近年来,网络空间已成为国家间、群体间情报争夺的重要战场。特别是对于藏人社区这一敏感群体而言,网络攻击不仅威胁个人隐私,更可能影响社区整体安全与稳定。2025年7月,围绕达赖喇嘛迎来90岁生日,中国背景的高级持续性威胁(APT)组织发起针对藏人社区的两项大规模网络攻击行动,通过伪造达赖喇嘛相关应用程序,成功渗透多个目标系统,实施间谍活动。此类攻击的复杂性与隐蔽性,揭示了现代网络战的新趋势,也提醒信息安全领域持续提升防御能力的重要性。事件起因源自网络攻击者选定藏人群体经常访问的网站,采用“水坑攻击”策略渗透网络。通过入侵合法网站并插入恶意链接,用户在访问时被误导下载带有后门的通讯软件或者“祝福”应用。
该恶意软件不仅表面功能正常,甚至具备加密通讯界面,极具欺骗性,但背后却窃取用户敏感信息,远程控制受害者设备。Zscaler ThreatLabz的安全研究人员将这两波攻击分别命名为“幽灵聊天行动”和“幻影祈祷行动”,揭露了攻击者具体的入侵手法和载荷特征。第一个行动中,攻击者篡改了围绕达赖喇嘛90岁生日的官方网站链接,重定向到伪造页面。该页面诱导访客下载名为TElement的解除加密聊天软件,其实为注入恶意代码的变种。恶意软件利用动态链接库劫持技术加载“Gh0st RAT”,一种功能强大的远程访问木马。Gh0st RAT能实现屏幕录制、键盘记录、文件操作、摄像头和麦克风监控等多项间谍动作,极大威胁受害者的信息安全。
而第二波“幻影祈祷行动”则通过另一个类似域名托管的程序“达赖喇嘛90岁生日全球签到应用”推广,伪装成鼓励社区成员在线为达赖喇嘛献上祝福的互动地图。此应用表面欢迎用户互动,实则后台利用相似的动态链接库技术加载“PhantomNet”后门。PhantomNet后门具备高度模块化设计,通信流量全部采用AES加密,能够根据配置在特定时间段激活,以最大程度隐藏攻击痕迹。分析报告指出,尽管此次样本未启用定时功能,但其设计显现出攻击者追求持久控制和隐秘操作的意图。此类多阶段攻击方案反映出中国APT攻击组织针对藏人社区的高度针对性与策略灵活性。过去两年,多个国内外安全团队均曾观察到名为EvilBamboo、Evasive Panda和TAG-112的中国关联APT团伙积极利用类似手段,聚焦藏人及其海外流散社区,以获取政治、宗教和社会动向。
网络攻击手法日益成熟,涵盖伪造网站、恶意软件下载、植入远控木马、加密通信和隐秘操作,使得藏人社区面临严峻的网络安全挑战。藏人社区成员在日常网络活动中,尤其是在有关宗教节日或重大时间节点,需提高警惕。由于攻击通常伪装成官方或公益页面,建议用户核实访问链接的真实性,谨慎下载任何来源不明的应用程序。同时,社区组织者和安全从业人员应加强网络安全意识教育与技术防护,采用多层次安全防御措施,减少威胁成功的可能性。技术层面,应鼓励受众安装并定期更新官方加密通讯软件,配合强密码和多因素认证增强账户保护。网络安全机构需持续监测类似域名变体及关联恶意基础设施,快速发现并阻断攻击渠道。
同时,全球范围内的网络安全联盟应加强信息共享,推动跨国合作,制约针对敏感群体的有组织网络攻击活动。总的来看,针对藏人社区的APT攻击案例不仅是特定地缘政治博弈在数字空间的延伸,也强调了现代数字时代信息战的复杂性。无论是政府、社区还是普通用户,都须高度关注隐私保护和安全防范,积极应对持续演化的网络威胁。未来,随着技术发展攻击手段将更加隐蔽和多样,建立完善的安全生态体系成为守护少数群体安全不可或缺的任务。面对挑战,唯有团结协作和技术革新,才能保障藏人社区在信息时代的生存与尊严。
