国家支持的黑客在广泛的间谍活动中以记者为目标

自2021年初以来，作为一系列活动的一部分，与中国、伊朗、朝鲜和土耳其结盟的国家黑客组织一直以记者为目标，进行间谍活动和传播恶意软件。

Proofpoint在与《黑客新闻》分享的一份报告中表示：“最常见的情况是，针对记者的网络钓鱼攻击被用于间谍活动，或获取对另一个政府、公司或其他国家指定进口领域内部运作的关键见解”。

这家企业安全公司表示，入侵的最终目标是获得竞争情报优势或传播虚假信息和宣传。

Proofpoint表示，它发现了两个中国黑客组织，TA412（又名Zyrium或Judgeting Panda）和TA459，其目标是向媒体人员发送恶意电子邮件，其中分别包含网络信标和武器化文件，用于收集有关收件人网络环境的信息，并投放Chinoxy恶意软件。

同样，朝鲜附属的Lazarus集团（又名TA404）针对一家未具名的美国媒体组织，在其对最高领导人金正恩（Kim Jong-Un）的批评性报道后，利用以求职为主题的网络钓鱼诱惑，再次反映出威胁行为人继续依赖这种技术来实现其目标。

U、 总部设在美国的记者和媒体也受到了一个名为TA482的亲土耳其黑客组织的攻击，该组织与一次旨在通过虚假登录页窃取推特凭证的凭证获取攻击有关。

“这些运动背后的动机[……]研究人员推测，这可能包括使用泄露的账户瞄准记者的社交媒体联系人，使用账户进行诽谤，或传播宣传。

最后，Proofpoint强调了多个伊朗APT参与者的企图，例如迷人的小猫（又名TA453），伪装成记者，诱使学者和政策专家点击恶意链接，将目标重定向到凭证获取领域。

此外，一位名为Tortoiseshell（又名TA456或Imperial Kitten）的威胁演员也加入了这一名单，据说他“经常”让福克斯新闻（Fox News）和《卫报》（Guardian）等模拟媒体组织发送包含网络信标的时事通讯主题电子邮件。

第三个与伊朗结盟的对手采用相同的方法是TA457，它假扮成“iNews记者”发表演讲。美国、以色列和沙特阿拉伯公司公共关系人员的基于NET的DNS后门。

研究人员说：“对记者的电子邮件帐户进行适时、成功的攻击，可以深入了解敏感的、正在萌芽的故事和消息来源”。“泄露账户可用于传播虚假信息或亲国家宣传，在战争或疫情期间提供虚假信息，或用于影响政治气氛”。