Palo Alto Networks Unit 42 揭露一個中文語系進階持續性威脅(APT)組織
CL-STA-1062 的攻擊活動,該組織部署一款此前未有記錄的客製化後門程式
TinyRCT,鎖定東南亞政府機構與關鍵基礎設施。
攻擊者採用混合式工具組,包含 SoftEther VPN、Mimikatz 等開源工具,以及 Yuze(SOCKS5 代理程式)與 VNT(虛擬私人網路)等公開工具。
這些工具通常偽裝成 VMware 執行檔或 XDR 代理程式,例如以「XDRAgent.exe」、「vmtools.exe」或「vmwared.exe」等名稱出現。
攻擊目標與組織背景
此次攻擊活動主要針對能源與政府部門的國有企業。Unit 42 指出,CL-STA-1062 與 UAT-7237 存在重疊之處,後者於 2025 年 8 月首次由 Cisco Talos 揭露,當時與針對台灣網路基礎設施的攻擊活動有所關聯。Unit 42 也觀察到 CL-STA-1062 自 2022 年 3 月起便持續針對東亞戰略性產業發動攻擊,顯示其對該地區維持廣泛且持續的關注。
自至少 2025 年中期起,CL-STA-1062 便開始系統性掃描目標機構漏洞,並透過 ASPX Web Shell 建立初始立足點,以利後續偵察,並從受感染網路向攻擊者控制的基礎架構發出對外請求。
在 2025 年 9 月偵測到的一起攻擊中,威脅行為者滲透東南亞某政府機構,部署 Web Shell 以自 MS SQL 伺服器外洩資料;同時也對同一國家另一個政府機構進行網路偵察,顯示其試圖尋找橫向移動機會並擴大存取範圍。Unit 42 表示,在其中一個案例中觀察到攻擊者將政府機構的整個網頁伺服器原始碼目錄打包並外洩。此外,Unit 42 亦於 2025 年 10 月至 12 月期間,共偵測到至少 10 個東南亞組織遭入侵。
TinyRCT 後門技術細節
TinyRCT 以「PerfWatson2.exe」為檔名,是一款以 .NET 撰寫的輕量級遠端存取木馬(RAT),具備系統偵察、指令執行、檔案上傳、螢幕截圖、遠端控制與自我清除等功能,並採取措施避免在沙盒環境中執行。
TinyRCT 透過 HTTP 與遠端伺服器建立持久通訊管道,並以 AES-128 CBC 模式加密傳輸資料。惡意程式以信標(beaconing)模式運作,預設每 10 秒發送一次請求,透過 GET 請求向命令與控制(C2)伺服器輪詢指令,並以 POST 請求回傳外洩資料。
TinyRCT 的投遞方式為名為「chrome_setup.zip」的惡意壓縮檔,內含合法執行檔(chrome_setup.exe)、設定檔與惡意動態連結函式庫(DLL)。該 DLL 會觸發 AppDomainManager 注入攻擊,從外部伺服器下載並載入 TinyRCT。
Unit 42 在報告結論中指出,CL-STA-1062 對工具的選用反映出務實的攻擊思維:一方面持續利用開源工具輔助橫向移動,另一方面也具備自行開發客製化工具的能力。再加上其鎖定關鍵基礎設施,以及具備客製化惡意軟體的開發能力,顯示其攻擊活動將持續對該地區構成威脅。
本文轉載自 TheHackerNews。