中國APT組織鎖定亞太地緣政治議題 台灣相關目標成攻擊重點

代號為UTA0388的中國駭客組織近期針對北美、亞洲和歐洲地區發動一系列攻擊，攻擊目標鎖定關注亞太地緣政治議題的對象，特別是與台灣相關的目標。資安公司Volexity在最新報告中指出，攻擊者透過魚叉式釣魚郵件(Spear Phishing)散布名為GOVERSHELL的Go語言惡意程式，並濫用合法雲端服務與人工智慧工具，展現高度組織化的攻擊能力。

建立互信式釣魚攻擊手法

UTA0388偽裝成虛構組織中的資深研究員或分析師，透過社交工程手法誘騙目標點擊連結，下載含有惡意程式的壓縮檔。隨著攻擊活動演進，該組織開始使用多種語言進行攻擊，包括英文、中文、日文、法文和德文。

攻擊手法更加精緻，攻擊者會先與目標建立信任關係，才發送惡意連結，這種技術稱為「建立互信式釣魚攻擊」(Rapport-building Phishing)。釣魚郵件中的連結最終都會導向ZIP或RAR壓縮檔，內含惡意DLL檔案。攻擊者透過DLL側載執行GOVERSHELL後門程式。

五種變種持續演進

GOVERSHELL是先前C++惡意程式HealthKick的後續版本。研究人員已發現五種GOVERSHELL變種，按時間順序分別為：HealthKick(2025年4月)透過cmd.exe執行命令、TE32(2025年6月)使用PowerShell反向Shell直接執行命令、TE64(2025年7月初)執行原生和動態命令、WebSocket (2025年7月中)透過PowerShell執行命令、Beacon(2025年9月)設定並隨機化輪詢間隔。

這些變種顯示攻擊者持續投入資源改進攻擊工具鏈，從最初基本的命令執行功能，演進至具備輪詢外部伺服器、隨機化通訊間隔等更複雜的後門功能。

濫用合法服務與AI工具

UTA0388濫用多種合法雲端服務存放惡意檔案，包括Netlify、Sync和OneDrive。釣魚郵件則透過Proton Mail、Microsoft Outlook和Gmail等常見電子郵件服務寄出。

根據OpenAI披露的資訊，UTA0388利用ChatGPT生成英文、中文和日文的釣魚郵件內容。攻擊者也使用ChatGPT協助惡意程式開發流程，並搜尋nuclei和fscan等開源工具的安裝資訊。目前該駭客使用的ChatGPT帳號已被封鎖。

Volexity指出，釣魚郵件中大量虛構內容顯示出AI工具的使用痕跡，例如虛構的寄件者身份和缺乏連貫性的郵件內容。研究人員以中等信心程度評估，UTA0388利用自動化工具或大型語言模型(LLM)產生並發送這些內容，某些情況下幾乎沒有人為監督。

歐洲機構同遭APT攻擊

除了UTA0388的攻擊行動外，資安公司StrikeReady Labs也觀察到疑似中國駭客組織發動的進階持續性威脅(APT)攻擊。受害對象包括塞爾維亞政府航空單位，以及匈牙利、比利時、義大利和荷蘭等歐洲國家的相關機構。

9月底發現的攻擊活動中，攻擊者透過釣魚郵件發送惡意連結，將受害者導向偽造的Cloudflare CAPTCHA驗證頁面。受害者下載ZIP壓縮檔後，會取得內含的Windows捷徑檔案(LNK)。該檔案執行時會開啟誘餌文件，同時在背景透過DLL側載技術悄悄啟動PlugX惡意程式。

台灣機構應提高警覺

這波攻擊鎖定關注亞太地緣政治議題的對象，特別是與台灣相關的目標，顯示中國APT組織持續針對地緣政治敏感議題相關機構展開攻擊。台灣政府機關、智庫、學術單位及關注區域安全議題的組織，應提高對魚叉式釣魚攻擊的警覺，特別是來自陌生研究人員或分析師的郵件，即使內容看似專業且相關。

建議相關機構加強電子郵件安全防護，部署進階威脅偵測機制，並定期進行資安意識教育訓練，提醒員工注意建立互信式釣魚攻擊手法。

本文轉載自 TheHackerNews。