南美政府遭入侵：中国黑客工具链首次曝光|apt|南美政府|后门|安全漏洞|工具链|黑客

你正在查看南美某政府机构的网络日志，发现过去三个月里，攻击者用同一套工具组合反复进出——这不是孤立事件，而是一条横跨两大洲的供应链正在运转。

一场从南美蔓延到东欧的入侵

思科Talos团队刚刚披露了一个代号UAT-8302的攻击组织。他们的目标很明确：南美国家的政府实体，从2024年底开始持续渗透；2025年，同一套手法出现在东南欧的政府机构。

攻击者的技术栈高度统一。进入网络后，他们会用开源工具gogo做自动化扫描，横向移动，最终部署三款核心恶意软件：NetDraft后门、CloudSorcerer 3.0版本、以及VShell。

NetDraft这个组件值得单独拎出来。它是用.NET写的，安全圈之前叫它NosyDoor。ESET追踪到另一个使用它的组织LongNosedGoblin；俄罗斯安全公司Solar则发现，一个叫Erudite Mogwai（也叫Space Pirates、Webworm）的组织用同款工具攻击过俄罗斯IT企业，Solar给它起了个新名字LuckyStrike Agent。

换句话说，同一个后门程序，至少出现在四个不同命名的威胁组织手里。

工具共享：中国APT的新协作模式

Talos的研究员Jungsoo An、Asheer Malhotra和Brandon White在报告中写道：「UAT-8302部署的恶意软件将它与多个此前公开披露的威胁集群联系起来，表明它们之间至少存在紧密的运营关系。」

他们列出的关联名单很长：Ink Dragon、CL-STA-0049、Earth Alux、Jewelbug、REF7707——这些组织都被第三方行业报告评估为与中国有关联或说中文。

UAT-8302的技术细节也印证了这种关联。他们用的NetDraft，其实是FINALDRAFT（也叫Squidoor）的C#变体；还用了SNOWLIGHT的Rust版本SNOWRUST来下载VShell。这些都不是从零开发的工具，而是现有代码库的迭代版本。

除了定制恶意软件，攻击者还部署了Stowaway代理和SoftEther VPN作为备用后门通道。这种"多通道冗余"的设计，说明他们对持久化访问有系统性规划。

初始入侵手段目前尚不明确，但Talos推测是"利用Web应用程序中的零日和N日漏洞"——这是APT组织最成熟、也最难防御的入口之一。

"通行证即服务"：攻击产业链的成型

UAT-8302不是孤例。2025年10月，趋势科技披露了一种叫"Premier Pass-as-a-Service"的协作模式：Earth Estries负责获取初始访问权限，转手交给Earth Naga做后续渗透。这种合作关系至少从2023年底就开始运转。

趋势科技的报告指出，这种"通行证即服务"直接提供对关键资产的访问，减少了攻击者花费在侦察和初始入侵上的时间。

UAT-8302的案例显示，工具共享可能比权限共享更深层。当NetDraft、CloudSorcerer、VShell、SNOWRUST这些组件在不同组织间流动时，它们构成了一个可复用的技术平台。攻击者不再需要从头开发全套工具链，而是像调用API一样组合现有模块。

这对防御方意味着双重挑战。一方面，归因变得更困难——同一工具出现在不同地理区域的攻击中，是同一组织转移阵地，还是不同组织共享武器库？另一方面，工具迭代速度加快，当Rust版本的SNOWRUST替代原始SNOWLIGHT时，基于签名的检测规则需要同步更新。