亚洲国家支持的组织 TGR-STA-1030 入侵 70 家政府和基础设施实体

据 Palo Alto Networks Unit 42 的最新研究显示，一个此前未被记录的亚洲网络间谍组织在过去一年内侵入了遍布 37 个国家的至少 70 家政府和关键基础设施机构的网络。

此外，该黑客团队在 2025 年 11 月至 12 月期间，对涉及 155 个国家的政府基础设施进行了主动侦察。已确认被攻破的实体包括五个国家级执法/边境管理机构、三个财政部以及其他与经济、贸易、自然资源和外交职能相关的政府部门。

该活动由网络安全公司以代号 TGR-STA-1030 进行追踪，其中 “TGR” 代表临时威胁组织，“STA” 表示国家支持的动机。证据显示该威胁行为自 2024 年 1 月起活跃。

虽然黑客的具体来源国尚不明确，但鉴于其使用的地区性工具和服务、语言设置偏好、针对的目标与地区事件和情报的关联以及 GMT+8 的作业时间，评估其为亚洲来源。

攻击链利用钓鱼邮件诱骗收件人点击指向新西兰文件托管服务 MEGA 的链接。该链接提供一个 ZIP 包，内含名为 Diaoyu Loader 的可执行文件以及一个零字节文件 “pic1.png”。

该恶意软件采用双阶段执行防护，以阻止自动化沙箱分析。除了要求水平屏幕分辨率不低于 1440 外，样本还会检查执行目录中是否存在特定文件（pic1.png）。

PNG 文件充当完整性检查；若未在同一位置找到，恶意软件会提前终止。满足条件后，恶意软件会检测系统中是否存在特定的安全软件，包括 Avira（SentryEye.exe）、Bitdefender（EPSecurityService.exe）、Kaspersky（Avp.exe）、Sentinel One（SentinelUI.exe）和 Symantec（NortonSecurity.exe）。

2025 年 11 月至 12 月期间 TGR-STA-1030 侦察的国家分布

目前尚不清楚威胁行为者为何仅针对上述少数安全产品。加载器的最终目标是从名为 “WordPress” 的 GitHub 仓库下载三张图片（admin-bar-sprite.png、Linux.jpg、Windows.jpg），这些图片充当 Cobalt Strike 载荷的投递渠道。相关的 GitHub 账户已不再可用。

TGR-STA-1030 还被观察到利用针对 Microsoft、SAP、Atlassian、Ruijieyi Networks、Commvault 和 Eyou 邮件系统等大量软件产品的已知（N‑day）漏洞，以获取对目标网络的初始访问。目前没有证据表明该组织使用或开发了零日漏洞。

威胁行为者使用的工具包括指挥控制（C2）框架、Web Shell 和隧道工具。

• C2 框架 - Cobalt Strike、VShell、Havoc、Sliver、SparkRAT
• Web Shell - Behinder、neo-reGeorg、Godzilla
• 隧道工具 - GO Simple Tunnel (GOST)、Fast Reverse Proxy Server (FRPS)、IOX

值得注意的是，上述 Web Shell 常与中国黑客组织关联。另一值得关注的工具是代号为 ShadowGuard 的 Linux 内核 rootkit，它利用 eBPF 技术隐藏进程信息、拦截关键系统调用以防止 ps 等用户空间分析工具看到特定进程，并隐藏名为 “swsecret” 的目录和文件。

该组织经常租用并配置其 C2 服务器，使用多家知名 VPS 提供商的基础设施，并通过额外租用的 VPS 中继流量以连接 C2 基础设施。

安全厂商称，攻击者在多个受影响实体中维持了数月的访问，表明其在长时间内收集情报的意图。

TGR-STA-1030 仍然是全球政府和关键基础设施的活跃威胁。该组织主要针对政府部门进行间谍活动，优先针对已建立或正在探索特定经济合作关系的国家。

虽然该组织的目标是间谍，但其手段、目标和规模令人担忧，可能对国家安全和关键服务产生长期影响。