2024年3月，某東南亞國家軍方的終端安全軟件突然報警——PowerShell（一種命令行工具）在無人值守的設備上異?；钴S。調(diào)查人員順著這條線索挖下去，發(fā)現(xiàn)了一個讓他們脊背發(fā)涼的真相：攻擊者早在2020年就已潛入，且從未離開。

這不是普通的網(wǎng)絡入侵。安全公司PolySwarm將這場持續(xù)四年的間諜行動命名為CL-STA-1087，其目標直指東南亞多國的軍事指揮體系。 Palo Alto Networks旗下Unit 42團隊發(fā)布的報告顯示，攻擊者的胃口很刁鉆——他們不追求數(shù)據(jù)量，只盯著戰(zhàn)略情報和作戰(zhàn)信息下手。

6小時一次的"呼吸節(jié)奏"

CL-STA-1087的隱蔽性體現(xiàn)在它對"時間"的精密控制。攻擊腳本被設計成每6小時才執(zhí)行一次操作，這種刻意放緩的節(jié)奏專門用來欺騙自動化檢測系統(tǒng)——后者通常只關注短時間內(nèi)激增的異常流量。

investigators（調(diào)查人員）在初期排查時一度誤判為"新發(fā)生的入侵"，直到發(fā)現(xiàn)延遲執(zhí)行腳本早已植入，并持續(xù)向多個命令控制（C2）服務器回傳數(shù)據(jù)。這種"慢燉"式的潛伏策略，讓攻擊者在目標網(wǎng)絡里住了近四年才被發(fā)現(xiàn)。

攻擊工具同樣經(jīng)過定制。主后門程序AppleChris的動態(tài)配置堪稱狡猾：它從Pastebin（一個代碼分享網(wǎng)站）實時獲取C2服務器地址，早期版本還用過Dropbox（云存儲服務）作為備用通道。這意味著即使安全團隊封禁了某個IP，攻擊者只需更新Pastebin上的內(nèi)容就能恢復通信，無需重新感染目標。

配套工具MemFun承擔輔助后門功能，而Getpass則是Mimikatz（知名憑據(jù)竊取工具）的改裝版，專門用于收割登錄憑證。三者分工明確，構(gòu)成了一套完整的間諜工具鏈。

UTC+8的"上班打卡"

Unit 42的分析師注意到一個耐人尋味的細節(jié)：攻擊者的操作時間高度規(guī)律，幾乎完全對齊UTC+8時區(qū)的標準工作時間。他們的基礎設施也留下了更多痕跡——部分C2環(huán)境使用簡體中文界面，且依賴中國境內(nèi)的云服務。

這些指標并未指向某個已命名的特定組織，但綜合評估后，Unit 42以"中等置信度"將其歸因于中國背景的黑客團體。這種謹慎的措辭在威脅情報領域并不常見，反襯出攻擊者在身份隱藏上的成功。

橫向移動階段暴露了攻擊者的真實目標清單。他們利用Windows管理規(guī)范（WMI）和原生.NET命令，將惡意軟件推送至域控制器、Web服務器、IT工作站以及高管系統(tǒng)——全是軍事網(wǎng)絡中的高價值節(jié)點。更關鍵的是，他們對C4I系統(tǒng)（指揮、控制、通信、計算機與情報）表現(xiàn)出持續(xù)興趣，這類系統(tǒng)是現(xiàn)代軍事決策的神經(jīng)中樞。

持久化機制的設計同樣老練。攻擊者在system32目錄（Windows核心系統(tǒng)文件夾）內(nèi)放置惡意動態(tài)鏈接庫（DLL）文件，通過劫持合法Windows服務的加載流程實現(xiàn)自啟動。這種"寄生"手法讓惡意代碼獲得了系統(tǒng)級的信任背書，常規(guī)巡檢很難察覺異常。

沉默數(shù)月后的"復工"

