解码中国威胁组织归因与人为因素:APT27、HAFNIUM与Silk Typhoon的关联分析

本文深入分析中国高级持续性威胁组织APT27、HAFNIUM和Silk Typhoon的关联,探讨网络安全社区如何追踪威胁组织,以及政府披露相关人员身份时的命名选择标准。

背景

自2025年3月以来,美国政府已公开曝光与中国黑客有关的威胁组织,这些组织被公开追踪为APT27、HAFNIUM、Silk Typhoon等别名。在这些被命名的高级持续性威胁(APT)组织中,网络安全社区的技术分析和观察到的入侵活动提供了组织追踪标准和减轻危害、从系统和网络中清除恶意软件的措施。

由于网络安全公司通常使用不同的威胁模型,拥有自己的入侵聚类标准,并严密保护其遥测数据(通常不与他人共享),我们看到威胁组织被标记了许多"又名"(a.k.a.)组名。例如,社区策划的在线恶意软件百科全书和资源Malpedia上的APT27资料列出了16个别名组名。这些别名组如何重叠?它们彼此之间有何不同?答案并不总是明确的。

此外,当执法和政府机构披露威胁组织背后或与之相关的人员和组织的真实身份,特别是这些实体与组织之间的联系时,会增加另一层复杂性。例如,在2025年3月美国联邦调查局(FBI)发布的关于中国黑客尹可成和周帅起诉的警报中,指出"尹和周的活动被公开追踪为APT27、威胁组织3390、Bronze Union、Emissary Panda、Lucky Mouse、Iron Tiger、UTA0178、UNC5221和Silk Typhoon。“我们应如何解读这一声明?这是否意味着APT27和其他提到的威胁组织名称是等同的别名组?还是尹和周参与了所有这些组织背后的行动?

在本文中,Natto团队研究了名为APT27、HAFNIUM和Silk Typhoon的威胁组织——在许多报告中,它们彼此以"别名"出现——以展示网络安全社区如何追踪威胁组织,以及政府文件披露已识别个人和实体时选择突出哪个组名的细微差别。我们还将阐明网络生态系统中人为因素的重要性。自2023年4月推出以来,键盘背后的人员及其动机、文化和关系一直是Natto Thoughts的主要关注点。

时间线:Silk Typhoon、HAFNIUM和APT27事件与披露

2021年3月:HAFNIUM = Silk Typhoon - Microsoft Exchange服务器数据泄露

在这三个威胁组织名称中,我们可以清楚地将HAFNIUM组与Silk Typhoon组等同起来。这两个名称都源自微软的威胁行为者命名分类法。2023年4月,微软将其分类法从基于化学元素的系统改为以天气为主题的系统,导致HAFNIUM被重命名为Silk Typhoon。

公众首次了解HAFNIUM是在2021年3月,当时微软将该组归因于当年Microsoft Exchange服务器的入侵。在其2021年3月的报告"HAFNIUM使用0day漏洞攻击Exchange服务器"中,微软评估HAFNIUM为一个"由国家资助”、“在中国境外运作"的组织。HAFNIUM针对美国的传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智囊团和非政府组织。观察到的TTP(战术、技术和程序)包括:

  • 利用面向互联网的服务器中的漏洞
  • 使用合法的开源框架进行命令和控制
  • 在获得访问权限后将数据外泄到文件共享站点

尽管HAFNIUM组名当时对公众来说是新的,但网络安全研究人员自至少2013年以来已经报告了其他重叠的威胁组,主要与使用China Chopper恶意软件有关。Malpedia的HAFNIUM资料引用了90多份参考报告。

2025年1月:黑客尹可成被揭露,但未提及威胁组织隶属关系

2025年1月17日,美国财政部制裁了中国黑客尹可成,引用他参与了2024年12月发生的财政部黑客攻击。新闻稿指出,尹"隶属于"中国国家安全部(MSS),并且已经活跃了十多年。然而,它没有提到尹与任何已知APT组织的联系。

2025年3月:尹可成、周帅和APT27网络

两个月后,2025年3月5日,美国司法部(DoJ)解封了两份独立的起诉书,指控中国黑客尹可成和周帅(又名"Coldface”)从2011年至今针对广泛的美国受害者(包括财政部)进行了黑客活动。起诉书还透露,这两名黑客与"APT27"和其他威胁组织名称(包括"Silk Typhoon")有关联。然而,司法部在新闻稿标题中强调了黑客与"APT27"的联系,指出尹和周都是自由职业者,充当数据经纪人,自至少2018年以来"出售非法外泄的数据和对受感染计算机网络的访问权限"。他们为已识别的入侵活动已知的TTP包括:

