报告：中共黑客潜入一亚洲电信公司达四年

网络安全公司Sygnia最新报告揭露，一家亚洲电信公司早在四年前就遭到中共黑客（中共黑客）组织渗透。黑客透过入侵家用路由器进入公司内部网络，并使用多层加密后门与隧道工具，收集了大量敏感信息，攻击手法犹如俄罗斯套娃，难以侦测。

周一（3月24日），Sygnia在一份报告（链接）中表示，该黑客组织被称为“织叶蚁”（Weaver Ant，又译编织蚁），他们入侵了合勤科技（Zyxel）制造的家用路由器，以此作为渗透某家“大型电信公司”内部网络的跳板，并使用多层加密技术，在系统中潜伏长达四年，收集大量敏感信息。

研究人员并未透露这家被入侵的电信公司名称，也未说明其所在国家。不过，作为黑客入侵跳板的家用路由器，大多由东南亚各国电信商提供给家庭用户。

种种迹象显示中共黑客是幕后黑手

Sygnia判定，这项行动应是中共政府支持的黑客所为，理由包括：目标对象的性质、行动目标、黑客的工作时间，以及他们使用了“中国菜刀”（China Chopper）等中共黑客惯用的网页后门工具。

“中国菜刀”（China Chopper）是一种中共黑客组织常用来远端存取受害服务器、窃取信息的工具。在另一起事件的调查中，Sygnia发现了一个早先就曾被“织叶蚁”使用、原已遭停用的账户又重新启用，这个发现促使研究人员展开大规模调查。

调查结果发现，一个“变种的中国菜刀”已潜伏在该公司内部服务器中长达数年。这款加密版的后门工具，支援AES加密，能绕过网站应用防火墙（WAF）侦测。

此外，黑客还使用了一款名为“INMemory”的全新网页后门工具，在记忆体中直接执行，避开传统防毒与侦测系统。

报告中表示，黑客针对“亚洲主要电信业者”，这类目标符合中共对区域基础设施渗透与搜集情报的模式。

“目标产业与地理位置与中国（中共）的网络战略一致。”报告写道。

此外，本黑客团体攻击活动大多选在中国的“上班时间”进行，周末与中国节假日几乎无活动迹象，高度符合中国国内机构上下班规律。此外，黑客还使用了一些被认为是中共黑客常使用的系统漏洞。

Sygnia事件应对主管奥伦‧比德曼（Oren Biderman）表示：“像织叶蚁这类的国家级黑客非常危险，且具有高度持久性。他们的主要目标是渗透关键基础设施，在未被发现前尽可能收集更多信息。”

“织叶蚁在受害网络中持续活动超过四年，即使历经多次清除行动，仍能持续活动。他们根据网络环境的变化调整行动战术，使其能持续取得系统存取权，并收集敏感信息。”他说。

多层加密如“俄罗斯套娃”的网页后门

Sygnia指出，织叶蚁设计的网页后门工具，具有高度隐蔽性，采用多层编码与加密机制，让防御系统难以辨识其真实功能。

其中，INMemory内含的恶意模组会被压缩、编码，在执行时才于记忆体中即时解压与载入。这代表整个攻击过程几乎不留任何档案痕迹，让防毒软体与日志记录难以察觉。

Sygnia指出，织叶蚁的攻击行动宛如俄罗斯套娃（Matryoshka），恶意程序被层层加密，需经过特定后门逐层解密后，才会释放出下一波攻击模组。

这种设计极度隐蔽，使得研究人员需耗费巨大资源逐层还原、追踪其行为轨迹。尽避Sygnia已完成一次全面清除行动，但监控显示，织叶蚁仍在持续尝试重返该电信公司网络。

Sygnia表示，他们正持续追踪该组织的最新行动，并预计将发布后续报告揭露其升级后的工具与手法。