2025 年上半年，全球金融市场经历了罕见的巨变，黄金价格出现历史性暴涨，成为此次事件最为关键的经济背景。这一轮金价飙升主要由多重因素叠加驱动：其一，全球主要经济体货币政策出现分化，市场对信用货币的信心产生动摇；其二，地缘政治冲突持续升级，特别是某些区域的紧张局势加剧，极大地刺激了市场的避险情绪；其三，全球经济增长预期被多家机构大幅下调，恐慌性资金纷纷涌入黄金这类传统避险资产。金价的剧烈波动和巨大的交易量，使得围绕黄金交易的金融机构——包括交易所、银行、托管机构和投资基金——持有和流动的资金量急剧膨胀，这无疑为网络犯罪创造了极高的“投入产出比”。正是这种极其诱人的经济价值，吸引了包括 APT 组织在内的尖端攻击力量，它们试图通过供应链攻击这种隐蔽且高效的方式，渗透至香港金融体系的核心和内地高价值投资者。目的窃取巨额资金或操纵市场获取暴利。

2024 年 5 月，奇安信威胁情报中心披露了针对游戏与人工智能行业的 APT 组织 UTG-Q-010^[1]。该团伙报复心理极强，在报告发布后，竟针对我司国产化业务相关的公开邮箱发起低水平鱼叉邮件攻击。

攻击者在投递时似乎手忙脚乱，忙中出错，连正文中的探针域名都未能写全：

2025 年 7 月，通过天擎“六合”高级威胁引擎和红雨滴团队的私有情报生产流程，发现 UTG-Q-010 组织最新活动，部分政企客户在安装来自中国香港地区金融机构“金荣中国”（jrjr.hk）和“万州金业”（wzg.com）官网的金融软件时，触发了相关规则告警，人工分析后确认安装包中存在恶意代码。目前上述官网的安装包已恢复正常。

金荣中国和万州金业是两家知名的香港黄金交易所 AA 类持牌黄金交易商^[2],也是目前国内高价值投资者主要选择的交易平台。

恶意安装包信息如下：

恶意 setup 程序除了正常的安装流程还会在 C:\Windows\Tasks 目录下释放白加黑组件：

msdtctm.dll 的恶意导出函数是 DtcMainExt， 执行下载者逻辑，与 2024 年活动的逻辑一致。从 https://cloudcenter.top/sys/systemupdate 处下载一套内存 loader 和 shellcode。

与 24 年不同的是 UTG-Q-010 将最终 payload 从 Pupy Rat 替换为 2025 年刚出现的全新渗透框架 AdaptixC2。

回连：cloudcenter.top/api/update。

远控指令逻辑如下：

与 Github 上的源码相比完全一致：

AdaptixC2 功能与 Cobalt Strike、Sliver、Havoc、Mythic 等传统渗透框架别无二致，目前天擎六合引擎已经支持对 AdaptixC2 渗透框架的内存查杀：

奇安信 PDNS 数据显示，本次攻击活动的影响范围与去年相比存在显著差异。去年攻击仅集中于游戏、AI 和医疗领域，而此次供应链活动受害者已涉及到金融、制造及文化等关键行业。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信 NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

FileHash-MD5:

3d60c16bbe50c562429a50b21dd6fcc0

af99f2aa90026f0690d44d9747cd7a78

C2:

cloudcenter.top

[1]https://ti.qianxin.com/blog/articles/UTG-Q-010-Targeted-Attack-Campaign-Against-the-AI-and-Gaming-Industry-EN/

[2]https://finance.sina.com.cn/jjxw/2025-06-03/doc-ineyuiii1529546.shtml?froms=ggmp