境外組織通過WordPDF直取機(jī)密文件。在機(jī)關(guān)和單位的日常辦公中，接收郵件和查閱文檔是基礎(chǔ)工作。然而，一份看似平常的DOC或PDF文檔可能攜帶著竊取機(jī)密的惡意代碼。

了解相關(guān)案例有助于提高警惕。2026年1月22日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)發(fā)布風(fēng)險(xiǎn)提示，指出攻擊者將惡意代碼藏匿于看似普通的DOC文檔與PDF文件中，利用工作人員對(duì)常見文件格式的信任，試圖竊取政府、軍事、電信、能源等機(jī)構(gòu)的系統(tǒng)憑證和機(jī)密文件等敏感數(shù)據(jù)。

另一典型案例發(fā)生在2025年6月，國(guó)家安全部通報(bào)一起事件。國(guó)內(nèi)某知名大學(xué)前沿科技領(lǐng)域?qū)＜覘罱淌谑盏骄惩馊藛T偽裝成“學(xué)生”發(fā)送的郵件，附件是加密的Word簡(jiǎn)歷，密碼標(biāo)注在郵件正文中，誘導(dǎo)楊教授打開。楊教授警惕性極高，及時(shí)上報(bào)。經(jīng)技術(shù)鑒定，該Word文檔內(nèi)置境外間諜情報(bào)機(jī)關(guān)專研的木馬程序。由于楊教授在日?？蒲泄ぷ髦袊?yán)格遵守保密管理要求，并未在該計(jì)算機(jī)中存儲(chǔ)任何敏感信息，避免了失泄密情況的發(fā)生。

攻擊者利用用戶對(duì)Word和PDF文檔的信任，精心構(gòu)造了兩種誘餌文件。一種是嵌入惡意宏的Word文檔，偽裝成會(huì)議通知、合同、補(bǔ)丁說明等常用文件。用戶打開文檔后，會(huì)彈出“啟用宏才能正常顯示”的提示，一旦點(diǎn)擊“啟用內(nèi)容”，宏代碼將自動(dòng)執(zhí)行：解密釋放惡意載荷，生成偽裝成合法程序的可執(zhí)行文件，植入后門，實(shí)現(xiàn)開機(jī)自啟、遠(yuǎn)程控機(jī)，全程靜默無提示。另一種是偽裝成PDF的可執(zhí)行文件，雙擊打開就會(huì)引狼入室。

網(wǎng)絡(luò)竊密手段多樣，Word、PDF等日常辦公文檔已成為境外組織的“竊密利器”。近年來的典型案例反復(fù)證明，機(jī)關(guān)和單位工作人員的一次疏忽點(diǎn)擊或僥幸操作都可能導(dǎo)致國(guó)家秘密、工作秘密全盤失守，不僅會(huì)受到黨紀(jì)政務(wù)處分，情節(jié)嚴(yán)重的還將承擔(dān)刑事責(zé)任。

各機(jī)關(guān)和單位務(wù)必提高政治站位，強(qiáng)化保密責(zé)任落實(shí)；工作人員要繃緊保密之弦，警惕每一份陌生文檔，杜絕“指尖上的泄密”，共同筑牢網(wǎng)絡(luò)保密安全防線，守護(hù)國(guó)家秘密安全。提高風(fēng)險(xiǎn)意識(shí)，防范陌生郵件。立即禁用Office軟件默認(rèn)宏執(zhí)行功能，僅允許受信任、已簽名的宏運(yùn)行；嚴(yán)禁打開陌生郵件附件中的Word文檔，若確需打開，先核實(shí)發(fā)件人身份，確認(rèn)無風(fēng)險(xiǎn)后，關(guān)閉宏功能再瀏覽，堅(jiān)決不點(diǎn)擊“啟用內(nèi)容”。

警惕PDF陷阱，規(guī)范打開流程。接收PDF文件時(shí)，先查看文件名后綴，警惕“pdf.exe”雙后綴文件，避免雙擊直接打開；通過正規(guī)PDF閱讀器打開文件，開啟安全模式，禁止PDF自動(dòng)運(yùn)行嵌入式程序；不接收陌生來源、無明確用途的PDF文件，尤其是壓縮包中的PDF附件。強(qiáng)化終端防護(hù)，全面排查隱患。組織終端安全排查，刪除SystemProc.exe等惡意程序；實(shí)時(shí)監(jiān)控注冊(cè)表啟動(dòng)項(xiàng)異常寫入，清除后門自啟配置；部署動(dòng)態(tài)沙箱等安全防護(hù)工具，深度查殺偽裝文檔。