亚洲国家级黑客组织潜入37国关键网络实施间谍活动

据安全研究人员报告，一个与亚洲国家政府相关的网络间谍组织在持续进行的间谍活动中，成功入侵了37个国家的政府和关键基础设施组织。

该组织总共攻破了至少70个机构，并在其中几个机构中维持了数月的访问权限。

"虽然该组织可能在追求间谍目标，但其方法、攻击目标和行动规模令人担忧，对国家安全和关键服务具有潜在的长期影响，"帕洛阿尔托网络公司Unit 42网络调查团队在周三发布的研究报告中表示。

成功入侵的目标包括五个国家的警察或边境管制机构、一个国家的议会、一名高级民选官员以及国家电信公司。这些间谍还侵入了三个财政部和其他政府机构的系统。

"帕洛阿尔托网络公司Unit 42确认，该威胁行为者成功访问并从受害者邮件服务器中窃取了敏感数据，"Unit 42国家安全项目总监Pete Renals告诉记者。"这些数据包括金融谈判和合同、银行和账户信息，以及重要的军事相关行动更新。"

Renals表示，网络调查团队没有将这些数字入侵行为归因于特定的亚洲国家。

美国网络安全和基础设施安全局已知悉被帕洛阿尔托网络公司识别为TGR-STA-1030的黑客组织。

Unit 42将这个新组织追踪为TGR-STA-1030，并表示他们还观察到这些间谍在2025年11月至12月期间对美洲、欧洲、亚洲和非洲的155个政府进行"主动侦察"。研究人员还记录了2025年7月期间对德国的"集中关注"，在此期间，这些间谍对超过490个托管政府基础设施的IP地址发起连接。

虽然Renals拒绝提供美国具体侦察目标的细节，但他表示"总体而言，我们看到该行为者经常关注财政部、经济部、国防部、外交部和商务部"。

美国联邦调查局没有回应我们的评论请求，但美国网络安全和基础设施安全局(CISA)确认也在追踪这个网络间谍组织。

"网络安全和基础设施安全局已知悉被帕洛阿尔托网络公司识别为TGR-STA-1030的黑客组织，"CISA发言人告诉记者。"我们正在与政府、行业和国际合作伙伴合作，快速检测和缓解报告中识别的漏洞的任何利用。"

这些网络间谍使用钓鱼邮件和微软Exchange、SAP和Atlassian产品中的已知漏洞来获得对受害组织的初始访问。

2025年2月，Unit 42发现了针对欧洲政府的钓鱼活动，使用与部委或部门重组相关的诱饵，其中包括指向托管在mega[.]nz上恶意文件的链接。威胁猎人指出，一个爱沙尼亚政府实体也观察到了这个活动，并将相关的ZIP压缩包上传到VirusTotal的恶意软件存储库。

爱沙尼亚文件名翻译为"警察和边防委员会组织结构变更"。

Unit 42分析了压缩包内容，发现它包含一个原名为"DiaoYu.exe"的恶意软件加载器。这翻译为钓鱼——或在此上下文中的网络钓鱼。虽然大多数加载器检查数十种反病毒产品，但这个只检查五种：卡巴斯基、Avira、比特梵德、SentinelOne和赛门铁克。

这为恶意软件提供了最小的代码足迹，可能是帮助它避免被安全过滤器检测到的一种手段。

调查还发现了一个名为ShadowGuard的新型Linux内核rootkit，据信是这个特定国家级组织独有的。它是一个隐蔽的扩展伯克利包过滤器(eBPF)后门，在内核级别隐藏进程信息、目录和文件，这使得它很难被检测到。

TGR-STA-1030还在其活动中利用现实世界的地缘政治事件，包括2025年10月开始的美国政府关门——在此期间，Unit 42观察到间谍扫描北美、中美洲和南美洲的政府基础设施。

在另一个案例中，研究人员表示，2025年8月，捷克总统彼得·帕维尔在访问印度期间私下会见了达赖喇嘛，在随后几周内，间谍组织开始扫描捷克军队、警察、议会以及内政部、财政部和外交部的基础设施。

此外，在1月3日美军行动抓获委内瑞拉总统尼古拉斯·马杜罗及其妻子后不久，间谍们进行了"针对至少140个政府拥有的IP地址的广泛侦察活动"，Unit 42报告称。

研究人员表示，这个新的国家级组织"仍然是全球政府和关键基础设施的活跃威胁"。

Q&A

Q1：TGR-STA-1030是什么组织，它做了什么？

A：TGR-STA-1030是一个与亚洲国家政府相关的网络间谍组织，在持续的间谍活动中成功入侵了37个国家的政府和关键基础设施组织，总共攻破了至少70个机构，并在其中几个机构中维持了数月的访问权限。

Q2：这个间谍组织主要攻击哪些目标？

A：该组织主要攻击政府机构和关键基础设施，包括国家警察或边境管制机构、国家议会、高级民选官员、国家电信公司、财政部等。研究人员发现该行为者经常关注财政部、经济部、国防部、外交部和商务部。

Q3：TGR-STA-1030使用什么攻击手段？

A：该组织使用钓鱼邮件和微软Exchange、SAP、Atlassian产品中的已知漏洞来获得初始访问。他们还开发了名为ShadowGuard的新型Linux内核rootkit，这是一个隐蔽的eBPF后门，能在内核级别隐藏进程信息、目录和文件。