Adobe Reader现存数月的零日漏洞，利用PDF文件悄然锁定攻击目标

黑客已悄然利用Adobe Acrobat Reader中疑似存在的一个零日漏洞长达数月之久，通过植入恶意代码的PDF文件对目标进行情报侦察，从而决定哪些对象值得发动全面攻击。

沙箱漏洞检测系统EXPMON的创始人、安全研究员李海飞表示，此次攻击活动使用的恶意PDF文件在打开的瞬间即可触发执行，即便是已完全更新的Reader版本同样无法幸免，用户除了查看文件外无需进行任何其他操作。

该漏洞利用经过高度混淆处理的JavaScript代码，在文件被打开后立即运行。攻击行为并非立刻发作，而是通过Acrobat内置API从受害者设备上收集信息，包括本地文件和系统详情，并将其回传至攻击者控制的服务器。

第一阶段本质上是侦察行动：获取操作系统信息、语言设置及文件路径，以判断所在系统的利用价值。若该设备符合攻击者的预期条件，则会进一步拉取第二阶段载荷并在Reader内部执行。研究人员指出，该阶段可能进一步升级攻击，直至实现远程代码执行，甚至突破沙箱限制。

李海飞表示："这种机制使威胁行为者能够收集用户信息、窃取本地数据、实施高级'指纹识别'，并为后续攻击做好准备。如果目标满足攻击者的条件，攻击者可能会下发额外漏洞利用代码，以实现远程代码执行或沙箱逃逸。"

换言之，并非所有受害者都会遭受同等对待。部分系统仅被进行信息画像，而另一些则会收到第二阶段载荷，这表明攻击者采取了更具针对性的策略。

目前已有迹象显示潜在目标群体的范围。另一位研究员Gi7w0rm发现，与该漏洞相关的诱饵文档包含俄语内容，涉及该国油气行业的时事信息。这虽不能证明攻击归属，但确实表明攻击者事先锁定了特定受众，而非广撒网式的无差别攻击。

此次事件之所以引发广泛关注，在于该漏洞长时间未被察觉。李海飞指出，一份相关样本于2025年11月28日被上传至VirusTotal，这意味着此次攻击活动在被发现之前至少已活跃长达四个月。这将攻击行为的起点追溯至2025年底，尽管直到近期才浮出水面。

目前，该漏洞既无CVE编号，也无补丁发布，Adobe方面尚未作出任何公开声明。这意味着用户目前仍处于暴露状态，尤其是有习惯性打开来源不明PDF文件的用户，风险尤为突出。

Q&A

Q1：Adobe Reader零日漏洞是如何通过PDF文件发动攻击的？

A：该漏洞利用高度混淆的JavaScript代码，在用户打开PDF文件的瞬间自动执行，无需任何额外操作。恶意代码首先通过Acrobat内置API收集受害者设备的操作系统信息、语言设置和文件路径，将数据回传给攻击者。若目标系统符合条件，攻击者将下发第二阶段载荷，可能进一步实现远程代码执行或沙箱逃逸，危害极大。

Q2：Adobe Reader零日漏洞主要针对哪些用户群体？

A：目前的证据显示，攻击者并非无差别攻击，而是具有特定目标。研究人员发现，与该漏洞相关的诱饵文档包含俄语内容，并涉及俄罗斯油气行业的时事信息，表明攻击者可能将该行业的相关人员列为重点目标。此外，攻击者会对收集到的系统信息进行筛选，只对符合条件的目标实施进一步攻击。

Q3：Adobe Reader零日漏洞目前有没有补丁或修复方案？

A：截至目前，该漏洞既无CVE编号，也无官方补丁发布，Adobe也未作出任何公开声明。用户当前仍处于风险暴露状态，建议避免打开来源不明的PDF文件，以降低遭受攻击的风险。此次攻击活动疑似早在2025年11月便已开始活跃，直到近期才被安全研究人员发现。