3支中國黑客小隊(duì)同時(shí)潛入，東南亞政府內(nèi)網(wǎng)被"合租"了90天

2025年6月到8月，某東南亞國家政府網(wǎng)絡(luò)里同時(shí)住著三組不同的黑客。他們互相不知道彼此的存在，用著完全不同的工具，卻盯著同一個(gè)目標(biāo)。

這不是電影劇本。Palo Alto Networks旗下Unit 42團(tuán)隊(duì)最近披露了這起罕見的"多租戶"入侵事件——三個(gè)與中國有關(guān)聯(lián)的威脅組織，在同一時(shí)間、同一網(wǎng)絡(luò)里各自為戰(zhàn)，像合租公寓的室友一樣互不打擾。

USB蠕蟲打頭陣，政府內(nèi)網(wǎng)被"物理滲透"

第一組人馬來自Stately Taurus，這是個(gè)老練的APT組織。他們沒有選擇傳統(tǒng)的釣魚郵件，而是派出了一個(gè)叫USBFect的USB蠕蟲（也被標(biāo)記為HIUPAN）。

這個(gè)蠕蟲的設(shè)計(jì)很樸素：一旦有人把U盤插進(jìn)政府電腦，它就自動(dòng)復(fù)制自己到所有連接的移動(dòng)存儲設(shè)備。下次這個(gè)U盤插到另一臺機(jī)器，感染繼續(xù)擴(kuò)散。

在物理隔離或半隔離的政府網(wǎng)絡(luò)里，USB往往是數(shù)據(jù)交換的唯一通道。Stately Taurus看準(zhǔn)了這個(gè)盲區(qū)。USBFect成功滲透后，會(huì)釋放PUBLOAD后門，為長期潛伏鋪路。

這種手法讓我想起一個(gè)老梗：最安全的系統(tǒng)，往往敗給最原始的介質(zhì)。2025年了，USB蠕蟲還能在政府網(wǎng)絡(luò)里橫行，說明"物理安全"四個(gè)字在某些地方仍是擺設(shè)。

第二支小隊(duì)帶了"全家桶"，連Edge日志都是假的

與此同時(shí)，第二組黑客CL-STA-1048正在同一網(wǎng)絡(luò)里忙活。他們的工具箱豐富得多：EggStremeFuel后門、Masol遠(yuǎn)程控制木馬（RAT）、EggStreme加載器、Gorem RAT，還有一個(gè)叫TrackBak的數(shù)據(jù)竊取工具。

TrackBak的偽裝手法值得一提。它把自己打扮成Microsoft Edge的日志文件，藏在系統(tǒng)角落里，默默記錄鍵盤輸入、剪貼板內(nèi)容、網(wǎng)絡(luò)數(shù)據(jù)和連接存儲設(shè)備上的文件。

換句話說，政府工作人員復(fù)制粘貼的密碼、臨時(shí)記下的會(huì)議筆記、從機(jī)密電腦拷到U盤的文件，全被這個(gè)"Edge日志"看光了。

Unit 42發(fā)現(xiàn)，CL-STA-1048與Earth Estries組織以及Crimson Palace行動(dòng)有明顯關(guān)聯(lián)。這些都是近年活躍的中國背景APT，擅長針對東南亞政府和外交目標(biāo)。

第三組玩"催眠"，新加載器首次亮相

第三支小隊(duì)CL-STA-1049選擇了更隱蔽的路線。他們使用了一個(gè)全新發(fā)現(xiàn)的加載器Hypnosis，靜默部署FluffyGh0st RAT。

相比前兩組的張揚(yáng)，CL-STA-1049的工具鏈更精簡，攻擊痕跡更少。這種"輕量化"策略可能是為了避免與另外兩組"撞車"——畢竟，三個(gè)黑客團(tuán)隊(duì)擠在同一個(gè)網(wǎng)絡(luò)里，誰先暴露都可能連累其他人。

研究人員指出，CL-STA-1049與Unfading Sea Haze組織高度重疊。后者是2024年才被發(fā)現(xiàn)的新銳APT，主要瞄準(zhǔn)東南亞海軍和海事機(jī)構(gòu)。

三組人馬，三種技術(shù)路線，同一個(gè)獵物。這種"多線程"攻擊模式在APT歷史上并不常見。

"合租"背后的信號：目標(biāo)優(yōu)先級高于一切

Unit 42的分析有個(gè)關(guān)鍵判斷：這三組活動(dòng)雖然工具不同，但戰(zhàn)術(shù)目標(biāo)高度一致——都是追求對該政府網(wǎng)絡(luò)的長期持久訪問。

