荷蘭軍情機構示警：中國網攻能力已與美國並駕齊驅，大量行動潛伏未被偵測

荷蘭國防情報暨安全局（Militaire Inlichtingen- en Veiligheidsdienst，MIVD）於近日發布年度公開報告，作出一項罕見的戰略級評估：中國在進攻性網路能力方面，目前可能已與美國達到同等水準。報告同時警告，針對荷蘭利益的中國網路行動，絕大多數從未被偵測或遏制，現有防禦體系面臨嚴峻考驗。

能力對等：西方情報界罕見的公開定性

MIVD 在報告中明確指出：「中國現在在進攻性網路能力領域，可能已與美國並駕齊驅。」這一論斷標誌著西方情報界對中國網路戰實力的重大重新定位。

相較之下，美國國家情報總監辦公室（Office of the Director of National Intelligence）在其 2025 年威脅評估報告中，雖描述中國已「展現出透過強大網路能力入侵美國基礎建設的能力」，但並未明確宣告兩國能力對等。荷蘭此次的公開表態，在西方情報界公開報告中尚屬首見。

MIVD 直言，中國網路行動的專業程度已超出現有防禦體系的應對能量，網路攻擊規模龐大且手法專業，現有防禦體系在偵測、回應與遏制三個環節上均難以有效應對。報告進一步估計，針對荷蘭利益的中國網路行動，「可能只有極少部分被偵測並加以遏制」，意味著大量潛伏行動至今仍未曝光。

解放軍重組：靈活性與漏洞競爭的制度性驅動

MIVD 將中國網路能力的快速躍升，與解放軍（People's Liberation Army，PLA）2024 年的組織重整直接掛鉤。北京於該年解散戰略支援部隊，另立獨立的網路空間部隊（Cyberspace Force）。MIVD 指出，這次重組「使中國駭客在 2025 年能夠持續調整工具與基礎建設，並對機會與環境變化作出高度靈活的反應」。

報告中揭露了一項先前未曾出現於西方公開情報的細節：在同一解放軍單位內部，「多個組成部門甚至相互競爭，搶先在特定類型的邊緣設備中找到漏洞」。這顯示解放軍網路部隊內部存在系統性的漏洞挖掘激勵機制，將競爭壓力轉化為持續的攻擊能力輸出。

此一發現與 Google 威脅情報集團上月報告相互呼應。Google 指出，中國關聯組織在 2025 年的零時差漏洞利用數量較前一年翻倍，目前是「最多產」的國家級零時差漏洞使用者。MIVD 據此預警，2026 年將出現「更多以漏洞利用為目標的攻擊行動，特別針對路由器、防火牆與 VPN 解決方案等邊緣設備」。

殭屍網路工業化：分工明確的隱蔽攻擊供應鏈

中國網路威脅的升級，不只體現在技術能力，更體現在攻擊基礎建設的系統化布建。英國國家網路安全中心（National Cyber Security Centre，NCSC-UK）聯合美國等多國機構本週發出聯合警告，揭露中國國家級駭客正大規模利用由受感染設備構成的隱蔽網路作為攻擊跳板。

這些殭屍網路主要由小型辦公室與家用路由器組成，亦涵蓋物聯網設備、網路攝影機、數位錄影機、已達生命週期終止的路由器、防火牆及 NAS 設備。Flax Typhoon 與 Volt Typhoon 等中國威脅組織，正透過這些網路進行偵察、惡意程式通訊與資料竊取，以「低成本、低風險且可推諉責任」的方式實施攻擊。

聯合公告特別指出，這些隱蔽網路甚至同時供合法使用者用於一般網路瀏覽，使惡意活動更難被溯源歸因。多個中國關聯威脅組織可能同時共用同一殭屍網路，進一步增加防禦方識別與封鎖的難度。

傳統靜態惡意 IP 封鎖措施在此模式下幾近失效。聯合公告解釋，單一威脅行為者可能透過多個隱蔽網路發動攻擊，「每個網路潛在包含數十萬個端點，且同時被多個威脅行為者使用」。加上這些網路具有高度動態性，舊節點遭修補或下線後，新節點持續加入補充，使得封鎖特定 IP 範圍的防禦策略難以奏效。

這些 SOHO 設備之所以成為理想攻擊目標，在於其共同的結構性弱點：預設憑證未更改、修補頻率極低、缺乏集中化管理，以及設備所有者往往不知其裝置已暴露於網際網路之上。

雲端服務淪為間諜通道：GopherWhisper 的多後門戰術

與此同時，資安廠商 ESET 研究人員揭露了中國關聯 APT組織「GopherWhisper」的行動細節，呈現另一種日益普遍的攻擊手法：系統性濫用合法雲端平台作為指揮控制（C2）通道。

GopherWhisper 自 2023 年 11 月起便已活躍，鎖定蒙古政府機構，在單一目標組織內植入多達 12 個後門程式。ESET 研究人員自 2025 年 1 月起陸續發現多個後門：LaxGopher 濫用 Slack 進行 C2 通訊；RatGopher 透過 Discord 傳遞指令；BoxOfFriends 則利用 Microsoft Outlook 電子郵件草稿作為通訊媒介，其載入程式為 FriendDelivery；CompactGopher 專責透過公開檔案共享服務 file.io 執行資料外洩；SSLORDoor 則不依賴軟體即服務（Software as a Service，SaaS）平台。

藉由分散使用多個不同的 C2 管道，即使其中一種方式遭封鎖或被識別，攻擊者仍可透過其他管道維持對目標系統的控制。ESET 資深惡意程式研究員 Mathieu Tartare 指出，該組織「在短時間內大量使用不同的自訂後門，生產力相當高」，但同時補充該組織「並非特別精密複雜的組織」。ESET 研究員 Eric Howard 在 Botconf 2026 發表的報告更指出，研究人員在攻擊者的「下載」目錄中發現了名為「How to write RATs」的檔案，顯示該組織的惡意程式開發人員可能仍處於學習階段。

邊緣設備防禦刻不容緩

MIVD 報告亦揭露，中國關聯的 Salt Typhoon 與 RedMike 網路間諜行動，於 2025 年已成功入侵荷蘭境內多家規模較小的主機與網路服務供應商的路由器，當局研判駭客尚未深入其內部網路。而早在 2024 年，荷蘭國防部即曾確認，中國駭客透過利用 FortiGate 漏洞入侵其一個隔離網路，部署名為 COATHANGER 的惡意程式，同一行動最終感染全球至少 20,000 台 FortiGate 系統。

針對上述威脅，NCSC-UK 聯合公告建議各組織建立完整的邊緣設備資產清單，對正常連線行為建立基準，並對異常連線保持警覺。大型組織應考慮建立地理位置 IP 允許清單，依據作業系統、時區與設定等特徵對入站連線進行側寫分析，並對入站連線實施零信任 政策。高風險組織則應主動追蹤中國關聯 APT 組織動態，積極開展威脅獵捕，並持續追蹤各方威脅情報所揭露的隱蔽網路動向。