专家们发现了另一场针对东南亚的中国间谍活动

一项正在进行的网络间谍行动涉嫌与中国有联系，被发现的目标是一个东南亚政府，该政府在Windows系统上部署间谍软件，同时在雷达监视下工作了三年多。

Check Point Research的研究人员在今天发布的一份报告中说：“在这次活动中，攻击者利用一系列Microsoft Office漏洞攻击和加载程序以及反分析和反调试技术，在受害者的机器上安装了一个以前未知的后门。”。

感染链通过向外交部的多个成员发送假文件，冒充政府内的其他实体，打开后，外交部从攻击者的服务器检索下一阶段的有效载荷，该服务器包含一个加密下载程序。下载程序依次收集系统信息并将其导出到远程服务器，该服务器随后用外壳代码加载程序进行响应。

Check Point威胁情报负责人洛特姆·芬克尔斯坦（Lotem Finkelstein）说，使用看似合法的官方文件的武器化副本也表明，“攻击者首先必须攻击目标州内的另一个部门，窃取和武器化文件，以用于对抗外交部。”。

攻击的最后一个环节涉及加载程序与远程服务器建立连接，以下载、解密和执行名为“VictoryDll_x86.dll”的植入程序，该植入程序能够执行文件操作、捕获屏幕截图、创建和终止进程，甚至关闭受感染的机器。

Check Point表示，该对手自2017年开发以来，通过多次更改基础设施，在隐藏其活动方面付出了巨大努力，后门系统也得到了相应的修改，以使其更具分析弹性，并降低每个阶段的检测率。

这场长期的活动与一个中国高级持续威胁组织（APT）的“中高信心”有关，该组织称其为“SharpPanda”，该组织基于2018年从中国上传到VirusTotal的后门测试版本，以及该演员使用的Royal Road RTF武器，自2018年底以来，这一工具一直被用于中国知名威胁组织的活动中。

其他几条线索指向了这一结论，包括指挥和控制（C2）服务器仅在协调世界时01:00至08:00之间返回有效载荷，研究人员怀疑这是攻击者所在国家的工作时间，以及指挥和控制（C2）服务器在5月1日至5日期间未返回有效载荷；即使在工作时间—；正好是中国的劳动节假期。

这一事态发展再次表明，据信为支持中国长期经济利益而工作的多个网络威胁组织正在继续打击属于政府和组织的网络，同时花大量时间改进他们武库中的工具，以隐藏他们的入侵。

芬克尔斯坦说：“所有的证据都表明，我们正在处理一场组织严密的行动，这场行动付出了巨大的努力，使我们始终处于监视之下。”。“总而言之，我们认为袭击者是一个中国威胁集团，他们的做法非常有系统。”

“攻击者不仅对冷数据感兴趣，还对目标个人电脑上随时发生的事情感兴趣，从而导致实时间谍活动。尽管我们能够阻止上述东南亚政府的监视行动，但威胁组织可能正在其他目标上使用其新的网络间谍武器他补充道。