银狐APT模糊间谍活动与网络犯罪的界限

银狐堪称中国威胁行为者中的"汉娜·蒙塔娜"，能够轻松在小规模犯罪和国家级攻击之间切换。

双重性质的攻击行动

一个中国威胁行为者一直在对主要讲中文的各种组织进行既以情报为导向又以经济利益为动机的攻击。

与大多数组织相比，银狐拥有广泛的战术、技术和程序（TTPs）。它可能通过带有恶意附件的网络钓鱼邮件冒充大型组织来获得对受害者的初始访问权限。或者通过Telegram频道或通过搜索引擎优化（SEO）投毒推广的网站传播虚假应用程序或合法应用程序的木马化版本。

入侵后，可能会出现远程访问木马（RAT），如ValleyRAT、Winos 4.0、Gh0stCringe或HoldingHands RAT（Gh0st RAT的两个变种）。或者，可能会有一个键盘记录器在等待，还有一个加密矿工使用您的机器资源来赚钱。

行动多样性与背景关联

这种操作多样性使银狐能够扮演不同的角色。Picus Security、Trustwave和其他研究公司最近的分析将该组织与中国政府联系起来，因为它倾向于从关键基础设施、网络安全、政府等组织中窃取敏感信息或进行破坏，特别是在台湾。

但同时，它一直在对游戏、医疗保健和金融公司以及教育机构进行攻击，再次主要是在台湾，但也在日本和北美。许多这些案例类似于普通的网络犯罪，明确的目标是赚钱。

Picus Security的安全研究工程师Sıla Özeren解释说：“虽然这是一个比纯间谍活动或纯犯罪更复杂的模式，但这种双重方法使银狐更加灵活，更好的掩护和更广泛的影响力。银狐是一个主要参与者，也是一个警告信号。它预示着未来会有更多中国APT像企业一样运作：灵活、多任务，并愿意在实现地缘政治和经济目标的方式上进行创新。”

历史先例与趋势分析

历史上，朝鲜一直使用其高级持续性威胁（APTs）进行特征性的国家风格攻击（例如，情报收集、破坏关键行业）和网络犯罪攻击（例如，诈骗、勒索软件、加密挖矿）。

对中国来说，这样跨越界限可能看起来不典型，中国的APTs不仅专门从事特定类型的攻击，甚至在这些攻击中担任细粒度角色。然而，有先例，最显著的是APT41（又名Barium、Double Dragon、Winnti）的形式，它既与间谍活动有关，又与金融盗窃有关。根据Özeren的说法，APT41和银狐标志着中国威胁格局的"更广泛趋势"。

动机与战略优势

Özeren解释说：“首先，以经济利益为动机的攻击创造了一层合理的推诿。如果受害者看到加密货币矿工或虚假发票，他们更可能将入侵视为普通网络犯罪，而不是协调的国家支持的行动。这种误导为该组织争取了时间，并帮助他们在雷达下运作。”

其次，她说，经济角度使银狐有能力自筹资金。“而不是完全依赖政府资源，他们通过加密劫持或盗窃产生自己的资金，这可能用于支持更广泛的行动，“她说。“这也表明了中国当局一定程度的自主权，或至少是容忍。”

最后，“通过撒大网，该组织向更多目标和更多数据开放。即使从情报角度来看，一些受害者价值较低，它们可能对初始访问、基础设施或长期战略定位有用。偶尔，从低级入侵开始可能会暴露更大的东西，比如关键系统的凭据或合作伙伴网络的访问权限。”

防御意义

Trustwave的高级安全研究经理Karl Sigler说：“归根结底，这并不太令人惊讶。如果说有什么的话，令人惊讶的是许多其他组织如此专注。银狐的作案手法表明了一套广泛的技能，从漏洞开发到社会工程和网络钓鱼攻击。如果你有资源，你可能不必在特定的APT类型任务或机会主义的、以经济利益为动机的攻击之间做出选择。”

对于亚太地区的防御者，Özeren说：“这意味着面对不仅持久和隐秘，而且以经济利益为动机和操作多样化的威胁行为者。银狐完全符合这种模式：激进、快速演变且难以归因。”