Threat hunters揭露中國背後支持的威脅行為者 UnsolicitedBooker，利用先前未記錄的網名MarsSnake後門程式針對沙烏地阿拉伯進行攻擊。ESET於2023年3月便首次發現該駭客組織針對實體的入侵，並在2024年後再次發現，該活動常利用機票為誘餌的魚叉式網路釣魚電子郵件來滲透感興趣的目標。在其2024年 10月至2025年3月 APT 活動報告中：「UnsolicitedBooker發送魚叉式網絡釣魚電子郵件，通常以機票作為誘餌，其目標包括亞洲、非洲和中東的政府組織」。

中國駭客團隊廣泛使用Chinoxy、DeedRAT、Poison Ivy 與BeRAT等後門程式，這些後門被。UnsolicitedBooker與被追蹤為Space Pirates 的集群以及未歸屬的威脅活動集群存在相互重疊，後者被發現針對沙烏地阿拉伯一些伊斯蘭非營利組織部署代號為Zardoor的後門程式。斯洛伐克網路安全公司於2025年1月發現的最新活動涉及向同一沙烏地阿拉伯組織發送一封來自沙烏地阿拉伯航空公司的有關航班預訂的網路釣魚電子郵件。

ESET 表示：「該電子郵件附加Microsoft Word檔案，其誘餌內容是一張經過修改的機票，該機票為Academia網站上PDF 檔，而Academia是一個共享學術研究的平台，並允許上傳 PDF 文件」。Word 檔一旦經點擊及開啟，便觸發執行VBA巨集，該巨集會解碼並寫入MarsSnake的載入器，MarsSnake用於與遠端伺服器（「contact.decenttoy[.]top」）建立通訊。ESET：「2023年、2024年與2025 年便嘗試進行網路攻擊，證據顯示UnsolicitedBooker 針對特定目標進行攻擊」。

另一名被追蹤為PerplexedGoblin（又稱 APT31）的中國網路駭客組織於2024年12月將攻擊目標鎖定一些中歐政府組織，及部署NanoSlate的間諜後門程式。ESET還發現DigitalRecyclers持續對歐盟政府組織發動網路攻擊，利用KMA VPN中繼盒網路（Operational Relay Box networks, ORB）註1，中繼盒網路隱藏其網路流量並部署 RClient、HydroRShell和 GiftBox後門程式。

DigitalRecyclers於2021年首次被發現，但至少從2018年便開始活躍。ESET：「DigitalRecyclers極可能與Ke3chang和 BackdoorDiplomacy相關，在APT15內運作」。駭客部署RClient惡意後門程式，為Project KMA 竊取程序的變種。2023年9月，該駭客組織引入新的後門HydroRShell，則使用Google的 Protobuf和 Mbed TLS進行C&C通訊。這些後門程式允許駭客執行任何命令並從伺服器下載有效載荷。ESET惡意軟體研究員Matthieu Faou向The Hacker News 表示：「MarsSnake和HydroRShell為功能齊全的後門程式，一旦安裝在受害者的機器上，攻擊者就可以執行任意命令並存取或寫入磁碟上的任何檔案」。均與遠端C&C伺服器進行通訊，並從該伺服器接收命令。MarsSnake似乎由UnsolicitedBooker單獨使用，而HydroRShell則由DigitalRecyclers單獨使用。

資安研究員在HydroRShell中發現的一個非常不尋常的實作細節，駭客選擇使用Protobuf進行C&C通訊。 Protobuf是一種定義結構化資料的語言。在這種情況下，它用於序列化方式將資料傳送到C&C伺服器。

註1:中繼盒網路Operational Relay Box networks, ORB）：此類網路組成的方式很類似殭屍網路，主要由虛擬專用伺服器（VPS），以及存在弱點的物聯網（IoT）裝置、路由器組成，而且，這些設備通常生命週期已結束（EOL），或是不再受到製造商支援。常會租用VPS節點，並結合專門滲透路由器的惡意軟體而來，使其能增加綁架設備的數量，從而擴大網路流量轉送（Relaying Traffic）的規模，駭客利用這種網狀網路從事間諜活動，可以混淆受害裝置與C2基礎設施的流量，並利用零時差漏洞攻擊網路邊界裝置。

本文參考自：https://thehackernews.com/2025/05/chinese-hackers-deploy-marssnake.html