早前通報金山軟體的WPS Office 出現高風險安全漏洞並且已經有駭客集團將漏洞武器化進行利用，WPS 官方稱受影響的只有WPS 2023 國際版，其他版本並未受影響。當然金山軟體還是和之前相同，對於安全漏洞雖然會進行修復但始終不願意發布完整的安全公告提醒用戶提防攻擊，例如在此次漏洞中金山軟體就沒有透露漏洞已經被積極利用。

這促使發現漏洞的網路安全公司ESET 又發布新的詳細報告提醒用戶和企業立即升級到最新版本並提防來自韓國的駭客團夥發起的攻擊。

漏洞的大致時間軸：

發現漏洞的是網路安全公司ESET，該公司發現漏洞1 (CVE-2024-7262) 至少從2024 年2 月開始就已經遭到駭客的利用，因此屬於零日漏洞的範疇。

ESET 盡責向金山軟體通報漏洞，後者於2024 年3 月發布新版本悄悄修復漏洞，但沒有發佈公告提醒這枚漏洞已經遭到積極利用。

隨後ESET 又發現金山軟體的修復不夠徹底仍有漏洞，漏洞2 (CVE-2024-7263) 通報金山軟體後，後者在2024 年5 月完成漏洞修復。

實際受影響的版本為WPS 12.2.0.13110 (發佈於2023 年8 月)~12.2.0.17119 (發佈於2024 年5 月)，也就是說用戶至少應當升級到2024 年5 月之後發布的新版本。

韓國駭客集團APT-C-60 正積極利用漏洞：

儘管漏洞已經修復但肯定還有用戶和企業因為各種原因沒有升級到最新版本，這導致漏洞仍然可被利用，於是韓國黑客團夥APT-C-60 開始積極利用此漏洞。

其中CVE-2024-7262 漏洞屬於WPS 自訂協議處理程序中，即ksoqing:// 這類用來快速開啟WPS 的協議，由於驗證和清理不當，駭客可以製作觸發任意程式碼執行(RCE) 的惡意超鏈接。

在實際攻擊案例中APT-C-60 創建MHTML 文件並在文件內添加誘餌圖像和惡意超鏈接，例如使用圖片製作的點擊加載文檔，當用戶真點擊圖片其實觸發的是惡意超鏈接。

惡意超連結被點擊後會觸發漏洞，隨後APT-C-60 透過base64 編碼的命令執行特定插件(promecefpluginhost.exe)，這是一個後門程序，被ESET 命名為SpyGlace。

ESET 也提醒稱這種攻擊方式非常狡猾，因為有足夠的欺騙性，可以誘騙用戶點擊看似沒問題的文件從而觸發漏洞，對用戶尤其是企業用戶來說謹慎打開電子郵件或其他從網上下載的文件一直是重要安全習慣。