根據 Broadcom 旗下 Symantec 與 Carbon Black 團隊的報告,一個與中國相關的威脅行為者在 2025 年 4 月鎖定一家美國非營利組織,試圖在其網路中建立長期存取權限。該組織致力於影響美國政府的國際政策。
攻擊活動最早出現在 4 月 5 日,當時偵測到針對伺服器的大規模掃描行動。
攻擊者利用多個已知漏洞進行探測,包括 CVE-2022-26134(Atlassian)、CVE-2021-44228(Apache Log4j)、CVE-2017-9805(Apache Struts)及 CVE-2017-17562(GoAhead Web Server)。
雖然沒有證據顯示這些漏洞利用成功,但研究人員推測攻擊者最終可能透過暴力破解或憑證填充攻擊取得初始存取權限。
建立持久性存取機制
直到 4 月 16 日才記錄到進一步行動。攻擊者執行多個 curl 指令測試網路連線,並使用 Windows 的 netstat 工具收集網路組態資訊,隨後透過排程任務在主機上建立持久性機制。
該任務設計為執行合法的微軟程式「msbuild.exe」來運行未知載荷,並建立另一個每 60 分鐘執行一次的排程任務,以高權限 SYSTEM 使用者身分運作。
這個新任務能載入未知程式碼並注入到「csc.exe」中,最終與命令與控制伺服器(38.180.83[.]166)建立通訊。研究人員觀察到攻擊者執行客製化載入器,在記憶體中解壓並執行未指定的酬載,這很可能是遠端存取木馬(RAT)。
工具共享與歸因挑戰
攻擊中還發現執行合法的 Vipre 防毒軟體元件(vetysafe.exe)來側載 DLL 載入器(sbamres.dll)。此元件先前曾在 Salt Typhoon 相關活動中用於載入 Deed RAT(又稱 Snappybee),也曾出現在 Earth Longzhi (APT41 的子群組) 的攻擊中。
Broadcom 指出,這個惡意 DLL 的副本先前曾被與中國駭客組織 Space Pirates 相關的攻擊使用。該元件的變體也曾出現在中國 APT 組織 Salt Typhoon (又稱 Kelp)的另一起事件中。
研究人員指出,攻擊者明顯試圖在網路中建立持久且隱密的存在,並對網域控制器特別感興趣,這可能使他們得以擴散至網路上的眾多機器。由於中國威脅行為者之間長期共享工具,確認特定活動背後的具體組織相當困難。
其他中國駭客組織活動
根據 ESET 報告,與中國結盟的組織持續活躍,攻擊範圍遍及亞洲、歐洲、拉丁美洲及美國,以服務北京的地緣政治優先事項。
值得注意的攻擊活動包括:
- Speccom 於 2025 年 7 月透過釣魚郵件鎖定中亞能源產業,部署 BLOODALCHEMY 變體及 kidsRAT、RustVoralix 等客製化後門
- DigitalRecyclers 於 7 月鎖定歐洲組織,利用放大鏡無障礙工具取得系統權限
- FamousSparrow 於 6 月至 9 月間利用 ProxyLogon 漏洞鎖定拉丁美洲政府實體
- SinisterEye 透過中間人攻擊劫持合法軟體更新機制,部署 WinDealer 及 SpyDealer 惡意軟體
IIS伺服器成為新目標
近幾個月,威脅獵捕人員發現一個使用中文的威脅行為者 REF3927 鎖定配置錯誤的 IIS 伺服器。攻擊者利用公開暴露的機器金鑰,安裝名為 TOLLBOOTH(又稱 HijackServer)的後門程式,該後門具備 SEO 隱匿及WebShell。該行動已感染全球數百台伺服器,主要集中在印度和美國。
攻擊特徵包括:嘗試利用初始存取權限投放 Godzilla WebShell、執行 GotoHTTP 遠端存取工具、使用 Mimikatz 竊取憑證,以及部署 HIDDENDRIVER(開源 rootkit Hidden 的修改版本)來隱藏受感染機器上的惡意載荷。
此組織是繼 GhostRedirector、Operation Rewrite 及 UAT-8099 之後,另一個鎖定 IIS 伺服器的中國威脅行為者,顯示這類攻擊活動正在增加。
法國資安公司 HarfangLab 警告,
雖然駭客似乎使用中文作為主要語言,並利用入侵來支援搜尋引擎最佳化,但部署的模組提供持久且未經驗證的通道,使任何人都能在受影響的伺服器上遠端執行指令。
本文轉載自 TheHackerNews。