中国黑客在电信网络攻击中恢复插件

思科塔洛斯（Cisco Talos）的研究人员发现了一项与讲中文的高级持久威胁（APT）演员相关的复杂网络活动，标志着北京不断扩大的数字间谍业务的最新章节。

自2022年以来一直活跃起来的行动是针对中亚和南亚的电信公司和制造公司。其核心是Puglx的改版版本，这是一件臭名昭著的远程接入特洛伊木马（Rat），该版本于2008年首次发现。 

Puginx已部署在全球一些最引人注目的网络攻击中，包括2015年违反美国人事管理办公室。尽管有年龄的增长，但Puginx仍然是中国网络武器库中最有效的工具之一，现在研究人员认为，某些团体甚至可以访问其原始源代码。

发生了什么事？ 

在博客文章中思科塔洛斯（Cisco Talos）将运动充满信心地归因于奈康（Naikon），这是一位活跃的中文威胁演员，自2010年以来一直在运作，并与人民解放军有关。该组织主要针对东南亚的政府，军事和民事组织。

根据思科塔洛斯（Cisco Talos）的说法，新的插件变体与其他两种中国间谍工具（Rainyday and Turian）具有惊人的相似之处，这表明Naikon可能正在与Backtoitordippormacy紧密合作，甚至与BacktoDiptormacy紧密合作，这是另一个以部署Turian Backdoor而闻名的APT。

所有三个恶意软件家族都具有关键特征：使用相同的加密程序和部署先进的抗分析方法，滥用了DLL侧层的合法应用程序。

为什么电信是目标

电信网络是主要的间谍目标，可访问敏感数据，战略通信甚至整个人群。通过渗透这些系统，威胁参与者获得了宝贵的智能，并持续获得关键基础设施。思科塔洛斯（Cisco Talos）发现，一名受害者被妥协了两年多，强调了这些运动的持久性。

参见：中国黑客在少校网络攻击中违反美国国民警卫队

攻击的工作方式

该活动通常始于带有恶意电子邮件或文档的网络钓鱼电子邮件。打开后，攻击者利用DLL侧载 - 将合法应用程序欺骗到加载隐藏的恶意软件中。从那里，Plugx安装后门，日志击键并默默地提取敏感数据。

如何保持保护

安全专家建议高危部门的组织立即采取预防措施：

• 保持Windows系统和应用程序进行更新，以防止DLL局部加载。
• 使用可以检测到异常行为的检测工具，而不仅仅是已知的恶意软件签名。
• 维护强大的密码策略并启用多因素身份验证（MFA）。
• 定期备份系统和关键数据离线。
• 培训员工以识别网络钓鱼电子邮件并避免可疑下载。

更大的图片 

这种新的插件变体的发现强调了亚洲中国互联APT活动的持久性。通过完善诸如Plugx之类的旧工具，而不是放弃它们，中国黑客正在将验证的方法融合在一起，并具有保持隐形和有效的新功能。

随着竞选活动的继续，网络安全专家警告说，在网络范围内，新旧威胁之间的界限越来越模糊，这比以往任何时候都更加关键。