隐秘 “网络幽灵”：全球活跃 APT 攻击组织揭秘

就在4月11日，特朗普政府高官称美方将对中方采取更多进攻性网络活动，可见当今，网络空间已成为国家间博弈的新战场，而高级持续性威胁（APT）组织犹如隐匿在暗处的 “幽灵部队”，是国家间彼此攻击的重要武器。这些组织通常具备强大的技术实力、充足的资源支持以及明确的战略目标，能够长期、隐蔽地对特定目标进行攻击，窃取敏感信息或破坏关键基础设施。

本文星尘安全就向大家简单介绍一下目前活跃在全球的APT组织都有哪些。

海莲花（OceanLotus/APT32）

背景追溯

疑似受越南政府支持，自 2012 年起便在网络暗潮中持续活跃。其攻击 “雷达” 主要锁定中国政府、科研院所、海事机构及航运企业，同时也对在越外资企业展开渗透行动。这些机构和企业往往涉及国家主权、科研机密与经济发展等关键领域，海莲花的恶意行径威胁着目标对象的信息安全与正常运营。

攻击策略

精通鱼叉攻击、水坑攻击及供应链渗透等复杂战术。常借助 Cobalt Strike 等专业工具，如同网络中的 “隐形窃贼”，悄无声息地窃取敏感数据。在 2024 年，更是以社保、南海法律等热门主题精心炮制钓鱼攻击，诱饵文档高度定制化，极具迷惑性。

摩诃草（Patchwork/APT - C - 09）

背景追溯

背后有南亚某国支持，活跃时长超过 15 年。长期将矛头对准中国、巴基斯坦的政府、军工及科研机构，其险恶用心在于窃取军事与工业情报，试图在区域地缘政治和军事博弈中获取不正当优势。

攻击策略

以鱼叉邮件作为主要 “攻击箭镞”，近年来还结合开源工具（如 Brute Ratel C4），展现出跨 Windows、Android、MacOS 多平台的攻击能力。在 2024 年针对不丹的攻击样本中，首次启用红队框架，不断迭代升级的攻击手法使其威胁性与日俱增。

蔓灵花（APT - 40）

背景追溯

长期受境外反华势力暗中 “输血”，活跃历程超 10 年。其攻击靶心集中于中国的政府、金融、能源等关键领域，这些领域是国家经济社会稳定运行的 “主动脉”，蔓灵花妄图通过窃取核心数据，扰乱国家发展节奏。

攻击策略

深谙社会工程学之道，常扮作合法机构，以钓鱼邮件为 “敲门砖”。同时，紧盯系统零日漏洞，借助 Empire 等工具，像网络 “水蛭” 一样吸附在目标系统上，在 2023 年就对某大型金融机构发动多轮定向侵袭。

方程式（Equation Group）

背景追溯

被爆出与美国政府强关联，从上世纪 90 年代起便在全球网络空间 “兴风作浪”。其攻击视野覆盖全球，各国政府、科研机构、电信运营商等都是其觊觎的目标，试图搜刮高度敏感的情报信息，以维持其在国际博弈中的信息优势。

攻击策略

手握极为先进的漏洞利用 “秘籍”，坐拥庞大的零日漏洞武器库。通过植入式恶意软件，如 “FOXACID”，能像潜伏在黑暗中的 “忍者”，长期蛰伏在目标系统，悄然收集数据并偷运回 “老巢”。

奇幻熊（APT28）

背景追溯

带有俄罗斯军方背景，多年来在国际网络舞台上频繁亮相。主要针对北约国家的政府、军事、情报机构等发起攻势，其战略意图在于刺探军事战略、情报通信等关键情报，在国际军事政治博弈中争取主动。

攻击策略

善于挖掘零日漏洞，凭借精心策划的鱼叉式钓鱼邮件，将 X - Agent 木马等恶意程序如 “毒箭” 般精准植入目标系统，对系统进行深度 “解剖” 与控制。在 2016 年美国大选期间，对美国民主党全国委员会等机构的攻击，更是引发全球舆论哗然。

