2025年6月到8月,东南亚某国政府网络里同时跑着三套完全不同的攻击工具。它们互不通信,却指向同一个目标——这不是巧合,是分工。
Palo Alto Networks旗下Unit 42团队最新披露的这起案件,罕见地捕捉到国家级黑客的"群狼战术"。三支被分别追踪为Stately Taurus、CL-STA-1048、CL-STA-1049的攻击集群,在同一受害网络内并行作业,时间线完全重叠。
USB蠕虫:最老派的手法,最难防的漏洞
第一路攻击来自Stately Taurus,这个老牌威胁组织选择了一条看似复古的路径。他们部署的USBFect蠕虫(也被标记为HIUPAN)专门监控新插入的U盘,一旦检测到可移动设备,便自动复制自身并投放PUBLOAD后门。
物理隔离的内网、禁用的无线模块、严格的出口过滤——这些政府网络的标配防御,在USB面前形同虚设。
一位安全研究员曾打过一个比方:USB接口是计算机的"肛门",消化系统再干净,也拦不住从外部塞进来的东西。政府工作人员插U盘传文件、打补丁、做演示的日常操作,成了攻击者最稳定的入口。
USBFect的隐蔽性在于它不依赖网络传播。内网越封闭,U盘交换越频繁,它的传播效率反而越高。PUBLOAD后门一旦落地,便开始收集系统信息、执行远程指令,为长期潜伏建立 foothold(据点)。
工具箱派 vs 极简派:两种工程哲学的碰撞
第二路CL-STA-1048走的是"火力覆盖"路线。他们的工具清单包括EggStremeFuel后门、Masol远程访问木马(RAT)、EggStreme加载器、Gorem RAT,以及专门的信息窃取工具TrackBak。
TrackBak的伪装手法颇具讽刺意味——它把自己包装成Microsoft Edge的日志文件,藏在用户眼皮底下。实际运行时,它静默记录键盘输入、剪贴板内容、网络配置数据,以及所有连接存储设备中的文件。
你的每一次复制粘贴,都可能被写进攻击者的数据库。
第三路CL-STA-1049则完全相反。他们只带了两样东西:一个全新的加载器Hypnosis,以及一个名为FluffyGh0st的RAT。没有冗余工具,没有复杂链条,目标只有一个——降低被发现概率。
这种分化暗示了某种任务分工。CL-STA-1048负责广撒网、大规模数据采集;CL-STA-1049负责深度潜伏、定点突破;Stately Taurus则利用USB打通物理隔离的壁垒。三支团队互不干扰,却共享同一批高价值目标。
溯源拼图:松散协调还是统一指挥?
Unit 42的归因分析揭示了一个更复杂的图景。CL-STA-1048与Earth Estries及Crimson Palace行动存在明确关联,这两个名字此前已多次出现在针对东南亚的间谍活动中。CL-STA-1049则与Unfading Sea Haze高度重叠,后者以针对海事和政府的长期渗透著称。
Stately Taurus更是中国APT(高级持续性威胁)中的"老面孔",其活动历史可追溯至2012年,长期专注于东南亚、南亚的政府与军事目标。
三支团队、三套工具、三条技术谱系,却在同一时间段内汇聚于同一受害网络。这种"巧合"的概率极低。更合理的解释是:他们共享目标清单、基础设施资源,或至少服从同一战略方向。
松散协调比统一指挥更难防御——你无法通过打掉一个节点来瓦解整片网络。
这种模式的代价也清晰可见。攻击者在受害网络中建立了键盘记录、剪贴板窃取、文件收集、反向shell(远程命令通道)的多层能力,获得了对政府活动的全景视野。他们可以绘制内网拓扑、监控通信流向、定位敏感材料,而这一切都不会触发明显的告警。
东南亚为何成为"压力测试场"
选择东南亚并非偶然。这里的政府网络往往处于数字化转型的阵痛期:遗留系统与新架构并存,预算约束下的安全投入参差不齐,地缘政治敏感性又使其成为情报价值极高的目标。
USB攻击的复苏也值得关注。在零日漏洞(0-day)和黑产工具链高度成熟的今天,回归物理媒介看似开倒车,实则是对"高安全隔离环境"的精准打击。当网络层防御越来越厚,攻击者自然转向人机交互的薄弱环节。
Unit 42在报告中留下了一个未解的悬念:三支团队是否知道彼此的存在?他们的作业时段高度重叠,却从未在代码或基础设施中留下直接协作的证据。这种"默契"本身,可能比任何单一工具都更值得警惕。
如果同一目标值得三支独立团队同时投入,那么下一个被"群狼"围猎的会是谁?
热门跟贴