2025年觀察，一名使用中文的高級持續性威脅 (APT) 駭客使用定製版開源工具，針對台灣的網路基礎設施實體發動攻擊，旨在在高價值受害者環境中建立長期存取權限。Cisco Talos 團隊將此活動歸因於其追蹤的UAT-7237駭客活動群體，該群體被認為至少自2022 年以來一直活動國際網路。該駭客組織被評估為UAT-5918的一個分支，UAT-5918早在2023年就已開始攻擊台灣的關鍵基礎設施實體。

Talos 團隊表示：「UAT-7237近期針對台灣境內的網路基礎設施實體進行入侵，並高度依賴使用經過一定程度客制化的開源工具，這些工具很可能是為了逃避檢測並在受感染的企業內進行惡意活動」。這些攻擊的特點是使用名為SoundBill的客製化Shellcode載入器，用於解碼和啟動輔助負載，例如Cobalt Strike。儘管UAT-7237攻擊手法與UAT-5918存在戰術重疊，但攻擊手法卻存在顯著差異，包括依賴Cobalt Strike作為主要後門、在初始入侵後選擇性部署Web Shell，以及結合直接遠端桌面協定 (RDP)存取權和SoftEther VPN用戶端實現持續存取。

攻擊鏈首先利用已知的安全漏洞，攻擊暴露在網際網路上的未漏洞修補的伺服器，然後進行初步偵察和指紋識別，以確定目標是否是駭客感興趣的攻擊目標。資安研究人員Asheer Malhotra、Brandon White和Vitor Ventura表示：「UAT-5918會立即部署Web Shell來建立後門存取通道，而UAT-7237則明顯使用其他攻擊手法，是使用 SoftEther VPN用戶端（類似Flax Typhoon）來取得存取權限，之後透過RDP存取系統」。一旦攻擊成功，駭客就會轉向企業組織內的其他系統，擴大攻擊範圍並進行進一步的攻擊活動，包括部署VTHello 的Shellcod載入器SoundBill，用於發動Cobalt Strike。此外，受感染主機上還部署JuicyPotato（一種被中國駭客組織廣泛使用的提權工具）和Mimikatz來提取憑證。後續攻擊利用SoundBill更新版本，並在其中嵌入Mimikatz，以實現相同的攻擊目標。

除使用FScan識別IP子網路的開放連接埠外，UAT-7237還被觀察到嘗試變更Windows註冊表以停用使用者帳戶控制 (UAC) 並啟用明文密碼儲存。Talos指出：「UAT-7237在其 [SoftEther] VPN用戶端的語言設定檔中將簡體中文指定為首選顯示語言，這表明操作員精通該語言」。此次披露之際，Intezer表示，發現一種名為FireWood 的已知後門的新變種，該變種與一個與中國勾結的駭 Gelsemium有關。

ESET於2024年11月首次錄製FireWood，詳細描述其利用名為 usbdev.ko的核心驅動程式rootkit模組來隱藏行程，並運行駭客控制的伺服器發送的各種命令的能力。「該後門的核心功能保持不變，但確實注意到其實現和配置方面有一些變化」，Intezer研究員Nicole Fishbein表示。「由於無法收集內核模組的資訊，因此尚不清楚是否也進行更新」。

本文參考自：https://thehackernews.com/2025/08/taiwan-web-servers-breached-by-uat-7237.html