東南亞5國(guó)軍網(wǎng)被滲透4年，中國(guó)黑客把"隱身術(shù)"玩明白了

2020年至今，至少5個(gè)東南亞國(guó)家的軍事網(wǎng)絡(luò)被同一伙攻擊者持續(xù)滲透。安全公司Palo Alto的Unit 42團(tuán)隊(duì)最近披露的CL-STA-1087行動(dòng)，讓這樁長(zhǎng)達(dá)4年的網(wǎng)絡(luò)間諜案浮出水面——而攻擊者至今仍在活動(dòng)。

「這不是那種砸門(mén)搶數(shù)據(jù)的莽夫式攻擊。」PolySwarm分析師在報(bào)告中寫(xiě)道。攻擊者像圖書(shū)館里長(zhǎng)期潛伏的管理員，只借書(shū)不還，從不弄出聲響。

發(fā)現(xiàn)過(guò)程：一個(gè)PowerShell腳本的"失眠癥"

整件事的暴露純屬意外。某東南亞軍事網(wǎng)絡(luò)的終端安全工具，標(biāo)記了一段異常的PowerShell活動(dòng)——發(fā)生在一臺(tái)無(wú)人管理的終端設(shè)備上。調(diào)查人員起初以為這是新入侵，很快發(fā)現(xiàn)想錯(cuò)了：攻擊者早已在內(nèi)網(wǎng)扎根，只是他們的"鬧鐘"設(shè)得極其刁鉆。

攻擊腳本被設(shè)計(jì)成每6小時(shí)才執(zhí)行一次動(dòng)作。這種節(jié)奏專(zhuān)門(mén)針對(duì)自動(dòng)化檢測(cè)工具——后者通常監(jiān)控流量峰值和異常頻率，對(duì)"慢性子"腳本幾乎無(wú)感。調(diào)查人員形容這就像「在圖書(shū)館里每隔幾小時(shí)才翻一頁(yè)書(shū)，監(jiān)控?cái)z像頭根本捕捉不到規(guī)律」。

更棘手的是，這些腳本連接著多個(gè)命令控制（C2）服務(wù)器。即使某個(gè)節(jié)點(diǎn)被發(fā)現(xiàn)，攻擊者仍有備用通道維持通信。

工具箱：三個(gè)自制后門(mén)與"上班打卡"規(guī)律

PolySwarm識(shí)別出的核心工具叫AppleChris，一款定制后門(mén)。它從Pastebin動(dòng)態(tài)獲取C2服務(wù)器地址，早期版本還用過(guò)Dropbox。這種設(shè)計(jì)讓防御方難以通過(guò)封禁固定IP來(lái)切斷通信——服務(wù)器地址隨時(shí)可變，像不斷更換的接頭暗號(hào)。

攻擊者另外兩件工具同樣"手作感"強(qiáng)烈：MemFun作為輔助后門(mén)，Getpass則是Mimikatz憑證竊取工具的修改版。三者組合覆蓋了持久化控制、橫向移動(dòng)、權(quán)限提升的全鏈條需求。

Unit 42注意到一個(gè)細(xì)節(jié)：攻擊者的操作時(shí)間高度規(guī)律，始終落在UTC+8時(shí)區(qū)的標(biāo)準(zhǔn)工作時(shí)段。這種"朝九晚五"的節(jié)奏，加上C2基礎(chǔ)設(shè)施中出現(xiàn)的簡(jiǎn)體中文元素和中國(guó)云服務(wù)商，構(gòu)成了指向中國(guó)關(guān)聯(lián)攻擊者的拼圖——盡管尚無(wú)具體組織被正式命名。

橫向移動(dòng)：從邊緣終端到指揮中樞

沉默數(shù)月后，攻擊者開(kāi)始第二階段行動(dòng)。他們利用Windows管理規(guī)范（WMI）和原生.NET命令，在內(nèi)網(wǎng)橫向擴(kuò)散。目標(biāo)清單讀起來(lái)像軍事IT架構(gòu)的解剖圖：域控制器、Web服務(wù)器、IT工作站、高管系統(tǒng)。

最值得關(guān)注的是他們對(duì)C4I系統(tǒng)的興趣——指揮、控制、通信、計(jì)算機(jī)與情報(bào)系統(tǒng)的統(tǒng)稱(chēng)。這是現(xiàn)代軍事行動(dòng)的神經(jīng)中樞。攻擊者沒(méi)有廣撒網(wǎng)式抓取數(shù)據(jù)，而是精準(zhǔn)定位這些高價(jià)值節(jié)點(diǎn)，顯示出對(duì)軍事組織架構(gòu)的熟悉。

持久化手段同樣老練。攻擊者創(chuàng)建新的Windows服務(wù)，通過(guò)DLL劫持將惡意文件植入system32目錄，再借合法服務(wù)注冊(cè)表項(xiàng)完成加載。這些操作讓后門(mén)成為系統(tǒng)"原生器官"，常規(guī)掃描難以識(shí)別異常。

戰(zhàn)略意圖：偷數(shù)據(jù)還是"看底牌"？

與傳統(tǒng)網(wǎng)絡(luò)犯罪不同，CL-STA-1087的訴求不是數(shù)據(jù)量，而是數(shù)據(jù)質(zhì)。攻擊者收集的是戰(zhàn)略情報(bào)和作戰(zhàn)信息——部隊(duì)部署、指揮鏈條、通信協(xié)議。這種"輕觸式"間諜活動(dòng)，比大規(guī)模數(shù)據(jù)竊取更難察覺(jué)，也更具長(zhǎng)期價(jià)值。

東南亞地區(qū)的地緣政治敏感性，讓這場(chǎng)滲透的指向性更加清晰。該區(qū)域多國(guó)與中國(guó)存在南海主權(quán)爭(zhēng)議，軍事通信和指揮系統(tǒng)的情報(bào)價(jià)值，遠(yuǎn)超普通政府或商業(yè)數(shù)據(jù)。

Unit 42的報(bào)告未披露具體受害國(guó)名單，但提到"多個(gè)東南亞軍事組織"。考慮到該區(qū)域約10國(guó)擁有成規(guī)模國(guó)防網(wǎng)絡(luò)，5年以上的持續(xù)滲透意味著攻擊者建立了相當(dāng)成熟的區(qū)域作業(yè)能力。

目前，AppleChris等工具的特征碼已被加入主流安全產(chǎn)品庫(kù)。但攻擊者的基礎(chǔ)設(shè)施和TTP（戰(zhàn)術(shù)、技術(shù)與程序）仍在演變——他們最近一次被觀測(cè)到活動(dòng)，就在報(bào)告發(fā)布前的數(shù)月內(nèi)。防御方的問(wèn)題是：還有多少類(lèi)似的"慢性子"腳本，正沉睡在未被監(jiān)控的終端里，等待下一次鬧鐘響起？