  • 定期扫描受害者网络以寻找漏洞,利用这些漏洞,并在进入受害者网络后进行侦察
  • 安装恶意软件以维持持久访问,并与恶意外部服务器和其他黑客基础设施通信
  • 识别和窃取数据
  • 出售被盗数据

值得注意的是,历史数据显示,与APT27相关的入侵活动可以追溯到2009年。Malpedia的APT27资料列出了自2009年以来的380多份报告参考,并识别了11个恶意软件家族。

除了这两份起诉书,美国财政部还将周帅及其公司上海黑英信息技术有限公司列入制裁名单,指控他们与受制裁的黑客尹合作"非法获取、经纪和出售来自美国高度敏感关键基础设施网络的数据"。Natto Thoughts已发布关于周帅、其关联公司及其参与中国国家网络行动的详细报告。

2025年3月:Silk Typhoon针对全球IT供应链

在美国司法部识别这两名据称是APT27黑客的同一天,微软发布了一份题为"Silk Typhoon Targeting IT Supply Chain"的报告,概述了自2024年底以来观察到的Silk Typhoon威胁活动。这标志着微软在2023年4月将HAFNIUM重命名为Silk Typhoon后首次公开关于Silk Typhoon的报告。

报告指出,Silk Typhoon已针对"信息技术(IT)服务和基础设施、远程监控和管理(RMM)公司、托管服务提供商(MSP)及其附属机构、医疗保健、法律服务、高等教育、国防、政府、非政府组织(NGO)、能源以及位于美国和世界各地的其他目标。“除了IT供应链目标外,所有其他针对的部门都与微软2021年关于HAFNIUM的报告中所识别的类似。报告将Silk Typhoon描述为:

  • 一个专注于间谍活动的中国国家行为者
  • 一个资源充足、技术熟练的组,能够快速操作利用边缘设备中新发现的零日漏洞
  • 拥有中国威胁行为者中最大的目标足迹之一
  • 展示了理解云环境的专业知识

网络安全分析师指出,这一活动代表了Silk Typhoon"战术上的重大转变”,因为该组越来越关注IT供应链。

尽管微软在其3月的报告中未提及Silk Typhoon的IT供应链攻击的具体受害者,但美国网络安全和基础设施安全局(CISA)于2025年5月22日发布的咨询警告了针对Commvault的SaaS(软件即服务)云应用程序的网络威胁活动。Commvault是一家美国的数据安全和云基础设施管理公司。在CISA咨询之后,各种媒体报道称,Commvault活动是由Silk Typhoon组进行的——与"渗透财政部网络"的组相同。

2025年7月:“HAFNIUM"入侵活动归因于黑客徐泽伟和张宇及其关联公司

2025年7月,据称是中国国家合同黑客的徐泽伟在意大利被捕,促使披露了据称与2020年和2021年HAFNIUM威胁活动有关的黑客和公司。7月8日,美国司法部发布新闻稿并解封了一份起诉书,指控徐泽伟及其同案被告张宇在2020年2月至2021年6月期间参与了黑客活动。这些活动据称与APT组HAFNIUM有关,涉及从大学窃取COVID-19研究、利用Microsoft Exchange服务器漏洞以及危害全球数千台计算机,包括在美国的计算机。

起诉书中描述的目标部门——“医疗保健、律师事务所、高等教育、国防承包商、政策智囊团和非政府组织(NGO)"——与微软2021年Exchange服务器泄露报告中的类似。战术、技术和程序(TTP)也相同,包括:

  • 通过搜索开放网站获取关于目标基础设施的泄露数据进行侦察和数据收集
  • 使用China Chopper等工具并利用零日漏洞

对徐和张的起诉书还透露了两家公司——上海势岩网络科技发展有限公司和上海势炎信息科技有限公司——徐和张分别在这些公司担任职务。这些公司"受上海国家安全局(SSSB)指示运作”,SSSB是国家安全部(MSS)的地方办公室。

Natto Thoughts已发布关于徐泽伟、其关联公司上海势岩和中国的网络生态系统的详细报告。SentinelLabs的Dakota Cary也撰写了一份关于黑客张宇、上海势炎和中国的隐蔽网络能力的优秀报告。

在官方文件中所有别名中应使用哪个威胁组织名称?视情况而定

如上述时间线所示,当美国政府披露据称负责恶意网络活动的黑客和实体——以及它们与网络安全社区追踪的威胁组织的联系——时,它并不一致地使用所有别名中的单一威胁组织名称。

2025年的三份政府文件提供了一个例子:首先,在1月,政府识别黑客尹可成对

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次