東南亞軍事網(wǎng)絡被潛伏4年，中國關聯(lián)黑客用"睡眠腳本"騙過所有監(jiān)控

2020年至今，超過4年時間，一批軍事組織的網(wǎng)絡里住著不速之客。他們沒偷走海量數(shù)據(jù)，也沒搞破壞，只是安靜地待著，偶爾翻翻看。

安全公司PolySwarm最近披露的行動代號CL-STA-1087，把這套"低存在感"間諜術的底褲扒了個干凈。攻擊者把PowerShell腳本設成每6小時才動一次——這個頻率剛好卡在多數(shù)自動化監(jiān)控工具的盲區(qū)里，像鬧鐘調(diào)成了人類注意力的死角。

被發(fā)現(xiàn)純屬意外：一個" unmanaged endpoint"（未受管終端）的警報

整個行動的暴露是個黑色幽默。調(diào)查人員最初只是看到某臺邊緣設備上的PowerShell活動異常，順藤摸瓜才發(fā)現(xiàn)：這不是剛破門，是人家已經(jīng)住了很久。

攻擊者部署的延遲執(zhí)行腳本早就連上了多個命令控制（C2）服務器。6小時間隔的設計堪稱心機——自動化工具看的是流量峰值和頻率異常，這種"脈沖式"心跳比正常業(yè)務還像正常業(yè)務。

Palo Alto旗下Unit 42的分析師在報告中打了個比方：這幫人不是在"入侵"，是在"寄居"。他們的目標明確指向指揮、控制、通信、計算機與情報系統(tǒng)，也就是軍方的C4I體系。翻譯成人話：不是來偷文件的，是來偷"怎么打仗"的。

工具箱解剖：三個自制后門與一份"中國時區(qū)作息表"

技術拆解顯示，攻擊者用了三件核心工具。AppleChris是主后門，負責長期駐留；MemFun作為輔助后門；Getpass則是Mimikatz的改裝版，專門搬運憑證。

AppleChris的C2地址獲取方式相當復古——從Pastebin動態(tài)拉取，早期版本還用過Dropbox。這種設計讓封鎖域名變成打地鼠，封一個換一個，成本全轉(zhuǎn)嫁給防御方。

更露馬腳的是行為指紋。Unit 42發(fā)現(xiàn)攻擊者的操作時間高度吻合UTC+8時區(qū)的工作時段，基礎設施里嵌著中國云服務，C2環(huán)境里還能找到簡體中文元素。沒有組織被正式點名，但這些指標疊在一起，指向性已經(jīng)相當明確。

持久化手段同樣老練。攻擊者在system32目錄里玩DLL劫持，把惡意文件注冊成正經(jīng)Windows服務。這種"借殼上市"讓惡意代碼獲得了系統(tǒng)級的信任背書，查殺工具掃過去，看到的只是又一個svchost。

橫向移動的精準打擊：從邊緣設備到域控和 executive 系統(tǒng)

沉寂數(shù)月后，攻擊者開始第二階段。他們用Windows管理規(guī)范（WMI）和原生.NET命令橫向擴散，目標清單讀起來像軍事IT部門的組織架構圖：域控制器、Web服務器、IT工作站、高管系統(tǒng)。

這里的"executive systems"（高管系統(tǒng)）值得細品。不是隨便哪臺電腦，是決策層的工作終端。結合C4I系統(tǒng)的情報價值，攻擊者的優(yōu)先級排序很清晰——人比機器重要，決策層比普通員工重要，作戰(zhàn)流程比單個文件重要。

這種"戰(zhàn)略情報"導向，和常見的數(shù)據(jù)竊取型攻擊形成對比。后者往往批量拖庫、量大管飽；CL-STA-1087是精準點菜，每動一下都有明確目標。

Southeast Asia 的軍網(wǎng)為何成了長期靶場

東南亞軍事組織成為目標，地理和戰(zhàn)略因素都有。該區(qū)域處于關鍵航道，多國軍事合作頻繁，且網(wǎng)絡安全投入與攻擊者的 sophistication（ sophistication ）存在落差。

更關鍵的是"長期駐留"這門手藝的價值。4年時間足夠觀察系統(tǒng)迭代、人員變動、甚至戰(zhàn)略調(diào)整。攻擊者不是在偷當下的數(shù)據(jù)，是在積累"如何理解這個組織"的上下文。

這種攻擊模式的防御難點在于：傳統(tǒng)指標——數(shù)據(jù)外泄量、異常流量峰值、勒索信——統(tǒng)統(tǒng)不觸發(fā)警報。直到某個未受管終端的PowerShell行為異常，整個故事才浮出水面。

PolySwarm在報告中埋了一個細節(jié)：部分樣本的編譯時間戳顯示，工具鏈的迭代持續(xù)到了2024年。這意味著行動可能仍在進化，而"6小時睡眠"只是被發(fā)現(xiàn)的版本。

下一個版本的間隔會是12小時，還是隨機抖動？防御方的監(jiān)控閾值該往哪調(diào)？這個問題，大概正是攻擊者想看到的。