近年来,随着云计算和电信行业的迅速发展,这些领域也成为网络攻击的高发区,其中中国背景的黑客组织Murky Panda、Genesis Panda和Glacial Panda尤为活跃。它们通过各种技术手段不断升级针对企业和政府机构的攻击,尤其是在云环境和电信基础设施中实施间谍活动,其威胁愈加显著且复杂。Murky Panda,也被称为Silk Typhoon(前称Hafnium),是中国网络间谍活动中的重要代表。这一组织以其对微软Exchange服务器零日漏洞的成功利用而闻名,曾在2021年发动大规模攻击,影响政府、科技、学术和法律等多个行业的关键实体。近期,Murky Panda更倾向于攻击信息技术供应链,通过入侵云服务供应商搭建的信任关系,获取对目标企业网络的访问权限。CrowdStrike指出,该组织擅长快速利用零日及利用存在多年的N日漏洞入侵,攻击手法包括针对公开暴露的设备以及小型办公与家庭办公设备的渗透,利用这些设备作为中转节点以躲避检测。
Murky Panda的攻击路径多样,涉及对Citrix NetScaler ADC和Gateway(CVE-2023-3519)、Commvault(CVE-2025-3928)漏洞的利用。成功入侵后,该组织会部署名为neo-reGeorg的网络Shell以实现持久化,并植入自定义恶意软件CloudedHope。CloudedHope是用Golang编写的64位ELF二进制远程访问工具(RAT),设计上具备抗分析功能及OPSEC措施,如修改时间戳和清除痕迹,尽量避免被安全团队察觉。Murky Panda攻击的一个独特方面是其对云端合作伙伴及SaaS供应商之间信任关系的滥用。他们通过零日漏洞突破供应商的云环境,随后横向移动至下游目标。例如,2024年底的一起事件中,他们入侵了北美一家公司供应商的Entra ID租户权限,创建了临时后门账号,并篡改了与Active Directory管理及邮件相关的服务主体,从而重点访问企业邮件系统,实现情报收集。
Genesis Panda是另一支同样熟练操控云服务环境的中国关联黑客团体,该集团自2024年初起活跃,主要针对金融服务、媒体、电信与科技行业,涉及逾11个国家。其作案目的同样以情报搜集为核心,尽管数据窃取量有限,却能够通过大量漏洞攻陷初始访问点,进而利用云端控制面板(cloud control plane)实现横向渗透和持久化。Genesis Panda经常查询云端实例元数据服务(IMDS)以窃取凭证,利用被破坏的虚拟机凭证,进一步深入受害者云账户。这体现了这些黑客日益成熟的能力,不仅能高效突破云环境,还能巧妙隐蔽行动,确保长期秘密掌控目标系统。相较之下,Glacial Panda针对的目标主要集中在电信行业。电信系统因富含海量用户通信数据,一直是情报收集的重中之重。
CrowdStrike报告显示,过去一年中针对电信行业的国家级网络攻击增长达130%,其中Glacial Panda横空出世,广泛活跃于亚洲、非洲与美洲多个国家和地区。他们主要锁定使用Linux及传统电信技术操作系统的目标,攻击起点通常利用互联网暴露的服务器漏洞或弱密码入侵,接着通过升级利用漏洞(如臭名昭著的Dirty COW及PwnKit)提升权限。Glacial Panda的作战风格中体现了“利用本地工具生存”(Living-off-the-Land,LotL)策略,这种方式降低了攻击活动的可识别性。同时,该组织还部署了代号为ShieldSlide的嵌入式开源SSH组件,通过钓鱼式的Trojan化程序窃取用户认证信息和登录会话。ShieldSlide不仅可以隐藏身份,还能通过内置密码认证任何账户,包括特权账户root,实现远程后门访问。这些隐蔽而高效的工具极大增强了攻击成功率,并且使得应急响应变得更加困难。
这些中国黑客组织针对云计算及电信行业的攻击活动展现了显著的组织化、技术创新和持久性特征。通过多样化的入侵模式和对全新对手技术的快速适应,它们不仅提升了入侵效率,也增强了隐蔽性。与此同时,针对供应链及合作伙伴间的信任链条发起攻击,成为突破传统防护体系的一大挑战。这种趋势揭示出,作为数字经济中枢的云和电信基础设施正处于网络对抗的最前沿,安全防护亟需创新和升级。面对Murky Panda、Genesis Panda和Glacial Panda等高度专业化的威胁,企业和政府机构必须强化多层次安全策略,包括及时修补漏洞、强化身份及访问管理、加强供应链安全防护与监控,同时采用行为分析与持续威胁检测技术,才能有效提高防御能力。此外,加强国际合作和情报共享成为遏制此类跨境网络攻击的关键因素。
全球网络安全社区需携手应对高度复杂且持续演化的威胁,协同打造更加坚固的网络防线。综上所述,中国三大黑客组织Murky Panda、Genesis Panda与Glacial Panda利用云计算和电信行业的技术优势,展开大规模、高隐蔽性的间谍活动,成为当前网络安全领域的重要隐患。只有通过全方位提升防御能力和跨机构协作,才能抵御日益严重的网络间谍威胁,保障关键基础设施和企业的信息安全,推动全球数字化转型的稳健发展。
