2月5日資安公司Palo Alto Networks旗下的威脅情報團隊Unit 42,揭露代號為Shadow Campaigns的大規模攻擊行動,攻擊者的身分是外號為TGR-STA-1030、UNC6619的國家級駭客組織,這些駭客的主要目標是政府機關與關鍵基礎設施(CI),在過去一年入侵37個國家的政府機關與關鍵基礎設施之後,他們在去年11月至12日對包含臺灣在內的155個國家進行廣泛且積極的偵察,值得留意的是,這次Unit 42也特別透露臺灣受到影響的情形。
其中發生在臺灣的攻擊活動,TGR-STA-1030曾在2025年初,入侵臺灣電力設備的主要供應商,從而掌握全臺各地發電專案的相關檔案。值得留意的是,這些駭客大約於去年12月中旬,再度存取該廠商的網路環境。
雖然Unit 42對於臺灣發生的事故說明並不多,但還有一個國家遭到攻擊的活動,也可能與臺灣有關。他們提及去年10月31日美洲出現大規模偵察活動,駭客鎖定超過200個宏都拉斯政府基礎設施的IP位址而來,由於一個月後該國即將舉辦總統與議員大型選舉,時間點相當巧合。Unit 42認為,這波大規模偵察活動的動機,可能與其中有兩位總統候選人對於恢復臺灣的外交關係,表達開放的態度有關。
Unit 42指出,雖然TGR-STA-1030的攻擊與偵察範圍涵蓋全球,但這些駭客特別優先針對包含臺灣在內的南海與泰國灣地區發動攻擊,其中研究人員較常看到駭客掃描印尼、泰國,以及越南政府的基礎設施。這些駭客多半掃描80及443埠來進行偵察工作,自去年11月起,他們也嘗試在部分環境存取22埠,進行SSH連線。這些駭客不只進行廣泛的偵察,Unit 42研判他們已經入侵臺灣、泰國、烏茲別克、越南、韓國、斯里蘭卡,以及沙烏地阿拉伯等15個國家的政府機關與關鍵基礎設施。
對於這波大規模網路間諜活動,Unit 42公布了駭客使用的各式作案工具,以及入侵指標(IoC)。其中,他們提及駭客建立C2通訊的工具,從2024年至2025年初,通常會運用Cobalt Strike,不過,現在逐漸轉換至Go語言打造的C2框架VShell。但除此之外,Unit 42也有看到使用Havoc、SparkRat,以及Sliver的情況。
再者,TGR-STA-1030為了能進行橫向移動,經常針對網頁伺服器部署Web Shell,包括:Behinder、Neo-reGeorg,以及Godzilla。Unit 42看到駭客利用可公開從GitHub取得的程式碼,對Godzilla進行混淆處理的情況。這些駭客也建立隧道隱匿C2通訊,相關工具有GO Simple Tunnel(GOST)、Fast Reverse Proxy Server(FRPS),以及IOX。此外,駭客使用名為ShadowGuard的後門程式,此為Linux核心Rootkit程式,採用extended Berkeley Packet Filter(eBPF)技術,具備核心層級、處理程序,以及檔案與資料夾隱藏的能力。