東南亞5國軍網被滲透4年，中國黑客把"隱身術"玩明白了

2020年至今，至少5個東南亞國家的軍事網絡被同一伙攻擊者持續滲透。安全公司Palo Alto的Unit 42團隊最近披露的CL-STA-1087行動，讓這樁長達4年的網絡間諜案浮出水面——而攻擊者至今仍在活動。

「這不是那種砸門搶數據的莽夫式攻擊。」PolySwarm分析師在報告中寫道。攻擊者像圖書館里長期潛伏的管理員，只借書不還，從不弄出聲響。

發現過程：一個PowerShell腳本的"失眠癥"

整件事的暴露純屬意外。某東南亞軍事網絡的終端安全工具，標記了一段異常的PowerShell活動——發生在一臺無人管理的終端設備上。調查人員起初以為這是新入侵，很快發現想錯了：攻擊者早已在內網扎根，只是他們的"鬧鐘"設得極其刁鉆。

攻擊腳本被設計成每6小時才執行一次動作。這種節奏專門針對自動化檢測工具——后者通常監控流量峰值和異常頻率，對"慢性子"腳本幾乎無感。調查人員形容這就像「在圖書館里每隔幾小時才翻一頁書，監控攝像頭根本捕捉不到規律」。

更棘手的是，這些腳本連接著多個命令控制（C2）服務器。即使某個節點被發現，攻擊者仍有備用通道維持通信。

工具箱：三個自制后門與"上班打卡"規律

PolySwarm識別出的核心工具叫AppleChris，一款定制后門。它從Pastebin動態獲取C2服務器地址，早期版本還用過Dropbox。這種設計讓防御方難以通過封禁固定IP來切斷通信——服務器地址隨時可變，像不斷更換的接頭暗號。

攻擊者另外兩件工具同樣"手作感"強烈：MemFun作為輔助后門，Getpass則是Mimikatz憑證竊取工具的修改版。三者組合覆蓋了持久化控制、橫向移動、權限提升的全鏈條需求。

Unit 42注意到一個細節：攻擊者的操作時間高度規律，始終落在UTC+8時區的標準工作時段。這種"朝九晚五"的節奏，加上C2基礎設施中出現的簡體中文元素和中國云服務商，構成了指向中國關聯攻擊者的拼圖——盡管尚無具體組織被正式命名。

橫向移動：從邊緣終端到指揮中樞

沉默數月后，攻擊者開始第二階段行動。他們利用Windows管理規范（WMI）和原生.NET命令，在內網橫向擴散。目標清單讀起來像軍事IT架構的解剖圖：域控制器、Web服務器、IT工作站、高管系統。

最值得關注的是他們對C4I系統的興趣——指揮、控制、通信、計算機與情報系統的統稱。這是現代軍事行動的神經中樞。攻擊者沒有廣撒網式抓取數據，而是精準定位這些高價值節點，顯示出對軍事組織架構的熟悉。

持久化手段同樣老練。攻擊者創建新的Windows服務，通過DLL劫持將惡意文件植入system32目錄，再借合法服務注冊表項完成加載。這些操作讓后門成為系統"原生器官"，常規掃描難以識別異常。

戰略意圖：偷數據還是"看底牌"？

與傳統網絡犯罪不同，CL-STA-1087的訴求不是數據量，而是數據質。攻擊者收集的是戰略情報和作戰信息——部隊部署、指揮鏈條、通信協議。這種"輕觸式"間諜活動，比大規模數據竊取更難察覺，也更具長期價值。

東南亞地區的地緣政治敏感性，讓這場滲透的指向性更加清晰。該區域多國與中國存在南海主權爭議，軍事通信和指揮系統的情報價值，遠超普通政府或商業數據。

Unit 42的報告未披露具體受害國名單，但提到"多個東南亞軍事組織"。考慮到該區域約10國擁有成規模國防網絡，5年以上的持續滲透意味著攻擊者建立了相當成熟的區域作業能力。

目前，AppleChris等工具的特征碼已被加入主流安全產品庫。但攻擊者的基礎設施和TTP（戰術、技術與程序）仍在演變——他們最近一次被觀測到活動，就在報告發布前的數月內。防御方的問題是：還有多少類似的"慢性子"腳本，正沉睡在未被監控的終端里，等待下一次鬧鐘響起？