中国黑客三度渗透阿塞拜疆油企，微软Exchange成突破口

一个与中方有关联的黑客组织悄然潜入阿塞拜疆一家石油天然气公司，利用未修补的微软Exchange服务器漏洞，在内部网络植入多个后门程序。这起攻击从2025年12月下旬持续至2026年2月下旬，是迄今记录在案的最详细的中国APT（高级持续性威胁）针对南高加索地区能源基础设施的入侵事件之一。

攻击者并未止步于单次尝试。他们三次重返同一台被攻陷的Exchange服务器，每次更换恶意软件家族，并在防御者试图清除时调整战术。这种 persistence（持久化）特征表明这是一场蓄意、持续的间谍活动，而非 opportunistic（机会主义）的偶发入侵。

Bitdefender的研究人员追踪了全部三波活动，以中高置信度将此次入侵归因于FamousSparrow组织，并指出其与Earth Estries威胁集群存在显著重叠。时间点的选择并非偶然——2024年俄罗斯与乌克兰的过境协议到期后，阿塞拜疆已成为欧洲关键的天然气供应国；而2026年初霍尔木兹海峡的中断进一步减少了替代能源来源。

攻击行动分阶段部署了两类不同的后门家族：Deed RAT和Terndoor。攻击者还引入了一种进化版的DLL sideloading（侧加载）技术，专门设计用于规避自动化安全分析——这种 sophistication（复杂程度）在此类恶意软件家族关联的既往行动中极为罕见。

入侵的最早迹象可追溯至2025年12月25日，当时微软Exchange的IIS工作进程试图向服务器的公开可访问目录写入一个web shell（网络外壳程序）。这一动作利用了ProxyNotShell漏洞利用链，即两个编号为CVE-2022-41040和CVE-2022-41082的漏洞，允许攻击者在未修补的Exchange服务器上实现未经身份验证的远程代码执行。

随后的数日内，攻击者投放了多个web shell，文件名包括key.aspx、log.aspx、errorFE_.aspx和signout_.aspx。这些工具为其提供了可靠的据点，用于下发命令和部署后续载荷。

攻击者随后部署了一个三组件恶意软件链，使用伪装成合法LogMeIn Hamachi VPN应用程序的文件以降低警惕。加载器文件LMIGuardianDll.dll被放置于真正的LogMeIn二进制文件旁，在正常启动过程中被侧加载。Deed RAT载荷存储于名为.hamachi.lng的加密文件中，使用AES-128和RC4在内存中解密。

攻击者还创建了一个模仿LogMeIn Hamachi的Windows服务，在每次重启时自动启动恶意软件，锁定持久化访问权限。

此次行动的突出特征在于用于隐藏Deed RAT加载器的进化版DLL sideloading技术。与典型的侧加载技术不同，该加载器采用了多阶段解密流程，并包含反分析检查以检测沙箱环境。这种技术演进表明该组织在积极改进其工具集以应对现代安全防御。

在三波攻击中的第一波，攻击者主要依赖Deed RAT进行远程访问和控制。该后门支持文件操作、进程管理、屏幕捕获和键盘记录等功能，并通过自定义加密协议与其 command-and-control（命令控制）服务器通信。

当防御者在2026年1月初发现并清除初始入侵痕迹后，攻击者于1月中旬再次返回，这次携带了Terndoor后门。与Deed RAT不同，Terndoor更轻量、更隐蔽，专注于维持访问而非功能丰富性。这种切换策略表明攻击者根据防御响应动态调整其工具选择。

第三波攻击发生在2026年2月，攻击者再次更换工具组合，重新引入Deed RAT的变体版本，并辅以新的持久化机制。这种"打地鼠"式的反复入侵凸显了关键基础设施防御者面临的挑战：即使单次清除成功，经验丰富的APT组织仍可能通过未被发现的访问向量重新渗透。

从战术层面看，此次行动展示了几个值得注意的模式。首先是对合法软件品牌的滥用——LogMeIn Hamachi的伪装不仅用于初始部署，还贯穿于持久化机制的设计。其次是攻击者对运营安全的重视：三波攻击使用了不同的基础设施，command-and-control服务器的IP地址和域名均无重叠，增加了追踪难度。

目标选择同样具有战略意义。阿塞拜疆的Shah Deniz气田是南部天然气走廊的核心，该管道系统直接向意大利、希腊、保加利亚等国输送天然气。2026年初的供应中断已导致欧洲天然气价格剧烈波动，任何关于产能、维护计划或基础设施脆弱性的情报都具有极高价值。

Bitdefender的报告未明确说明攻击者是否成功窃取特定数据，但指出其在网络内部的 dwell time（停留时间）足以完成大规模数据收集。攻击者访问了包括工程文档、生产数据和内部通信系统在内的多个关键系统。

此次入侵也暴露了能源行业的一个持续软肋：Exchange服务器作为企业邮件和协作的核心组件，常因业务连续性考虑而延迟修补。ProxyNotShell漏洞虽已于2022年底披露，但两年后的今天仍在被利用，说明补丁管理在运营技术（OT）环境中的执行难度。

FamousSparrow的既往活动主要集中于酒店、政府和外交目标，此次能源基础设施的针对性入侵标志着其目标范围的显著扩展。与Earth Estries的关联则进一步将其置于一个更广泛的威胁生态系统中——该集群被认为与多个中国APT组织共享工具、基础设施和战术。

防御建议方面，报告强调了网络分段的重要性：将Exchange服务器与运营技术网络隔离，可限制此类入侵的横向移动空间。同时建议对IIS日志实施增强监控，特别是涉及w3wp.exe进程写入.aspx文件的异常行为。

此次行动的完整时间线——从2025年圣诞节的初始入侵，到2026年2月的第三波攻击——跨越了西方假期和新年期间，这一时段通常伴随安全运营人员的减少。攻击者对时间窗口的精准利用，进一步体现了其运营成熟度。

随着地缘政治紧张持续重塑全球能源格局，针对供应关键节点的网络间谍活动预计将进一步升级。此次入侵的详细记录为防御者提供了一个难得的窗口，得以观察一个成熟APT组织在目标环境中的完整攻击周期——从初始立足到持久化对抗，再到多波次的适应性重返。