赛门铁克曝光中国APT重叠：Zingdoor、ShadowPad和KrustyLoader用于全球间谍活动

赛门铁克的调查揭示了一个复杂的中国间谍行动网络，其基础设施和工具在多个威胁集群中存在重叠。研究团队观察到Zingdoor后门、ShadowPad木马和KrustyLoader恶意软件家族在受害者网络中部署——这些工具先前都与Glowworm（又名Earth Estries、FamousSparrow）和UNC5221这两个与中国有关的APT组织相关联。

“在所有三个组织网络中部署的Zingdoor，过去一直与中国组织Glowworm有关，”赛门铁克指出。“此次活动中使用的另一个工具KrustyLoader，先前也与名为UNC5221的组织活动相关联，该组织被描述为中国关联组织。”

攻击者还入侵了两个南美政府机构和一所美国大学，利用SQL Server和Apache HTTP漏洞作为替代入口点。在这些案例中，他们将恶意侧加载DLL伪装成名为mantec.exe的合法BugSplat二进制文件——这是一种冒充赛门铁克软件以逃避检测的策略。

攻击者依靠复杂的模块化工具包在目标环境中维持持久性和执行命令。

恶意软件工具分析

Zingdoor后门：一个用Go语言编写的HTTP后门，Zingdoor可以收集系统数据、上传/下载文件并执行任意命令。它首次出现在2023年，此后成为中国间谍行动的标配工具。在此次活动中，它使用合法的Trend Micro二进制文件进行侧加载，以融入企业环境。

ShadowPad木马：与Zingdoor一起部署，ShadowPad是一个模块化远程访问木马（RAT），被多个中国APT组织使用，包括APT41、Blackfly和Grayfly。它支持DLL侧加载以实现隐蔽性，并能动态下载新模块以扩展其功能。“ShadowPad是一个模块化远程访问木马，与中国境内的APT组织密切相关，”赛门铁克解释道。其模块化特性允许持续更新新功能，使其成为强大的间谍工具。

KrustyLoader投放器：2025年7月25日，攻击者部署了KrustyLoader，这是一个基于Rust的加载器，在执行反分析检查和自我删除后，下载第二阶段有效载荷——包括Sliver C2框架。“KrustyLoader于2024年1月首次记录，”赛门铁克表示。“它用Rust编写，旨在传递第二阶段有效载荷。其先前活动与中国威胁行为者和Sliver后期利用框架相关联。”

公开工具利用

除了定制恶意软件外，攻击者还大量使用公开可用的原生Windows工具来实现隐蔽性和持久性，包括：

• Certutil——用于解码或下载文件；
• GoGo Scanner——用于侦察；
• Revsocks——作为SOCKS5代理；
• Procdump、Minidump和LsassDumper——用于转储LSASS内存并提取凭据。

他们还执行了PetitPotam（CVE-2021-36942）——一种LSA欺骗漏洞利用，能够从Windows域控制器窃取凭据以提升权限。

“PetitPotam是一种利用技术，允许受感染网络内的威胁行为者从Windows服务器窃取凭据和认证信息，以获得域的完全控制权，”赛门铁克详细说明。

攻击范围扩展

调查显示，ToolShell漏洞的利用范围远远超出了微软最初确定的三个组织——Budworm（Linen Typhoon）、Sheathminer（Violet Typhoon）和Storm-2603——表明中国操作生态系统更加广泛。

“这些攻击表明，ToolShell漏洞被比最初想象的更广泛的中国威胁行为者利用，”赛门铁克总结道。

研究人员发现了大规模扫描易受攻击的SharePoint服务器的证据，随后对具有战略利益的目标进行选择性入侵，表明这是一场旨在数据窃取和长期访问的协调间谍活动。

“在目标网络上进行的活动表明，攻击者有兴趣窃取凭据并在受害者网络中建立持久和隐蔽的访问，很可能用于间谍目的，”报告称。