亚洲黑客组织渗透全球70个机构，地缘政治成攻击焦点

根据Palo Alto Networks的最新研究，一个与亚洲民族国家有关的网络间谍活动在过去一年中已渗透至少37个国家的70个组织。研究人员称，这是自2020年SolarWinds事件以来规模最大的单一政府黑客组织攻击活动。

该网络安全公司的Unit 42研究团队将这个威胁组织命名为TGR-STA-1030。报告指出，该组织成功攻破了五个国家级执法和边境管控机构、三个财政部、一个国家议会，以及另一国的一名高级民选官员。攻击者主要针对负责外交、贸易、自然资源和经济职能的政府机构。

受害目标遍布四大洲，包括巴西矿业和能源部、捷克共和国议会和军方、一名印度尼西亚政府官员，以及一家台湾电力设备供应商。受影响国家横跨美洲、欧洲、亚洲和非洲，如玻利维亚、墨西哥、巴拿马、塞浦路斯、马来西亚、刚果共和国、吉布提和赞比亚。Unit 42威胁情报部门首席安全研究员彼得·雷纳尔斯告诉Axios，美国和英国的政府机构及关键基础设施并未受到此次攻击活动的影响。他表示：“他们在有效地锁定目标、收集情报并实施间谍活动，同时又不会越界引起过度关注。”

报告还显示，在2025年11月至12月期间，该组织对155个国家的基础设施进行了大规模漏洞扫描，这表明他们正在为未来的攻击做准备。研究人员指出，攻击者一旦获得初始访问权限，就会利用这一立足点在系统内横向移动，并随着时间推移建立持久的网络访问能力。Palo Alto Networks还发现了一个此前未被记录的Linux内核rootkit，该rootkit使攻击者能够在内核级别隐藏进程和文件，大大增加了检测难度。

根据Unit 42研究人员的分析，这些攻击的时机选择表明，攻击者重点关注经济情报，特别是涉及矿业、稀土材料、贸易政策和外交关系的情报。该组织似乎密切追踪地缘政治动态：在有报道称中国对墨西哥的关税计划启动贸易调查后不久，研究人员就检测到针对墨西哥两个部委的恶意流量。在洪都拉斯2025年全国大选前一个月，黑客攻击了该国的政府基础设施，而当时两位总统候选人都曾表示有意恢复与台湾的外交关系。在捷克总统彼得·帕维尔会见达赖喇嘛之后，攻击者对捷克军队、警察、议会和多个部委相关的基础设施进行了探测。

Palo Alto Networks并未直接将这些攻击归因于任何特定国家，但将这次行动描述为“一个来自亚洲、与国家结盟的组织”所为。该公司指出，这些攻击的战略利益和目标选择与此前被归因于中国政府的攻击具有相似性。该公司表示，已与37个受影响国家和行业合作伙伴进行了沟通，并警告该组织仍在活动中。