在影子经纪人泄露之前，中国黑客使用了NSA的黑客工具

根据网络安全公司赛门铁克（Symantec）发布的一份新报告，赛门铁克是一家与中国有关联的集团七叶树，早在2016年3月就开始使用与NSA有关的黑客工具，而影子经纪人在2017年4月将其中一些工具扔到了互联网上。

至少从2009年开始活跃，七叶树，也称为APT3、哥特式熊猫、UPS团队和TG-0110，负责大量间谍袭击，主要针对美国的国防和关键组织。

尽管赛门铁克在报告中没有明确提到中国，但具有高度信心的研究人员此前将[1,2]七叶树黑客集团归因于一家名为博尤塞克的信息安全公司，该公司代表中国国家安全部工作。

赛门铁克的最新发现提供了第一个证据，证明中国国家资助的黑客成功获取了一些黑客工具，包括永恒浪漫、永恒协同和DoublePulsar，一年后被影子经纪人抛弃。影子经纪人是一个神秘的组织，目前尚未确定身份。

研究人员称，七叶树集团使用了其定制的开发工具，名为贝姆斯图，提供一种变种的DoublePulsar后门植入物，在目标计算机上秘密收集信息并运行恶意代码。

Benstour工具旨在利用Windows中两个当时为零日的漏洞（CVE-2019-0703和CVE-2017-0143）在目标计算机上实现远程内核代码执行。
2017年3月，在发现CVE-2017-0143漏洞被影子经纪集团泄露的两个NSA漏洞（EternalRoman和EternalSynergy）使用后，微软解决了该漏洞。

之前未知的Windows SMB服务器漏洞（CVE-2019-0703）由赛门铁克于2018年9月发现并报告给微软，并于上月由科技巨头修补。
研究人员从2016年3月至2017年8月，通过使用SMB开发和双脉冲星后门，瞄准香港、卢森堡、比利时、菲律宾和越南的科研和教育机构，检测出了Bukee的黑客。

中国黑客如何窃取NSA黑客工具？

虽然赛门铁克不知道中国黑客是如何在影子经纪人泄密之前获得Equation Group工具的，但该安全公司确实表示，有可能是七叶树在自己的计算机上捕获了NSA攻击的代码，然后对恶意软件进行反向工程，开发出自己版本的工具。

赛门铁克说：“考虑到现有的技术证据，其他不太受支持的情况包括Buckeye通过访问不安全或安全性差的Equation Group服务器获取工具，或者是流氓Equation Group成员或合伙人将工具泄露给Buckeye”。

七叶树似乎于2017年年中停止运营，2017年11月，该组织的三名涉嫌成员在美国被起诉。然而，即使在那之后，Buckeye使用的Bemstour和DoublePulsar工具仍然与不同的恶意软件一起使用，直到2018年底。

虽然目前尚不清楚是谁继续使用这些工具，但研究人员认为，七叶树小组可能已经将一些工具传递给了另一个小组，或者“继续操作的时间比预期的要长”

影子经纪人泄密后，朝鲜黑客和俄罗斯情报部门使用了与NSA有关的攻击工具，尽管赛门铁克的报告表明，七叶树收购工具与影子经纪人泄密之间没有明显联系。