北京
2025年6月到8月,某東南亞國家政府網絡里同時住著三組不同的黑客。他們互相不知道彼此的存在,用著完全不同的工具,卻盯著同一個目標。
這不是電影劇本。Palo Alto Networks旗下Unit 42團隊最近披露了這起罕見的"多租戶"入侵事件——三個與中國有關聯的威脅組織,在同一時間、同一網絡里各自為戰,像合租公寓的室友一樣互不打擾。
USB蠕蟲打頭陣,政府內網被"物理滲透"
第一組人馬來自Stately Taurus,這是個老練的APT組織。他們沒有選擇傳統的釣魚郵件,而是派出了一個叫USBFect的USB蠕蟲(也被標記為HIUPAN)。
這個蠕蟲的設計很樸素:一旦有人把U盤插進政府電腦,它就自動復制自己到所有連接的移動存儲設備。下次這個U盤插到另一臺機器,感染繼續擴散。
在物理隔離或半隔離的政府網絡里,USB往往是數據交換的唯一通道。Stately Taurus看準了這個盲區。USBFect成功滲透后,會釋放PUBLOAD后門,為長期潛伏鋪路。
這種手法讓我想起一個老梗:最安全的系統,往往敗給最原始的介質。2025年了,USB蠕蟲還能在政府網絡里橫行,說明"物理安全"四個字在某些地方仍是擺設。
第二支小隊帶了"全家桶",連Edge日志都是假的
與此同時,第二組黑客CL-STA-1048正在同一網絡里忙活。他們的工具箱豐富得多:EggStremeFuel后門、Masol遠程控制木馬(RAT)、EggStreme加載器、Gorem RAT,還有一個叫TrackBak的數據竊取工具。
TrackBak的偽裝手法值得一提。它把自己打扮成Microsoft Edge的日志文件,藏在系統角落里,默默記錄鍵盤輸入、剪貼板內容、網絡數據和連接存儲設備上的文件。
換句話說,政府工作人員復制粘貼的密碼、臨時記下的會議筆記、從機密電腦拷到U盤的文件,全被這個"Edge日志"看光了。
Unit 42發現,CL-STA-1048與Earth Estries組織以及Crimson Palace行動有明顯關聯。這些都是近年活躍的中國背景APT,擅長針對東南亞政府和外交目標。
第三組玩"催眠",新加載器首次亮相
第三支小隊CL-STA-1049選擇了更隱蔽的路線。他們使用了一個全新發現的加載器Hypnosis,靜默部署FluffyGh0st RAT。
相比前兩組的張揚,CL-STA-1049的工具鏈更精簡,攻擊痕跡更少。這種"輕量化"策略可能是為了避免與另外兩組"撞車"——畢竟,三個黑客團隊擠在同一個網絡里,誰先暴露都可能連累其他人。
研究人員指出,CL-STA-1049與Unfading Sea Haze組織高度重疊。后者是2024年才被發現的新銳APT,主要瞄準東南亞海軍和海事機構。
三組人馬,三種技術路線,同一個獵物。這種"多線程"攻擊模式在APT歷史上并不常見。
"合租"背后的信號:目標優先級高于一切
Unit 42的分析有個關鍵判斷:這三組活動雖然工具不同,但戰術目標高度一致——都是追求對該政府網絡的長期持久訪問。
他們沒有互相干擾,也沒有爭奪控制權。這種克制暗示了一種可能性:松散協調的威脅行為者正在共享目標清單、基礎設施,或接受統一的戰略方向。
用產品經理的話說,這像是三個獨立開發團隊接到了同一個PRD(產品需求文檔),各自用不同技術棧實現,最終交付到同一個生產環境。
對防御方來說,這是最糟糕的噩夢。傳統的入侵檢測假設攻擊者是單一實體,一旦發現一組指標就以為"破案了"。但在這個案例里,清除Stately Taurus的USB蠕蟲,對另外兩組毫無影響;封堵CL-STA-1048的C2服務器,CL-STA-1049仍在暗處。
90天的共存期里,攻擊者 layered in(分層部署)了鍵盤記錄器、剪貼板竊取器、文件收集器和反向shell。他們可以繪制內網拓撲、監控通信流、定位敏感材料,而這一切都不會觸發明顯的告警。
東南亞為何成為"APT合租"熱門地段
這不是中國背景APT第一次扎堆東南亞。2023年以來,越南、印尼、菲律賓、馬來西亞的政府和軍方機構頻繁遭遇多組織協同打擊。
地緣政治因素很明顯:南海爭議、基礎設施投資、稀土供應鏈——東南亞同時是戰略要沖和經濟走廊。對情報收集者來說,這里的政府網絡是高價值目標中的"剛需盤"。
但技術層面還有個被低估的變量:東南亞許多國家正在經歷數字化躍遷,政府IT系統的復雜度快速上升,但安全運營能力沒有同步跟上。新舊系統混雜、供應鏈審查薄弱、人員流動頻繁——這些條件對APT來說,比直接攻擊歐美目標更"友好"。
USBFect的得手尤其說明問題。在零信任架構喊了多年的今天,一個靠U盤傳播的蠕蟲還能成為國家級入侵的突破口,這不是技術差距,是執行差距。
Unit 42沒有披露具體受害國家的名稱,這是行業慣例。但從攻擊時間窗口(2025年6-8月)和工具特征來看,這起事件很可能與同期公開的某東南亞國家數據泄露事件有關——當時該國政府承認"部分系統遭未授權訪問",但否認核心數據外泄。
現在我們知道,"未授權訪問"的參與者至少有三組,持續了三個月,用了五種不同的RAT和后門。核心數據到底有沒有出去?只有攻擊者清楚。
防御建議的部分,Unit 42列得很常規:禁用自動播放、監控USB設備、分段網絡、行為檢測。但真正的難題是組織層面的——當三個APT在你網絡里開派對時,你的SOC(安全運營中心)能不能分辨出這是三撥人,而不是一撥人的三次變裝?
這次事件給出一個冷峻的參照:2025年的政府級網絡防御,對手可能不是"一個黑客團隊",而是一個松散的攻擊者聯盟,共享目標、分工協作、互不干擾。你準備好同時打三場仗了嗎?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
