随着全球地缘政治紧张态势的不断加剧,国家之间的隐秘较量不仅限于传统的军事领域,网络空间也成为最新的战场。近期,网络安全公司SentinelOne旗下的威胁情报部门SentinelLABS揭露了一项令人震惊的网络间谍行动,一支怀疑与中国国家安全机关关联的高级网络间谍团体正通过植入恶意后门,默默渗透全球超过75家关键组织网络。这些目标横跨制造业、政府、金融、电信、媒体等关键基础领域,显示出一种针对未来冲突的“战略预置”行为。这场名为PurpleHaze的攻击活动不仅让全球网络安全界震惊,也让各国警觉到复杂且持续的国家级网络威胁。SentinelLABS的调查起点源于2024年10月,当时这支间谍团体试图突破SentinelOne自身的安全防护,意图渗透这家网络安全领导企业的核心基础设施。这一突破尝试虽然被成功阻止,却成为引发深入调查的关键线索。
追踪攻击者使用的恶意软件,专家们发现其中涉及ShadowPad后门。ShadowPad是一款知名的商业化的恶意后门工具,长期以来被多支与中国有关的黑客组织用作网络渗透和情报窃取的利器。通过分析攻击链条,研究人员确认与臭名昭著的APT15及UNC5174两个组织有关联。 APT15,也被称为Ke3Chang和Nylon Typhoon,专注于电信、IT服务、政府机构等高价值目标的深度渗透。UNC5174则与中国国家安全部有紧密联系,长期从事情报收集、数据窃取及网络访问转售操作。两者结合的攻击行动,展现出中国国家网络间谍活动的复杂性和高技术水平。
此次曝光的网络行动发生时间跨度较长,覆盖从2024年7月一直到2025年3月,显示其是一个高度有组织的、持续渗透的间谍活动。攻击者通过利用未知的安全漏洞尤其是2024年9月和10月才公布的关键Ivanti软件漏洞(CVE-2024-8963和CVE-2024-8190),获得初始访问权,这种“零日”攻击的使用说明了攻击团伙的专业能力和迅速的战术部署能力。 涉及的受害者名单广泛且战略价值异常突出。除了政府部门和制造企业之外,甚至包括物流供应链中的IT服务公司,以及一家领先的欧洲媒体集团。媒体集团的入侵令人深思,因为控制信息传播渠道是信息战和舆论操作的重要手段。若战事爆发,控制或扰乱关键媒体网络可对敌方的信息流通造成重大影响,从而在全方位冲突中构筑新的战略优势。
值得注意的是,南亚某政府机构提供的IT基础设施遭受了多次入侵,其中一次成功检出ShadowPad样本,经过逆向工程发现它被使用了ScatterBrain变种进行混淆,加大检测难度。这证实该机构正处于关键安全威胁之中。同时,此地事件成为调查的关键节点,间谍团伙针对该机构进行了多波攻击并使用多款后门工具,包括公开可得的GOREVERSE后门软件,此软件曾被Mandiant关联到UNC5174,使事件整体脉络更加清晰。 从国际安全视角看,此次被曝光的网络潜伏行动极具战略意义。专家普遍认为,这种入侵不仅仅是情报窃取那么简单,更像是为可能爆发的网络或实体冲突提前“布阵”。通过潜伏在多个关键马太资源和指挥控制网络中,攻击方将具备冲突爆发瞬间发动网络攻击、瘫痪敌方关键基础设施的能力,实现快速制衡和干预。
正如SentinelOne研究员所言,此类攻击是“为未来冲突做准备”的前瞻性布局。 此外,监测显示部分攻击链条与先前的SolarWinds供应链攻击手法类似,都试图通过渗透关键服务供应商为进一步攻击作通路。此次SentinelOne自己也差点成为供应链攻击的下一目标,显示攻击者对于全球网络安全产品的高度兴趣和战术眼光。与此同步,多个西方国家的安全机构纷纷发布警示,提醒企业加快防御更新,关注高风险漏洞补丁的部署,强化对后门攻击及网络横向渗透的检测能力。 此次曝光进一步揭示了现代国家级间谍网络的高度复杂化。攻击团伙不仅运用高级持续威胁(APT)策略,还结合了漏洞攻击、后门植入、情报转售和供应链攻击等多种战术,将网络间谍活动推向了一个全新高度。
全球企业尤其是电信、政府及关键基础设施行业必须倍加警惕,提升防护体系的智能化和自动化水平,建立动态威胁响应机制。强化国际情报共享与合作,也成为应对此类跨境网络威胁不可或缺的手段。 总的来看,中国疑似国家背景的网络间谍团体通过植入后门在全球战略关键领域大范围渗透,已经不再是单纯的技术事件,而是国际网络安全竞赛中的重要变数。各国政府和企业需高度重视由此带来的网络安全风险和国家安全挑战,持续加强防御建设,防止网络空间安全形势进一步恶化。未来,随着网络战与信息战的融合,类似PurpleHaze的高级持续威胁行动将成为全球安全新常态,唯有构建强有力的网络韧性,才能在复杂多变的国际博弈中立于不败之地。
