中國高級持續性威脅(Advanced Persistent Threat, APT)組織 APT31被指控於2024年-2025年間對俄羅斯資訊科技產業發動網路攻擊，Positive Technologies的研究人員Daniil Grigoryan、Varvara Koloskova在一份技術報告中指出：在 2024年至2025年期間，俄羅斯IT行業，特別是為政府機構提供解決方案的承包商和整合商，面臨著一系列有針對性的電腦攻擊。

APT31又稱Altaire、Bronze Vinewood、Judgement Panda、PerplexedGoblin、RedBravo、Red Keres和Violet Typhoon（前身為 Zirconium），據評估，該組織至少從2010年起就已活躍。其攻擊目標涵蓋廣泛，包括政府、金融、航太與國防、高科技、建築與工程、電信、媒體和保險等產業。這個網路間諜組織的主要目標是收集情報，為北京和國有企業提供政治、經濟和軍事優勢。2025年5月，捷克共和國指責該駭客組織在2022年攻擊其外交部。針對俄羅斯的攻擊特點是利用合法的雲端服務，例如Yandex Cloud，進行指揮控制（C2）和資料竊取，試圖混入正常網路流量中以逃避偵測。據稱，該駭客還在國內外社交媒體帳戶中植入加密指令和有效載荷，並在周末和假日發動攻擊。在一次針對一家IT公司的攻擊中，APT31早在2022年底就入侵了該公司的網路，並在2023年新年假期期間加大攻擊力度。

在2024年12月偵測到的另一起入侵事件中，駭客發送封包含RAR壓縮檔案的魚叉式網路釣魚郵件。此壓縮檔案中包含一個Windows捷徑（LNK），可透過DLL側載入啟動名為CloudyLoader的Cobalt Strike載入器。卡巴斯基此前曾在2025年7月記錄過此攻擊活動的詳細資訊，並指出其與名為EastWind的威脅集群存在一些重疊之處。

俄羅斯網路安全公司還發現一種偽裝成秘魯外交部報告的ZIP壓縮檔案誘餌，最終也部署CloudyLoader。駭客為推進攻擊週期的後續階段，APT31利用大量公開可用的工具和客製化工具。透過設定模擬合法應用程式（例如Yandex Disk和Google Chrome）定時任務來實現持久化。

以下列出已發現實用程式和惡意軟體家族：

• SharpADUserIP：一個用於偵察和發現的C#實用程式
• SharpChrome.exe：用於從Google Chrome和Microsoft Edge瀏覽器中提取密碼和Cookie
• SharpDir：用於搜尋檔案。
• StickyNotesExtract.exe：用於從Windows便箋資料庫中提取資料。
• Tailscale VPN：用於建立加密通道並在受感染主機與其基礎架構之間建立點對點 (P2P) 網路。
• Microsoft開發通道：用於通道傳輸流量。
• Owawa：用於竊取憑證的惡意IIS模組。
• AufTime：使用wolfSSL函式庫與C2伺服器通訊的Linux後門。
• COFFProxy：支援通道傳輸流量、執行指令、管理檔案和傳遞額外有效載荷的Golang後門。
• VtChatter：每兩小時向託管在VirusTotal上的文字檔案發送Base64編碼註解作為雙向C2通道的工具。
• OneDriveDoor：使用Microsoft OneDrive作為C2伺服器的後門。
• LocalPlugX：PlugX的變體用於在本地網路內傳播，而不是與C2伺服器通訊。
• CloudSorcerer：利用雲端服務作為C2伺服器的後門程式。
• YaLeak：用於將資訊上傳到Yandex Cloud的.NET工具。

Positive Technologies： APT31不斷更新其攻擊手段，作為C2伺服器，攻擊者積極利用雲端服務，特別是Yandex和Microsoft OneDrive服務。許多工具也配置為伺服器模式，等待駭客連接到受感染的主機。此外，該駭客組織還透過Yandex雲端儲存竊取資料。這些工具和技術使APT31能夠在受害者的基礎設施中潛伏多年而不被發現。與此同時，駭客從設備中下載檔案並收集機密資訊，包括受害者電子郵件和內部服務的密碼。

本文參考自：https://thehackernews.com/2025/11/china-linked-apt31-launches-stealthy.html