Palo Alto Networks Unit 42的报告直指三个与中国关联的威胁集群,2025年合力瞄准东南亚一政府机构。 行动复杂。资源充足。 他们部署了HIUPAN(又名USBFect、MISTCLOAK或U2DiskWatch)、PUBLOAD、EggStremeFuel(又名RawCookie)、EggStremeLoader(又名Gorem RAT)、MASOL RAT、PoshRAT、TrackBak Stealer、RawCookie、Hypnosis Loader和FluffyGh0st等多种恶意软件。 第一个集群是Mustang Panda,又称Stately Taurus。时间跨度从2025年6月1日到8月15日。 他们用USB恶意软件HIUPAN投放PUBLOAD后门,通过伪造DLL Claimloader实现。Claimloader首现于2022年底,针对菲律宾政府机构。 受害网络还挖出COOLCLIENT后门,已归属Mustang Panda三年有余。它能下载上传文件、记录按键、隧道数据包、抓取端口映射。 第二个集群CL-STA-1048,从2025年3月到9月活跃。跟Earth Estries和Crimson Palace重叠。 工具噪音大。EggStremeFuel是个轻量后门,支持文件下载上传、目录枚举、正反向壳启动、发全球IP、更新C2配置。 EggStremeLoader由它启动,支持59条后门命令,大量窃取数据。其中变种用Dropbox传文件。 MASOL RAT(又名Backdr-NQ)远程访问木马,能下载上传文件、执行任意命令。 TrackBak窃取器收集日志、剪贴板、网络信息、硬盘文件。 第三个集群CL-STA-1049,2025年4月和8月动手。跟Unfading Sea Haze重叠。 他们用新DLL加载器Hypnosis Loader,通过DLL侧加载,最终装FluffyGh0st RAT。 CL-STA-1048和1049的初始入侵路径不明。 Unit 42研究员Doel Santos和Hiroaki Hara说,这些集群战术、技术、程序(TTPs)跟已知中国关联行动高度重合。目标一致。可能协调。 他们追求持久访问。非短期破坏。 Mustang Panda那波,USB是关键载体。HIUPAN伪装成正常驱动,Claimloader藏在DLL里悄然加载PUBLOAD。PUBLOAD再拉COOLCLIENT。链条严丝合缝。 CL-STA-1048更野蛮。EggStreme框架双管齐下,Fuel负责初步 foothold,Loader深挖59命令。想想看,文件全扫,命令随意跑,Dropbox还当快递员。 MASOL和TrackBak补刀,前者远程控盘,后者偷情报。噪音虽大,东南亚政府网防线估计扛不住。 CL-STA-1049玩精致。Hypnosis Loader侧载启动,FluffyGh0st上位。RAT家族老将,持久潜伏专家。 Unit 42强调,三个集群汇合指向战略统一。东南亚政府敏感网络成猎物。 中国关联黑客近年东南亚下手频繁。菲律宾2022那次Claimloader,就预示今天规模。 Mustang Panda爱USB,历史悠久。COOLCLIENT功能全,隧道端口抓包,情报价值爆表。 CL-STA-1048重叠Earth Estries,Crimson Palace那些名头,说明情报共享。TTPs如出一辙:文件操作、壳执行、C2更新。 Unfading Sea Haze的影子在CL-STA-1049身上。Hypnosis Loader新货,DLL侧载常见却高效。FluffyGh0st专偷长期驻扎。 东南亚政府醒醒。2025年这波,时间拉长半年多,集群分工明确。资源堆叠,防不住持久战。 Unit 42数据来自受害网络剖析。重叠活动指向协调。不是散兵游勇。 黑客圈子传,东南亚军事目标也挨刀。中国关联团伙用AppleChris和MemFun恶意软件盯军方。网络战升级。 政府网成香饽饽。数据窃取为主。RAT横行,stealer狂捞。 防护得升级。USB封杀,DLL监控,C2流量猎杀。否则,2026年再来。 情报重叠多。Unit 42钉死关联。东南亚别掉以轻心。