威胁归因 on 办公AI智能小助手

交错的网线：伊朗网络间谍活动与归因案例分析

Tue, 09 Dec 2025 07:18:37 +0800

交叉的线索：伊朗网络间谍活动与归因案例分析

关键发现

2025年6月至8月，Proofpoint开始追踪一个先前未被识别的、代号为UNK_SmudgedSerpent的威胁行为体，其目标为学者和外交政策专家。
UNK_SmudgedSerpent利用与伊朗国内政治相关的诱饵，包括社会变革和伊斯兰革命卫队（IRGC）军事化调查。
该组织使用了看似无害的对话开场白、健康主题的基础设施、仿冒的OnlyOffice文件托管服务以及远程监控与管理工具。
在整个调查过程中，UNK_SmudgedSerpent展现出与多个伊朗威胁行为体相似的技术、战术和程序：TA455（C5 Agent， Smoke Sandstorm）、TA453（Charming Kitten， Mint Sandstorm）和TA450（MuddyWater， Mango Sandstorm）。
重叠的TTPs使得高置信度归因变得困难，但有几种假说可以解释UNK_SmudgedSerpent与其他伊朗组织之间的关系性质。

概述六月，Proofpoint威胁研究团队开始调查一封关于伊朗经济不确定性和国内政治动荡的看似无害的电子邮件。尽管活动时间与伊朗-以色列冲突升级的时间点重合，但没有迹象表明观察到的活动与以色列对伊朗核设施的攻击或伊朗的回应行动直接相关。

伊朗网络间谍活动深度剖析：技术手法与归因挑战

Wed, 19 Nov 2025 06:44:06 +0800

关键发现

2025年6月至8月期间，Proofpoint开始追踪一个名为UNK_SmudgedSerpent的先前未识别威胁行为者，其目标为学者和外交政策专家。
UNK_SmudgedSerpent利用国内政治诱饵，包括伊朗的社会变革和伊斯兰革命卫队（IRGC）军事化调查。
该组织使用良性的对话启动器、健康主题的基础设施、OnlyOffice文件托管伪造和远程监控与管理（RMM）工具。
在整个调查过程中，UNK_SmudgedSerpent展示了与多个伊朗行为者相似的战术：TA455（C5 Agent，Smoke Sandstorm）、TA453（Charming Kitten，Mint Sandstorm）和TA450（MuddyWater，Mango Sandstorm）。
重叠的战术、技术和程序（TTP）阻碍了高置信度的归因，但有几个假设可以解释UNK_SmudgedSerpent与其他伊朗团体之间关系的性质。

概述

6月，Proofpoint威胁研究开始调查一封讨论伊朗经济不确定性和国内政治动荡的良性电子邮件。虽然与伊朗-以色列冲突的升级同时发生，但没有迹象表明观察到的活动与以色列对伊朗核设施的袭击或伊朗的回应行动直接相关。

解码中国威胁组织归因与人为因素：APT27、HAFNIUM与Silk Typhoon的关联分析

Sun, 02 Nov 2025 07:28:59 +0800

背景

自2025年3月以来，美国政府已公开曝光与中国黑客有关的威胁组织，这些组织被公开追踪为APT27、HAFNIUM、Silk Typhoon等别名。在这些被命名的高级持续性威胁（APT）组织中，网络安全社区的技术分析和观察到的入侵活动提供了组织追踪标准和减轻危害、从系统和网络中清除恶意软件的措施。

威胁归因分析：RomCom与TransferLoader恶意软件活动对比

Fri, 31 Oct 2025 04:13:56 +0800

10 Things I Hate About Attribution: RomCom vs. TransferLoader

关键要点

TA829同时进行间谍活动和网络犯罪操作，依赖犯罪地下市场服务，并基于传统RomCom后门构建定期更新的工具套件
Proofpoint观察到高度相似的电子邮件活动和重定向基础设施设置，这些活动部署了名为TransferLoader的新加载器和后门
目前Proofpoint将TransferLoader活动归因于名为“UNK_GreenSec”的独立网络犯罪集群，而非TA829
本博客展示分析师如何探索两组活动之间的差异和重叠，并对这两个集群在更大犯罪和间谍生态系统中的关系提出开放式问题

概述

大多数情况下，可以根据不同的战术、技术和程序(TTP)、工具、数量/规模和目标来划分不同集群的活动，并将网络犯罪与间谍活动分开。然而，在TA829和Proofpoint称为“UNK_GreenSec”的集群案例中，存在更多模糊性。TA829是一个网络犯罪行为者，偶尔也进行符合俄罗斯国家利益的间谍活动，而UNK_GreenSec是一个不寻常的网络犯罪集群。