他們沒有互相干擾，也沒有爭奪控制權(quán)。這種克制暗示了一種可能性：松散協(xié)調(diào)的威脅行為者正在共享目標(biāo)清單、基礎(chǔ)設(shè)施，或接受統(tǒng)一的戰(zhàn)略方向。

用產(chǎn)品經(jīng)理的話說，這像是三個(gè)獨(dú)立開發(fā)團(tuán)隊(duì)接到了同一個(gè)PRD（產(chǎn)品需求文檔），各自用不同技術(shù)棧實(shí)現(xiàn)，最終交付到同一個(gè)生產(chǎn)環(huán)境。

對防御方來說，這是最糟糕的噩夢。傳統(tǒng)的入侵檢測假設(shè)攻擊者是單一實(shí)體，一旦發(fā)現(xiàn)一組指標(biāo)就以為"破案了"。但在這個(gè)案例里，清除Stately Taurus的USB蠕蟲，對另外兩組毫無影響；封堵CL-STA-1048的C2服務(wù)器，CL-STA-1049仍在暗處。

90天的共存期里，攻擊者 layered in（分層部署）了鍵盤記錄器、剪貼板竊取器、文件收集器和反向shell。他們可以繪制內(nèi)網(wǎng)拓?fù)洹⒈O(jiān)控通信流、定位敏感材料，而這一切都不會(huì)觸發(fā)明顯的告警。

東南亞為何成為"APT合租"熱門地段

這不是中國背景APT第一次扎堆東南亞。2023年以來，越南、印尼、菲律賓、馬來西亞的政府和軍方機(jī)構(gòu)頻繁遭遇多組織協(xié)同打擊。

地緣政治因素很明顯：南海爭議、基礎(chǔ)設(shè)施投資、稀土供應(yīng)鏈——東南亞同時(shí)是戰(zhàn)略要沖和經(jīng)濟(jì)走廊。對情報(bào)收集者來說，這里的政府網(wǎng)絡(luò)是高價(jià)值目標(biāo)中的"剛需盤"。

但技術(shù)層面還有個(gè)被低估的變量：東南亞許多國家正在經(jīng)歷數(shù)字化躍遷，政府IT系統(tǒng)的復(fù)雜度快速上升，但安全運(yùn)營能力沒有同步跟上。新舊系統(tǒng)混雜、供應(yīng)鏈審查薄弱、人員流動(dòng)頻繁——這些條件對APT來說，比直接攻擊歐美目標(biāo)更"友好"。

USBFect的得手尤其說明問題。在零信任架構(gòu)喊了多年的今天，一個(gè)靠U盤傳播的蠕蟲還能成為國家級入侵的突破口，這不是技術(shù)差距，是執(zhí)行差距。

Unit 42沒有披露具體受害國家的名稱，這是行業(yè)慣例。但從攻擊時(shí)間窗口（2025年6-8月）和工具特征來看，這起事件很可能與同期公開的某東南亞國家數(shù)據(jù)泄露事件有關(guān)——當(dāng)時(shí)該國政府承認(rèn)"部分系統(tǒng)遭未授權(quán)訪問"，但否認(rèn)核心數(shù)據(jù)外泄。

現(xiàn)在我們知道，"未授權(quán)訪問"的參與者至少有三組，持續(xù)了三個(gè)月，用了五種不同的RAT和后門。核心數(shù)據(jù)到底有沒有出去？只有攻擊者清楚。

防御建議的部分，Unit 42列得很常規(guī)：禁用自動(dòng)播放、監(jiān)控USB設(shè)備、分段網(wǎng)絡(luò)、行為檢測。但真正的難題是組織層面的——當(dāng)三個(gè)APT在你網(wǎng)絡(luò)里開派對時(shí)，你的SOC（安全運(yùn)營中心）能不能分辨出這是三撥人，而不是一撥人的三次變裝？

這次事件給出一個(gè)冷峻的參照：2025年的政府級網(wǎng)絡(luò)防御，對手可能不是"一個(gè)黑客團(tuán)隊(duì)"，而是一個(gè)松散的攻擊者聯(lián)盟，共享目標(biāo)、分工協(xié)作、互不干擾。你準(zhǔn)備好同時(shí)打三場仗了嗎？