随着全球数字化进程的加速和信息技术广泛应用,网络攻击手段也日益多样化和复杂化。2025年,名为ShadowSilk的攻击组织引起了网络安全领域的高度关注,该组织针对中亚及亚太地区的35个组织发起了精准且隐蔽的网络入侵行动。其主要目标是政府机构,同时涉及能源、制造、零售和交通等多个关键行业。这一系列事件不仅揭示了地区网络威胁形势的严峻,也强调了对先进持久威胁(APT)团伙的持续防范与识别的重要性。 ShadowSilk的攻击特征极其独特,最引人瞩目的是其利用Telegram机器人隐藏指挥控制(C2)通信,巧妙地规避传统安全检测。攻击者通过鱼叉式钓鱼邮件发送密码保护的压缩包,使得恶意负载得以顺利投放到目标系统。
随后,一个定制的加载程序释放恶意软件,通过修改Windows注册表实现恶意程序随系统重启自动运行,从而保持在受害网络的持续存在。此类技术组合显示了ShadowSilk深厚的攻击研发实力和对网络防御体系的深刻认知。 据新加坡网络安全公司Group-IB的研究报告指出,ShadowSilk背后的团队呈现出两种语言的协作特征,由擅长俄语的开发人员基于YoroTrooper遗留代码进行恶意软件开发,同时中国语系操作人员主导渗透攻击执行。YoroTrooper本身是一个自2021年以来活跃的威胁团伙,其目标多为政府、能源及国际组织,且具备明显的地理与语言特征。ShadowSilk的出现,不仅代表了该团伙的最新演进形态,也突显多语种背景协同攻击的复杂模式和全球化网络安全斗争的多面态势。 ShadowSilk攻击的地域范围涵盖了乌兹别克斯坦、吉尔吉斯斯坦、缅甸、塔吉克斯坦、巴基斯坦和土库曼斯坦。
目标机构多为政府组织,反映了攻击者强烈的情报收集及干扰意图。同时,能源、制造、零售和交通行业的涉猎也表明该团伙意图扩大影响力,针对国家关键基础设施和经济命脉发起攻击。攻击所用的工具链十分丰富,涵盖信息侦察工具如FOFA和Fscan,渗透目录搜索工具Gobuster与Dirsearch,以及Metasploit和Cobalt Strike等高级攻击框架。这些工具的结合使得ShadowSilk具备强大的渗透与横向移动能力。 值得关注的是,ShadowSilk还积极利用公开漏洞进行入侵,如Drupal的CVE-2018-7600和CVE-2018-76020漏洞,以及最新发现的WordPress WP-Automatic插件中的CVE-2024-27956漏洞。这些漏洞的利用不仅展示了攻击者对最新安全动态的敏锐把握,还反映了其快速集成漏洞利用技术以加快攻势的策略。
除此之外,该组织还从暗网购入了JRAT和Morf Project这类现成的网络管理面板,以及专门用于盗取Chrome浏览器密码存储及解密密钥的工具。 ShadowSilk入侵成功后,常部署Web Shell工具如ANTSWORD、Behinder、Godzilla和FinalShell,以便于远程控制和内网横向延伸。同时,其使用基于Sharp框架的后渗透工具和诸如Resocks、Chisel的隧道工具,进一步扩大恶意活动范围,实现权限提升和数据窃取。恶意操作程序下载Python语言的远程访问木马(RAT),该木马通过Telegram机器人接收指令及上传数据,将恶意通信伪装为正常消息流量,轻松绕过流量检测和安全分析。 其他攻击技术还包括Cobalt Strike和Metasploit模块截屏与启用摄像头捕捉受害者画面,以及定制PowerShell脚本扫描指定文件扩展名,将目标文件打包成ZIP格式上传至外部服务器。这些细致且全面的攻击手段表明ShadowSilk具备高效的数据窃取和远程监控能力,对受攻击组织的安全防护构成巨大威胁。
Group-IB的分析还揭示了ShadowSilk操作团队的双语特点:中国语操作者使用中文的漏洞扫描器,工作站截图中显示中文输入法,且频繁访问和自动翻译吉尔吉斯斯坦政府网站,表明华语操作者在攻击链的实际操作环节占据主要角色。另一方面,俄语开发者负责核心载荷编写和漏洞利用模块开发。这种跨语言、跨区域的协作,为ShadowSilk构建了灵活且具高度隐蔽性的攻击能力。 当前调查显示,ShadowSilk仍保持高度活跃,2025年7月仍有新的受害者被确认。该团伙选择政府部门作为重点攻击对象,不仅因其数据的价值高,还因政府机构的系统通常涉及敏感信息和关键基础设施,一旦被入侵,可能引发诸多国家安全与社会稳定问题。此外,能源、制造等行业受害,进一步加剧了潜在的经济与社会影响力。
面对ShadowSilk带来的威胁,中亚及亚太区域组织亟需加强网络安全防护,包括强化员工安全意识,阻断鱼叉式钓鱼邮件传播路径,及时修补Drupal、WordPress及其他关键业务系统漏洞。同时,应部署更先进的威胁检测技术,监控异常Telegram流量,以侦测隐藏的命令及控制活动。对已被攻破的系统,及时隔离和根除阴影工厂,防止二次感染和数据泄露。 ShadowSilk事件凸显了国际网络空间中复杂多变的安全态势。跨语言、跨区域的协作攻击模式,以及对社交平台(如Telegram)进行技术性利用的新趋势,表明未来威胁将更加隐秘且难以防范。区域国家应通过共享威胁情报、联合应急响应和技术人才培养,加强整体防御能力。
与此同时,政府与企业需共同推动网络安全标准建设,形成有效的安全治理体系,增强关键基础设施的韧性。 总结而言,ShadowSilk对中亚及亚太地区多个重要组织的攻击提醒我们,网络安全环境正处于持续演变与升级阶段。高级持续性威胁团伙不断更新战术,利用各种最新工具与平台隐藏攻击轨迹,提升破坏力和隐蔽性。唯有不断完善安全防护策略、加大技术投入及跨界合作,才能有效遏制此类威胁,保障区域信息安全与社会稳定。