CL-STA-1087并非持續(xù)高調(diào)活動。Unit 42的追蹤顯示，攻擊者在某段長達數(shù)月的靜默期后突然"復工"，加速橫向滲透。這種間歇性活躍的模式可能是為了避免觸發(fā)網(wǎng)絡流量閾值告警，也可能是在等待新的指令或目標清單。

東南亞軍事網(wǎng)絡成為此類攻擊的重災區(qū)，有其結(jié)構(gòu)性原因。該地區(qū)的國防信息化進程在過去十年快速推進，但安全投入與系統(tǒng)復雜度并未同步增長。許多軍事機構(gòu)仍依賴傳統(tǒng)邊界防御，對內(nèi)部橫向移動的監(jiān)測能力薄弱——這正是CL-STA-1087這類"低慢速"攻擊的溫床。

AppleChris從Pastebin獲取配置的設計，也反映了攻擊者對"去中心化基礎設施"的偏好。相比固定IP的C2服務器，這種動態(tài)解析機制大幅提升了抗打擊能力。安全團隊即便截獲樣本，也無法一次性切斷所有通信渠道，除非同時監(jiān)控并封禁多個公共服務平臺的賬戶。

被忽視的"非硬核"目標

CL-STA-1087的戰(zhàn)術選擇揭示了一個常被低估的攻擊面：軍事網(wǎng)絡中的"非硬核"節(jié)點。入侵起點是一臺"unmanaged endpoint"（未受管控的終端）——可能是臨時接入的筆記本、測試設備或外包維護用的機器。這類設備往往游離于統(tǒng)一安全管理之外，卻擁有足夠的網(wǎng)絡訪問權(quán)限成為跳板。

攻擊者從這臺邊緣設備起步，逐步向核心系統(tǒng)滲透，整個過程沒有使用任何零日漏洞（未公開的安全缺陷），而是依賴PowerShell、WMI等系統(tǒng)原生工具的"合法濫用"。這種" living off the land"（離地生存）技術讓惡意活動淹沒在正常管理流量中，傳統(tǒng)基于特征碼的檢測手段幾乎失效。

Unit 42的報告未披露具體受害國家名單，但提到"multiple military organizations across Southeast Asia"（東南亞多國軍事機構(gòu)）?？紤]到該地區(qū)復雜的領土爭端和軍備競賽背景，戰(zhàn)略情報的泄露可能直接影響區(qū)域安全平衡。

CL-STA-1087的曝光時機也值得玩味。2024年初，東南亞多國正加速推進國防數(shù)字化合作，包括聯(lián)合演習中的數(shù)據(jù)互通和指揮系統(tǒng)互聯(lián)。攻擊者在此窗口期被發(fā)現(xiàn)的橫向移動活動，是否意在 preemptively（先發(fā)制人地）滲透這些新興連接節(jié)點？

安全社區(qū)目前尚未觀察到CL-STA-1087的公開工具被其他組織復用，這暗示其背后可能有相對穩(wěn)定的資源支持——定制開發(fā)、長期運維、基礎設施維護都需要持續(xù)投入。相比之下，常見的網(wǎng)絡犯罪集團更傾向于快速變現(xiàn)、工具共享。

對于防御方而言，這起案例敲響了關于" dwell time"（駐留時間）的警鐘。四年未被發(fā)現(xiàn)的潛伏，意味著攻擊者有充足機會完成情報收集、建立多重后門、甚至預置破壞性載荷。檢測延遲不僅損失時間，更可能永久喪失對網(wǎng)絡真實狀態(tài)的認知。

當東南亞某國的安全團隊最終清理完最后一臺受感染設備時，他們或許會在日志里發(fā)現(xiàn)更多沉默的訪客——那些同樣選擇了6小時休眠節(jié)奏、只是尚未被喚醒的攻擊者。下一個CL-STA-編號，會出現(xiàn)在誰的網(wǎng)絡里？