打开网易新闻 查看精彩图片

2025年6月到8月,某东南亚国家政府网络里同时住着三组不同的黑客。他们互相不知道彼此的存在,用着完全不同的工具,却盯着同一个目标。

这不是电影剧本。Palo Alto Networks旗下Unit 42团队最近披露了这起罕见的"多租户"入侵事件——三个与中国有关联的威胁组织,在同一时间、同一网络里各自为战,像合租公寓的室友一样互不打扰。

USB蠕虫打头阵,政府内网被"物理渗透"

USB蠕虫打头阵,政府内网被"物理渗透"

第一组人马来自Stately Taurus,这是个老练的APT组织。他们没有选择传统的钓鱼邮件,而是派出了一个叫USBFect的USB蠕虫(也被标记为HIUPAN)。

这个蠕虫的设计很朴素:一旦有人把U盘插进政府电脑,它就自动复制自己到所有连接的移动存储设备。下次这个U盘插到另一台机器,感染继续扩散。

在物理隔离或半隔离的政府网络里,USB往往是数据交换的唯一通道。Stately Taurus看准了这个盲区。USBFect成功渗透后,会释放PUBLOAD后门,为长期潜伏铺路。

这种手法让我想起一个老梗:最安全的系统,往往败给最原始的介质。2025年了,USB蠕虫还能在政府网络里横行,说明"物理安全"四个字在某些地方仍是摆设。

第二支小队带了"全家桶",连Edge日志都是假的

第二支小队带了"全家桶",连Edge日志都是假的

与此同时,第二组黑客CL-STA-1048正在同一网络里忙活。他们的工具箱丰富得多:EggStremeFuel后门、Masol远程控制木马(RAT)、EggStreme加载器、Gorem RAT,还有一个叫TrackBak的数据窃取工具。

TrackBak的伪装手法值得一提。它把自己打扮成Microsoft Edge的日志文件,藏在系统角落里,默默记录键盘输入、剪贴板内容、网络数据和连接存储设备上的文件。

打开网易新闻 查看精彩图片

换句话说,政府工作人员复制粘贴的密码、临时记下的会议笔记、从机密电脑拷到U盘的文件,全被这个"Edge日志"看光了。

Unit 42发现,CL-STA-1048与Earth Estries组织以及Crimson Palace行动有明显关联。这些都是近年活跃的中国背景APT,擅长针对东南亚政府和外交目标。

第三组玩"催眠",新加载器首次亮相

第三组玩"催眠",新加载器首次亮相

第三支小队CL-STA-1049选择了更隐蔽的路线。他们使用了一个全新发现的加载器Hypnosis,静默部署FluffyGh0st RAT。

相比前两组的张扬,CL-STA-1049的工具链更精简,攻击痕迹更少。这种"轻量化"策略可能是为了避免与另外两组"撞车"——毕竟,三个黑客团队挤在同一个网络里,谁先暴露都可能连累其他人。

研究人员指出,CL-STA-1049与Unfading Sea Haze组织高度重叠。后者是2024年才被发现的新锐APT,主要瞄准东南亚海军和海事机构。

三组人马,三种技术路线,同一个猎物。这种"多线程"攻击模式在APT历史上并不常见。

"合租"背后的信号:目标优先级高于一切

"合租"背后的信号:目标优先级高于一切

Unit 42的分析有个关键判断:这三组活动虽然工具不同,但战术目标高度一致——都是追求对该政府网络的长期持久访问。

他们没有互相干扰,也没有争夺控制权。这种克制暗示了一种可能性:松散协调的威胁行为者正在共享目标清单、基础设施,或接受统一的战略方向。

打开网易新闻 查看精彩图片

用产品经理的话说,这像是三个独立开发团队接到了同一个PRD(产品需求文档),各自用不同技术栈实现,最终交付到同一个生产环境。

对防御方来说,这是最糟糕的噩梦。传统的入侵检测假设攻击者是单一实体,一旦发现一组指标就以为"破案了"。但在这个案例里,清除Stately Taurus的USB蠕虫,对另外两组毫无影响;封堵CL-STA-1048的C2服务器,CL-STA-1049仍在暗处。

90天的共存期里,攻击者 layered in(分层部署)了键盘记录器、剪贴板窃取器、文件收集器和反向shell。他们可以绘制内网拓扑、监控通信流、定位敏感材料,而这一切都不会触发明显的告警。

东南亚为何成为"APT合租"热门地段

东南亚为何成为"APT合租"热门地段

这不是中国背景APT第一次扎堆东南亚。2023年以来,越南、印尼、菲律宾、马来西亚的政府和军方机构频繁遭遇多组织协同打击。

地缘政治因素很明显:南海争议、基础设施投资、稀土供应链——东南亚同时是战略要冲和经济走廊。对情报收集者来说,这里的政府网络是高价值目标中的"刚需盘"。

但技术层面还有个被低估的变量:东南亚许多国家正在经历数字化跃迁,政府IT系统的复杂度快速上升,但安全运营能力没有同步跟上。新旧系统混杂、供应链审查薄弱、人员流动频繁——这些条件对APT来说,比直接攻击欧美目标更"友好"。

USBFect的得手尤其说明问题。在零信任架构喊了多年的今天,一个靠U盘传播的蠕虫还能成为国家级入侵的突破口,这不是技术差距,是执行差距。

Unit 42没有披露具体受害国家的名称,这是行业惯例。但从攻击时间窗口(2025年6-8月)和工具特征来看,这起事件很可能与同期公开的某东南亚国家数据泄露事件有关——当时该国政府承认"部分系统遭未授权访问",但否认核心数据外泄。

现在我们知道,"未授权访问"的参与者至少有三组,持续了三个月,用了五种不同的RAT和后门。核心数据到底有没有出去?只有攻击者清楚。

防御建议的部分,Unit 42列得很常规:禁用自动播放、监控USB设备、分段网络、行为检测。但真正的难题是组织层面的——当三个APT在你网络里开派对时,你的SOC(安全运营中心)能不能分辨出这是三拨人,而不是一拨人的三次变装?

这次事件给出一个冷峻的参照:2025年的政府级网络防御,对手可能不是"一个黑客团队",而是一个松散的攻击者联盟,共享目标、分工协作、互不干扰。你准备好同时打三场仗了吗?