3支中国黑客小队同时潜入，东南亚政府内网被"合租"了90天

2025年6月到8月，某东南亚国家政府网络里同时住着三组不同的黑客。他们互相不知道彼此的存在，用着完全不同的工具，却盯着同一个目标。

这不是电影剧本。Palo Alto Networks旗下Unit 42团队最近披露了这起罕见的"多租户"入侵事件——三个与中国有关联的威胁组织，在同一时间、同一网络里各自为战，像合租公寓的室友一样互不打扰。

USB蠕虫打头阵，政府内网被"物理渗透"

第一组人马来自Stately Taurus，这是个老练的APT组织。他们没有选择传统的钓鱼邮件，而是派出了一个叫USBFect的USB蠕虫（也被标记为HIUPAN）。

这个蠕虫的设计很朴素：一旦有人把U盘插进政府电脑，它就自动复制自己到所有连接的移动存储设备。下次这个U盘插到另一台机器，感染继续扩散。

在物理隔离或半隔离的政府网络里，USB往往是数据交换的唯一通道。Stately Taurus看准了这个盲区。USBFect成功渗透后，会释放PUBLOAD后门，为长期潜伏铺路。

这种手法让我想起一个老梗：最安全的系统，往往败给最原始的介质。2025年了，USB蠕虫还能在政府网络里横行，说明"物理安全"四个字在某些地方仍是摆设。

第二支小队带了"全家桶"，连Edge日志都是假的

与此同时，第二组黑客CL-STA-1048正在同一网络里忙活。他们的工具箱丰富得多：EggStremeFuel后门、Masol远程控制木马（RAT）、EggStreme加载器、Gorem RAT，还有一个叫TrackBak的数据窃取工具。

TrackBak的伪装手法值得一提。它把自己打扮成Microsoft Edge的日志文件，藏在系统角落里，默默记录键盘输入、剪贴板内容、网络数据和连接存储设备上的文件。

换句话说，政府工作人员复制粘贴的密码、临时记下的会议笔记、从机密电脑拷到U盘的文件，全被这个"Edge日志"看光了。

Unit 42发现，CL-STA-1048与Earth Estries组织以及Crimson Palace行动有明显关联。这些都是近年活跃的中国背景APT，擅长针对东南亚政府和外交目标。

第三组玩"催眠"，新加载器首次亮相

第三支小队CL-STA-1049选择了更隐蔽的路线。他们使用了一个全新发现的加载器Hypnosis，静默部署FluffyGh0st RAT。

相比前两组的张扬，CL-STA-1049的工具链更精简，攻击痕迹更少。这种"轻量化"策略可能是为了避免与另外两组"撞车"——毕竟，三个黑客团队挤在同一个网络里，谁先暴露都可能连累其他人。

研究人员指出，CL-STA-1049与Unfading Sea Haze组织高度重叠。后者是2024年才被发现的新锐APT，主要瞄准东南亚海军和海事机构。

三组人马，三种技术路线，同一个猎物。这种"多线程"攻击模式在APT历史上并不常见。

"合租"背后的信号：目标优先级高于一切

Unit 42的分析有个关键判断：这三组活动虽然工具不同，但战术目标高度一致——都是追求对该政府网络的长期持久访问。

他们没有互相干扰，也没有争夺控制权。这种克制暗示了一种可能性：松散协调的威胁行为者正在共享目标清单、基础设施，或接受统一的战略方向。

用产品经理的话说，这像是三个独立开发团队接到了同一个PRD（产品需求文档），各自用不同技术栈实现，最终交付到同一个生产环境。

对防御方来说，这是最糟糕的噩梦。传统的入侵检测假设攻击者是单一实体，一旦发现一组指标就以为"破案了"。但在这个案例里，清除Stately Taurus的USB蠕虫，对另外两组毫无影响；封堵CL-STA-1048的C2服务器，CL-STA-1049仍在暗处。

90天的共存期里，攻击者 layered in（分层部署）了键盘记录器、剪贴板窃取器、文件收集器和反向shell。他们可以绘制内网拓扑、监控通信流、定位敏感材料，而这一切都不会触发明显的告警。

东南亚为何成为"APT合租"热门地段

这不是中国背景APT第一次扎堆东南亚。2023年以来，越南、印尼、菲律宾、马来西亚的政府和军方机构频繁遭遇多组织协同打击。

地缘政治因素很明显：南海争议、基础设施投资、稀土供应链——东南亚同时是战略要冲和经济走廊。对情报收集者来说，这里的政府网络是高价值目标中的"刚需盘"。

但技术层面还有个被低估的变量：东南亚许多国家正在经历数字化跃迁，政府IT系统的复杂度快速上升，但安全运营能力没有同步跟上。新旧系统混杂、供应链审查薄弱、人员流动频繁——这些条件对APT来说，比直接攻击欧美目标更"友好"。

USBFect的得手尤其说明问题。在零信任架构喊了多年的今天，一个靠U盘传播的蠕虫还能成为国家级入侵的突破口，这不是技术差距，是执行差距。

Unit 42没有披露具体受害国家的名称，这是行业惯例。但从攻击时间窗口（2025年6-8月）和工具特征来看，这起事件很可能与同期公开的某东南亚国家数据泄露事件有关——当时该国政府承认"部分系统遭未授权访问"，但否认核心数据外泄。

现在我们知道，"未授权访问"的参与者至少有三组，持续了三个月，用了五种不同的RAT和后门。核心数据到底有没有出去？只有攻击者清楚。

防御建议的部分，Unit 42列得很常规：禁用自动播放、监控USB设备、分段网络、行为检测。但真正的难题是组织层面的——当三个APT在你网络里开派对时，你的SOC（安全运营中心）能不能分辨出这是三拨人，而不是一拨人的三次变装？

这次事件给出一个冷峻的参照：2025年的政府级网络防御，对手可能不是"一个黑客团队"，而是一个松散的攻击者联盟，共享目标、分工协作、互不干扰。你准备好同时打三场仗了吗？