舒适熊（APT29）

背景追溯

同样与俄罗斯有着千丝万缕的联系，在网络江湖中活跃已久。主要瞄准各国政府外交部门、科研院所及关键基础设施运营单位，企图从外交机密、科研成果等 “富矿” 中挖掘有价值信息，服务于背后的战略意图。

攻击策略

技术底蕴深厚，凭借 SolarWinds 供应链攻击事件 “声名大噪”。擅长运用高级隐匿术，将恶意代码像 “隐身刺客” 般藏于合法软件更新中，实现长期潜伏和数据 “大挪移”。

Lazarus Group

背景追溯

被认为与朝鲜存在关联，自 2009 年起在网络世界崭露头角。主要将金融机构、加密货币平台等视为 “提款机”，以获取经济利益为重要驱动力，同时也对娱乐公司等发起攻击，展现出其攻击目标的多元性。

攻击策略

精通各类攻击 “秘籍”，能研发定制化恶意软件，如针对金融机构的 Shamoon 恶意软件。2014 年对索尼影业的攻击，以及 2022 年针对 Axie Infinity 游戏平台的巨额虚拟资产盗窃案，都彰显了其在网络犯罪领域的 “大胆与专业”。

迷人猫（Charming Kitten）

背景追溯

与伊朗有着紧密关联，近年来在网络攻击领域动作频频。主要将中东地区及西方国家的政府官员、记者、人权活动家等作为 “狩猎目标”，试图从这些群体中获取敏感信息，以服务于背后的政治或战略意图。

攻击策略

极度依赖社会工程学，常化身记者、活动组织者等身份，用精心编织的钓鱼邮件为 “诱饵”，诱导目标点击恶意链接或附件，进而像 “信息小偷” 一样植入键盘记录器等恶意程序，窃取用户账号密码等关键信息。

海苔（APT - C - 36）

背景追溯

疑似受南亚某国支持，在网络黑幕中活跃多年。主要将周边国家的政府、能源、水利等关键领域机构列为攻击对象，妄图从这些关乎国家生存发展的关键节点获取战略资源和关键基础设施情报。

攻击策略

主要以鱼叉式钓鱼攻击为 “先锋”，搭配开源的渗透测试工具，如 Metasploit。通过精准 “垂钓” 目标机构员工，逐步渗透进内部网络，像 “数据蛀虫” 一样蚕食敏感数据。

黑暗 Hydrus（APT - 35）

背景追溯

与中东地区某国相关联，在网络暗战中活跃已久。主要针对以色列、美国等国家的政府、军事和情报机构，开展情报窃取与破坏行动，试图在地区政治军事格局中施加影响。

攻击策略

擅长打造定制化恶意软件，借助网络钓鱼、水坑攻击等 “常规武器” 进行传播。还会利用公开的漏洞扫描工具进行目标 “侦察”，为后续的精准攻击绘制 “路线图”。

响尾蛇（APT - 33）

背景追溯

被认为与伊朗存在关联，在国际网络空间中频繁出没。主要将能源、航空航天等领域的企业和研究机构作为 “猎物”，企图盗取先进技术和商业机密，以增强背后势力在相关领域的竞争力。

攻击策略

运用多种攻击 “组合拳”，包括利用零日漏洞、发送针对性的鱼叉式钓鱼邮件，邮件中常暗藏伪装成合法文档的恶意软件 “陷阱”，一旦目标中招，就会被其远程控制，数据也会被悄然掳走。

Kimsuky（APT43）

背景追溯

该组织至少自 2012 年起就开始活跃，被认为是在朝鲜政府和军方指导下运作的攻击性网络团队之一。其活动频繁，长期针对特定目标展开网络间谍活动以及出于经济动机的攻击。

攻击策略

擅长运用社会工程学手段，通过创建虚假身份与目标建立联系获取信任。常发起鱼叉式网络钓鱼攻击，发送带有恶意软件的 PDF 文件、钓鱼链接等。还使用定制恶意软件及部分公共工具，甚至利用合法云挖矿服务清洗被盗加密货币。