近年来,随着全球数字化进程的不断加快,网络安全威胁日益严峻,尤其是来自国家级威胁行为者的复杂攻击层出不穷。2024年底至2025年初,针对多家国际化高价值目标的攻击活动频繁出现,其中中国相关的威胁行为者表现得尤为活跃。这类行为者不仅关注传统政府和关键基础设施,还将视线投向网络安全厂商等本应守护数字生态的防线。本文将围绕这一现象展开,综合分析情报机构SentinelLABS对相关事件的深入研究,详细解读中国相关威胁群体的行动路径、攻击手法及其背后的战略意义。 SentinelLABS在2024年10月首次发现并成功阻止了一次针对网络安全巨头SentinelOne的侦察行动,该行动被归入名为PurpleHaze的攻击群集之中。随后在2025年初,又揭露并制止了一场与ShadowPad操作平台相关的复杂入侵,这次攻击针对一家负责SentinelOne员工硬件物流的IT服务供应商。
经过对SentinelOne内部IT基础设施、软件和硬件资产的全面审查,确认攻击均未能成功突破该公司的防线。PurpleHaze与ShadowPad这两个活动集群之间存在一定程度的关联,也反映出中国相关威胁行为者在多地多行业持续渗透的历史和能力。 攻击活动的受害者覆盖范围极广,包括南亚政府机构、欧洲传媒组织及全球超过70家不同行业的企业,横跨制造、金融、政府、通信及科研等重点领域。通过技术手段对攻击者所用基础设施、恶意软件及攻击工具的分析,SentinelLABS团队高度确定这类操作源自中国相关的网络威胁群体。其中部分PurpleHaze攻击痕迹与外界已知的APT15和UNC5174组相关联,而ShadowPad的多起攻击则展现出与APT41群体使用的ScatterBrain混淆技术的相似性。 此次研究揭示了中国网络间谍活动者对网络安全厂商的罕见关注。
作为网络安全领域的防御者,厂商的内部环境与客户安全直接挂钩,掌握着庞大的敏感信息和防御能力,自然成为高价值目标。攻击者试图通过入侵安全供应链获取战略优势,强化对下游客户的潜在威胁投射。对于相关防御方而言,透明化威胁信息与跨界合作无疑是抵御此类复杂持续威胁的关键。 PurpleHaze攻击集群涵盖了多个具体事件,包括2024年6月针对南亚政府机构的ShadowPad入侵,以及随后数月中全球范围内发生的系列入侵事件。2024年10月对同一南亚政府实体的新一轮攻击涉及一种名为GOREshell的新型后门工具。该后门基于开源的reverse_ssh技术,采用Go语言编写,且通过garble项目实现了强力混淆。
一项广为关注的技术细节是攻击者利用了DLL劫持漏洞,创建伪装成VMware合法认证服务的恶意Windows服务,进一步实现持久化和远程控制。 该攻击基础设施中,ORB网络尤为重要,这是一个复杂且动态的服务器和代理节点体系,通常由多个中国地区的网络威胁组共用。利用ORB网络,攻击者能够灵活切换和扩展其指挥控制(C2)资源,极大地增加了追踪与防御的难度。事实上,APT15等知名中国国家级威胁团体均被确认与此类基础设施有关联,显著提升了攻击的隐蔽性和持续性。 与PurpleHaze相关的另一大亮点是UNC5174组织的疑似介入。这一团体被认为是中国国家安全机构的一员,专注于利用漏洞快速入侵目标系统。
9月和10月发生的一些攻击活动中,攻击者在公开漏洞CVE-2024-8963和CVE-2024-8190发布前就成功实现利用,显示出相当高的情报先见性和技术能力。使用The Hacker’s Choice(THC)社区开发的工具及自制的GOREshell后门,进一步展现了该团体多样化的工具链和战术策略。 ShadowPad活动则透露出更广泛的全球威胁布局。2024年中开始发现,恶意软件命名为AppSov.exe,利用类似ScatterBrain的代码混淆技术有效隐藏自身特征。该恶意样本的C2通信通过加密的DNS-over-HTTPS实现,增强了流量检测和拦截的难度。情报显示,这些ShadowPad样本往往以DLL形式植入宿主程序中,通过DLL劫持利用系统漏洞悄无声息地获得初始访问权限。
多起攻击都展现了针对Check Point安全网关、Fortinet Fortigate设备的漏洞利用,有效突破关键边界防御。 除了对政府和企业的攻击外,对网络安全公司的直接攻击同样警示意味深长。作为网络生态的“守门员”,网络安全厂商被渗透后的潜在威胁尺度更广,且牵一发而动全身。SentinelOne所遭受的侦查尝试虽然未导致实际入侵,但攻击者背后的动机明确指向建立深度、长期的渗透能力,为将来可能的攻击和情报收集铺路。这警示全球网络安全行业必须持续强化自身的防护措施,严防成为攻击链条中的薄弱环节。 基于对多个攻击事件和攻击工具的深入研究,SentinelLABS强调协同共享情报的重要性。
他们呼吁行业内更多企业摒弃因“声誉担忧”而隐瞒攻击细节的做法,倡导透明与合作作为共同抵御复杂威胁的有效方式。治理网络空间安全愈发依赖于多方力量的合力,单一组织难以独立应对日益严峻的多维度威胁。 从技术层面看,攻击者对恶意软件的设计与使用展现了高度的专业性。ShadowPad混淆技术的迭代、GOREshell后门对多系统(Windows和Linux)的支持以及基于开源及社区工具的灵活组合,都表现出中国相关威胁行为者在持续创新以绕过防御的用心。C2基础设施通过动态域名注册、虚假掩饰以及使用如DuckDNS等免费DNS服务进一步隐藏身份,给防御端带来了极大挑战。 聚焦国内外受害者,南亚政府机构多次成为攻击重点,该机构的特定系统数次被成功部署恶意后门,说明攻击者对关键政治和政策群体的强烈兴趣。
同时,欧洲主流传媒机构也未能幸免,诸多领域和地域的多点攻势显示出其网络威胁的广泛性和跨国性。此外,攻击者对采用Fortinet、CheckPoint、Microsoft IIS等安全设备的广泛入侵突出了整体网络安全生态的脆弱性及复杂性。 总结来看,中国相关的网络威胁行为者针对顶级目标的系列攻击,展示了其精密的组织结构、复杂的技术手段以及持久的战略意图。通过对机器指纹、代码签名、基础设施管理和攻击载体的详尽分析,安全社区得以不断逼近他们的踪迹并制定针对性的防御策略。无论是公开披露的PurpleHaze还是ShadowPad活动,都提醒我们网络攻防博弈从未停歇,唯有携手协作、持续创新与高度警惕,才能有效抵御这些日益严峻的国家级别网络战争威胁。未来网络空间的安全格局,正逐渐成为数字主权与全球治理的大考,业界须深刻认识这场无形战争的长期性和复杂性,筑牢底层防线,守护数以亿计用户的信息安全与隐私权利。
。
