为什么一个省的警察门户,竟能在两年间持续吸引至少四个不同背景的间谍团伙轮番光顾?
2月24日,SentinelOne旗下SentinelLABS公布一份最新报告,还原了一场自2024年2月蔓延至2026年4月的持续性网络间谍行动。目标直指巴基斯坦多个执法机构,涉及俾路支省警方、开伯尔–普赫图赫瓦省警方、伊斯兰堡警方以及旁遮普安全城市管理局。其中,俾路支省警方遭入侵的服务器,正托管着一批直接管理公民刑事记录、生物特征信息的网站应用。
报告主笔亚历山大·米伦科斯基指出,攻击者不仅拿下了存放敏感数据的服务器,还将一个名为“投诉管理系统”的应用变成跳板。这款面向警员和公众的在线系统,在一次伪装成门户更新的操作中被植入定制后门,使得两类用户全都落入攻击者的监控范围。
研究人员将这批入侵归入四个不同威胁集群,每个集群均有专属的恶意软件家族——PlugX、ShadowPad、Cobalt Strike和Remcos RAT。其中,Remcos RAT的部署手法被指与印度背景的黑客组织“神秘大象”存在基础设施和战术重叠,该组织常常与SideWinder、Confucius、Bitter等南亚对手共享技术特征。
而在剩下的三组集群中,PlugX与ShadowPad的组合显得尤为刺眼。两者被多家机构视为中国国家级黑客的常用工具,ShadowPad更是常被视为PlugX的后续版本。SentinelOne在报告中补充,2024年2月27日至9月28日期间观察到的PlugX受害者范围,以及同年8月3日至12月1日期间发现的ShadowPad受害者分布,进一步佐证了这一判断。除巴基斯坦执法部门外,受害名单还覆盖了南亚、东南亚、中亚、东亚、阿拉伯半岛以及东南欧区域的政府、外交、国防、非政府组织和研究机构,收拢目标与之高度吻合。
为完成入侵,攻击链使用了与巴基斯坦执法行动相关的诱饵。一个声称载有“遣返非法外国人行动方案”的诱饵文件被投放,专门针对阿富汗公民卡持有者。相关活动的时间线虽未完全揭开,但目前已掌握的流量数据表明,Cobalt Strike集群的指令控制基础设施同样指向中国背景的威胁方。
针对俾路支省门户的攻击,至少向我们抛出三个信号:执法机构的数据资产正成为地缘情报竞赛的硬通货;软件更新流程的信任被武器化,用户和警察都可能在毫无感知的情况下成为信息泄露的源头;而将多股力量同时吸引到同一脆弱入口的逻辑,与其说是巧合,不如说是目标本身的战略价值使然。
热门跟贴