中国关联组织“扭曲熊猫”瞄准北美公司进行间谍活动

CrowdStrike发现了一个由“扭曲熊猫”发起的复杂网络间谍活动，该活动针对北美的法律、技术和制造公司，以支持中国政府的优先事项。

根据CrowdStrike分享的信息，这个先前未知的威胁行为者表现出高水平的技术复杂度、先进的操作安全技能以及对云和虚拟机环境的广泛知识。

这家网络安全公司表示，在2025年夏季，它发现了多起该对手针对VMware vCenter环境的实例。

根据CrowdStrike的调查结果，“扭曲熊猫”可能利用对一个受损网络的访问权限，对一个亚太政府实体进行了初步侦察。

该黑客组织还与各种网络安全博客和一个中文GitHub仓库有关联。

在至少一次入侵中，对手专门访问了从事与中国政府利益相关主题工作的员工的电子邮件账户。

对手主要针对北美的实体，并持续保持对受损网络的持久、隐蔽访问，这可能是为了支持与中华人民共和国战略利益相一致的情报收集工作。

长期且持续性的恶意活动

该活动被描述为长期且持续性的，其中2023年的一次入侵是“扭曲熊猫”的初始访问点。CrowdStrike评论称，该威胁行为者至少自2022年以来一直活跃。

该公司以中等信心评估认为，该威胁行为者很可能在近期到长期内维持其情报收集行动。

这种对长期访问操作的关注表明，它们与一个资源充足、在网络间谍能力上投入巨大的组织有关。

已确认该对手在VMware vCenter服务器上部署了BRICKSTORM恶意软件，这是一个用Go语言编写的后门，经常伪装成合法的vCenter进程，如updatemgr或vami-http。

“扭曲熊猫”还分别在ESXi主机和客户虚拟机上部署了两个先前未被观察到的基于Go语言的植入程序——Junction和GuestConduit。

12月4日，美国网络安全和基础设施安全局发布了一份联合公告，确认了一个受PRC国家支持的网络行为者正在使用BRICKSTORM恶意软件在受害者系统上实现长期驻留。该公告还指出VMware vSphere平台已成为攻击目标。

CISA的分析指出，网络威胁行为者使用BRICKSTORM进行持久访问的时间至少从2024年4月持续到2025年9月3日。

CrowdStrike指出，“扭曲熊猫”经常通过利用面向互联网的边缘设备获得初始访问权限，随后利用有效凭据或利用vCenter漏洞，转向攻击vCenter环境。为了在受感染网络内横向移动，对手使用SSH和具有特权的vCenter管理账户vpxuser。

在某些情况下，CrowdStrike发现它们使用安全文件传输协议在主机之间移动数据。

其战术、技术和程序还包括日志清除和文件时间戳篡改，以及创建未在vCenter服务器中注册的恶意虚拟机，并在使用后将其关闭。

为了与合法网络流量融合，对手使用BRICKSTORM通过vCenter服务器、ESXi主机和客户虚拟机来隧道传输流量。

BRICKSTORM植入程序伪装成合法的vCenter进程，并具有持久化机制，使得植入程序在文件删除和系统重启后仍能存活。

此外，“扭曲熊猫”在其操作期间利用了边缘设备和VMware vCenter环境中的多个漏洞。