与中国相关的威胁行为者已经悄悄地进行间谍活动近10年

中国关联的间谍活动者 Aogin Dragon

关键要点

研究人员于周四报告称，一个与中国相关的威胁组织Aogin Dragon，自2013年以来一直在进行间谍活动，目标包括东南亚和澳大利亚的政府、教育和电信组织。

在一篇博客中，来自 Sentinel Labs 的研究人员表示，Aogin Dragon 通常通过文档的漏洞及使用假可移动驱动器来获得初始访问权限。

研究人员进一步指出，攻击者使用的其他技术包括：

Netenrich 的首席威胁猎人 John Bambenek 表示，中国政府在高度特定的目标定位方面做得非常出色，旨在感染其间谍目标。他解释道：“他们投入了真实的努力进行研究，以确保能够悄悄感染组织，并在长时间内不被发现。”

Vulcan Cyber 的高级技术工程师 Mike Parkin 表示，妥善识别和追踪国家及国家赞助的威胁行为者总是存在挑战。他提到，这些行为者往往看起来像是犯罪威胁，使用相同的工具和技术，并且通常针对相同的目标。

“将他们明确连结到某个国家通常需要更深入的分析和对其动机的理解。”Parkin 说，“SentinelOne 现在发布的信息显示，这个已经活跃近十年的APT群体并未出现在其他名单上，这表明识别新威胁行为者的难度之大。”

SCYTHE 的网络威胁情报执行董事 Jake Williams 补充道，威胁行为者继续依赖可移动驱动器传播恶意软件并不令人感到惊讶。他指出，DLL 劫持历来在中国国家级威胁行为者中被广泛使用。

“DLL 劫持是一种许多终端保护平台难以识别的技术。”Williams 说，“大多数对 DLL 劫持的检测仅通过检测工程得以识别，这进一步突显了持续安全控制验证的必要性。”