资安公司Zscaler在3月12日揭露,一個名為Tropic Trooper(亦称Earth Centaur、KeyBoy)的中國駭客組織,對台湾、日本與韩国發動新一波多階段攻擊。攻擊者以軍事題材做誘餌,散布惡意ZIP檔,並透過篡改PDF檢視器SumatraPDF執行檔植入AdaptixC2的Beacon代理,最終下載並部署Visual Studio Code隧道以遠端控制受害機。分析指出,攻擊鎖定中文使用者,但誘餌採用簡體中文而非台灣慣用正體,顯示攻擊針對特定族群。研究也發現,Shell載入器與過去Toshis活動相似,駭客修改AdaptixC2以濫用GitHub作為C2通訊;部分基礎設施還存有Cobalt Strike的Beacon與EntryShell後門,均為該組織常用工具。建議不要開啟可疑壓縮檔或附件,檢查執行檔是否被竄改,並加強郵件閘道、端點防護與網路行為偵測,及時更新防護與演練以降低風險。
惊了!黑客偷偷改PDF埋后门,用VS Code隧道悄控台湾电脑
