英国国家网络安全中心(NCSC)携手 15 个国际合作伙伴联合发布安全通告,警告中国相关威胁组织正借助被攻陷的日常互联网设备网络,隐藏网络攻击行为。
通告披露了攻击战术的重大变化:与北京有关联的组织,正通过大量被攻陷的家用路由器及智能设备发起行动。这种方式已取代传统的专用攻击者基础设施。
家用设备变身大型“僵尸网络”
通告指出,Volt Typhoon 及 Flax Typhoon 两大组织的攻击活动均呈现出一致模式:相关流量先通过被攻陷的小型办公和家用路由器,再进入目标系统。
这些隐秘网络帮助中国相关黑客团队实现目标扫描、恶意软件投递及数据外传,同时有效隐藏攻击来源。
以 Raptor Train 为例,该网络仅在 2024 年就感染了全球超 20 万台设备。据 NCSC 透露,FBI 指出该网络由总部位于北京的网络安全公司 Integrity Technology Group 负责运营。相关报道请见 BeInCrypto 早前文章。
2025 年 12 月,英国因其鲁莽的网络活动对该公司实施制裁,理由是严重危及友国安全。
被攻陷的设备多为已停止维护的网络摄像头、录像机、防火墙及网络存储设施。这些设备由于厂商已停止安全补丁支持,极易沦为大规模渗透和攻击的目标。
西方关键基础设施已遭“预植入”
Volt Typhoon 还利用另一个名为 KV Botnet 的隐形网络,在美国及其盟国的重要国家基础设施中部署了后门。
通告援引美国司法部的相关材料,明确指出能源电网、交通系统及政府网络正成为主要攻击目标。
英国国家网络安全中心运营总监 Paul Chichester 指出,攻击溯源还面临一种称为“攻击指征湮灭”的挑战。用于跟踪攻击者的标识符往往刚被研究人员公布,随即就被攻击方替换或消失。
这一问题反映出当前各国在追踪国家背景黑客对关键基础设施及金融体系的大规模渗透时,所面临的普遍困难。
近年来,我们观察到中国境内的网络团伙刻意转向利用这些网络来隐藏其恶意活动,意在逃避追责。—— 英国国家网络安全中心(NCSC)运营总监 Paul Chichester
有关部门建议机构应以常规网络流量为基线,并引入动态威胁情报。同时,建议将与中国有关的隐秘网络视为高级持续性威胁(APT),单独进行监控追踪。
截至 2024 年,网络攻击导致的数字资产损失已超 20 亿美元。未来数月,防御方能否迎头赶上将接受严峻考验。在这场较量中,追踪溯源本身,已成为首个受害者。
