植入VBS代码以下载PowerShell脚本、诱饵PDF及持久化模块（311.hta），后者通过修改注册表HKCU启动项实现自启。PowerShell脚本动态解码生成Shellcode加载器，最终于内存中部署Remcos远程控制木马，全程规避传统文件检测。