帕洛阿托网络公司因担忧报复，黑客报告避提中国

帕洛阿托网络公司近日选择不将中国与其曝光的一场大规模全球网络间谍活动联系起来，原因是担心该公司或其客户可能面临北京报复。两位知情人士向路透社透露了这一消息。

这家网络安全公司的 Unit 42 威胁情报部门于 2 月 6 日发布报告，详细描述了一个追踪代号为 TGR-STA-1030 的黑客组织。该组织据称对几乎所有国家进行了侦察，并成功入侵了 37 个国家的政府和关键基础设施组织。报告草稿版本称这些黑客与北京有关，但最终版本则更加含糊地将他们描述为“在亚洲活动的国家关联组织”。

在中国当局以国家安全为由，于 1 月份禁止约 15 家美国和以色列公司（包括帕洛阿托网络公司）的网络安全软件后，该公司决定弱化归因表述。消息人士称，由于担心禁令以及可能对在华员工或其他地区客户造成的潜在影响，公司高管下令做出这一改变。帕洛阿托在中国设有五个办事处，包括北京、上海和广州等地，LinkedIn 上显示有 70 多名自我认证的员工在中国工作，其中包括工程师和客户经理。

尽管报告避免直接点名中国，但其中包含了几条指向北京参与的线索。研究人员指出，黑客的活动时间与 UTC+8 时区一致（包括中国），并且似乎在捷克总统与达赖喇嘛于 8 月会面后，针对捷克政府基础设施发起攻击。该组织的恶意软件加载器最初被命名为“DiaoYu”，即中文“钓鱼”的拼音。

独立研究人员证实了与中国的关联。SentinelOne 的高级威胁研究员汤姆·黑格尔表示：“我们的评估是，这是与中国有关的更广泛全球行动模式的一部分，旨在获取北京感兴趣的组织的情报和持久内部访问权限。”中国驻华盛顿大使馆则回应称，反对“一切形式的网络攻击”，并补充说，攻击溯源是“一个复杂的技术问题”，敦促各方“基于充分证据而非毫无根据的猜测和指控来定性网络事件”。

这起事件凸显了拥有全球业务的网络安全公司在考虑是否公开指认国家支持的黑客攻击时所面临的两难困境。约翰斯·霍普金斯大学研究网络归因问题的教授托马斯·里德说：“公开指名道姓一直都是有风险的。如果你在当地有员工，就像大公司那样，这就是一个额外的考量因素。你是否会让自己的员工——你的当地员工——面临风险？”帕洛阿托过去曾将黑客攻击归因于中国，最近一次是在 2025 年 9 月，消息人士称 Unit 42 研究人员基于取证证据确信新发现的攻击活动也与中国有关。该公司拒绝对此事发表评论。