TAOTH攻击活动利用停更软件针对繁体中文用户与异见者

TAOTH攻击活动利用被废弃的搜狗注音输入法更新服务器及钓鱼攻击，投放TOSHIS、C6DOOR、DESFY、GTELAM等多款恶意软件，主要针对东亚地区用户。
攻击者采用复杂的感染链，包括劫持软件更新、伪造云存储或登录页面，以分发恶意软件并收集敏感信息。
受害者分析和诱饵文件显示，攻击重点针对高价值目标，包括中国、台湾、香港、日本、韩国等地的异见人士、记者、研究人员及科技/商业领袖。
基础设施和工具分析将TAOTH与先前记录的威胁活动相关联，显示出共享的C&C基础设施、恶意软件变种和战术，表明这是一个专注于侦察、间谍活动和邮件滥用的持久攻击组织。
Trend Vision One™可检测并阻止本文所述的入侵指标（IOCs），并为客户提供定制化的狩猎查询、威胁洞察和情报更新。

2025年6月，我们在一次安全事件中发现攻击者通过合法的输入法软件搜狗注音在受害者主机上安装了C6DOOR和GTELAM两款恶意软件。该软件自2019年起已停止更新，攻击者于2024年10月接管其过期域名并用于分发恶意负载。遥测数据显示至少有数百名受害者受影响，感染后还出现了后续利用活动。

通过基础设施追踪，我们发现同一威胁行为体还针对主要位于东亚的高价值个人发起攻击。本文除分析滥用搜狗注音的攻击外，还将探讨针对日本、韩国、中国和台湾的相关钓鱼活动。

搜狗注音是由中国搜狗公司开发的输入法软件，专为台湾地区的注音系统设计，但自2019年起已停止维护。攻击者于2024年10月接管其废弃的官方更新域名（sogouzhuyin[.]com），并通过该域名分发恶意更新。

攻击者控制更新服务器后，自2024年11月起开始通过搜狗注音应用分发恶意更新。遥测数据显示，该行动中部署了四款恶意软件：TOSHIS、DESFY、GTELAM和C6DOOR，分别用于远程访问、信息窃取和后门功能。攻击链还利用第三方云服务隐藏网络活动。

完整感染链包括：

由于搜狗注音面向理解注音的用户，大多数受害者位于台湾，但海外台湾社区也受影响，形成全球分布的受害者群体。

TOSHIS：作为加载器，通过修改合法PE文件入口点执行shellcode，仅针对特定语言ID（zh-TW、zh-CN、ja-JP）的用户，最终投放COBEACON或Merlin Agent。
DESFY：间谍软件，收集桌面和Program Files目录的文件名并发送至C&C服务器，用于受害者画像。
GTELAM：窃取特定扩展名（如.pdf、.docx）的文件名，加密后上传至Google Drive。
C6DOOR：Go语言编写的自定义后门，支持HTTP/WebSocket，包含简中字符，提供命令执行、文件操作、截图等20余项功能。

攻击者主要处于侦察阶段，仅在个别案例中通过Visual Studio Code建立隧道，执行系统信息收集命令。

同一攻击者还发起针对东亚的钓鱼活动，通过伪造登录页面和云存储页面分发TOSHIS恶意软件或获取OAuth权限以控制受害者邮箱。

受害者主要位于中国、香港、台湾、日本和韩国，少数位于美国和挪威。

诱饵内容涉及政治议题，表明攻击目标包括研究人员、异见人士、记者及企业高管。

TAOTH活动与ITOCHU研究中案例1和4存在以下关联证据：

TAOTH活动利用停更软件更新和钓鱼攻击投放恶意软件。在搜狗注音行动中，攻击者保持低调进行侦察；钓鱼行动则通过恶意邮件进一步利用目标。建议企业定期审计环境中停更软件并及时移除，用户需验证文件扩展名并审慎授权云应用权限。

Trend Vision One™平台可检测并阻止相关IOCs，提供威胁情报和狩猎查询。客户可通过以下方式防护：

附录：入侵指标（IOCs）列表详见原文链接。