全球资安新战场：TeamT5解析2024年中国APT攻击态样与假讯息潮流

在2024年，全球资安事件的数量持续攀升，根据台湾资安公司TeamT5（杜浦数位安全）技术长李庭阁的观察，资安攻击数量较2023年增加的比例达到两位数，显示攻击者活动频率不断提高。特别是高活跃度的攻击族群从去年的60个增至今年的73个，增幅超过20％。这些攻击族群采用更多元化的攻击技术与手段，针对不同目标展开更加精密的行动。

他指出，2024年是全球的选举年，从中可以观察到许多骇客组织利用深伪影片和发布假讯息的方式，企图左右各国的选举结果，台湾也深受假讯息和深伪影片危害。

此外，李庭阁表示，该公司也从中国资安公司安洵（i-Soon）外泄的资料中发现，中国APT组织彼此之间有不同的竞合关系，但随著中国经济开始衰退，过往由政府在背后提供资金支持的APT组织，在缺乏资金的前提下，也将攻击对象从以往的国家、军方和大型企业，开始转向缺乏资安专业和预算的中小企业。

骇客透过社交媒体散布假讯息，企图左右选举结果

2024年是全球的选举年，有超过100个举行选举的国家，因此，选举事件成为骇客利用的主要场景。李庭阁观察指出，社交媒体成为骇客与政党争夺舆论的重要战场时，骇客开始利用名为「Hack and Leak」的攻击手法，透过渗透行动获取敏感文件，再对其进行加工或扭曲，并于关键时刻公开，以影响选举结果。

这一手法早在2016年的美国总统选举首次被广泛关注，当时俄罗斯骇客对希拉蕊·柯林顿的竞选团队发起攻击，导致大量内部文件外泄且被用于政治操弄。如今，骇客结合生成式AI技术，生成更多真实感极高的深伪（Deep Fake）影片或语音的假讯息，并利用僵尸帐号（Bot Account）放大舆论效果。

例如，2024年台湾总统大选时，就有YouTuber以AI深伪影片控诉当时的总统参选人赖清德，抹黑他年轻时曾是调查局春风专案的线民。此事件就展现这类境外势力试图透过散布假讯息的方式，企图左右总统选举的行动的全面性与深度。

除了这些深伪影片或语音档案，骇客也透过社群媒体左右舆论风向，例如雇用具影响力的意见领袖或网红（KOL），再加上AI生成的假讯息，结合僵尸帐号的放大效果，对选举期间的公众信任造成严重侵蚀。以美国为例，FBI就揭露伊朗骇客针对2024年美国选举的干预行动，目的就是影响特定候选人落选，显示国际的网路战争已蔓延至政治层面。

在台湾，相关攻击行动更频繁且针对性更高，这些攻击者在选举期间散布大量假讯息，内容涉及领导人私生活、军事行动谣言等敏感议题。这些假讯息旨在削弱民众对政府的信任，为敌对势力创造舆论优势。

中国APT组织从国家资助转向以金钱为目的

回顾2024这一年，中国的进阶持续性威胁（APT）组织展现更强的协调性与攻击力。他们以渗透边缘装置（Edge Device）为主，目标锁定VPN、防火墙、电子邮件闸道器等设备，试图利用这些关键装置作为跳板进行进一步渗透。根据统计，今年追踪的重大漏洞攻击事件中，有14起与边缘装置相关，显示这些设备已成为主要攻击目标。

攻击者渗透边缘装置后，常利用其进一步收集内部机密文件，或建立僵尸网路执行更大规模的攻击。例如，针对SOHO路由器（小型办公室与家庭路由器）的攻击激增，显示APT组织试图借由大规模感染这些装置，扩展其网路犯罪基础。

边缘装置的安全漏洞已成为中国APT的核心攻击策略，李庭阁指出，根据美国、英国、日本及荷兰资安机构的联合报告指出，这些骇客不仅窃取机密数据，还利用设备作为内部网路的渗透跳板；一旦攻击成功，他们便能在受害系统内部自由移动，进而掌控更敏感的资源。

过去，中国APT组织彼此的行动往往相对独立，但他表示，在2024年出现更多合作的迹象。例如，成都404等公司被发现共同参与一些大型专案，这些通常由中国公安部或国安单位主导。合作范畴包括共享攻击目标与工具、分配成果等。

安洵（i-Soon）外泄的内部文件进一步揭露了这种合作现象。李庭阁根据这些文件指出，不同的APT组织在竞争中也会建立策略联盟，借此提高执行效率和攻击成功率。例如，他们可能分工处理某些特定任务，或将已入侵的系统交由合作方进行进一步渗透。

从安洵的外泄文件还显示，中国APT逐渐将其技术应用于商业目的，这些行动不再局限于政府军事或高科技产业，还扩展至民用领域，包括营建业、制造业甚至餐饮业。这些目标可能因其内部资源具有商业价值而被锁定，APT组织再将窃取的数据销售给竞争对手或黑市，以实现利益最大化。

中国经济的结构性挑战逐渐对APT组织的行动模式产生深远影响。近年来，中国政府对APT组织的资金支持逐步减少，部分APT组织甚至被迫转向商业化营运。根据安洵外泄的文件内容，其中有一些APT成员透露，他们的工资多年未增，甚至面临降薪的窘境。

实际上，中国大型资安公司安天（Antiy）已经宣布，从2024年10月起，高阶主管停止支付部分薪水，全体员工则自12月起全面降薪。「这也反映出中国整体资安产业面临经营困境。」他说。

由于资金短缺，中国APT组织逐渐将重心转向金钱驱动的网路犯罪行动，李庭阁坦言，这种攻击行动将不再局限于政府、军事与大型企业，而是扩展到更多中小型目标，攻击范围涵盖银行、保险公司及其他商业机构。

例如，先前有一起典型案例显示，2024年某台湾企业遭APT组织攻击，其内部机敏数据在两周内被上传至知名勒索软体平台LockBit。他分析此事件表明，APT组织已经与勒索软体骇客组织建立双方合作关系，共同分享非法所得。

另一个值得注意的趋势是，APT组织正在采用更多「灰色地带」的手段赚取收益。李庭阁举例，有APT组织开始提供SEO（搜索引擎最佳化）相关服务，但这些服务背后采用攻击性技术，操纵网站排名，甚至利用网路漏洞控制竞争对手的数位资产。

APT组织转型，攻击对象从国家、大型组织转到中小企业

此外，APT41组织也被观察到使用全球范围的攻击策略，其攻击工具与技术已广泛应用于勒索软体、资料窃取与商业间谍行动中。李庭阁认为，随著中国APT行动的商业化，这些组织的攻击目标变得更加多元，威胁层级也显著提升。

从中国APT组织的商业化转型也显示出，中国经济困境与网路犯罪之间的密切联系。当中国的国家预算无法支撑APT组织的运作时，这些APT组织便利用其先进的攻击技术与资源，透过非法行动填补其资金缺口。

李庭阁认为，中国APT组织的转型模式，也会逐步扩散，并将对全球资安生态造成重大影响。传统上，APT组织多以国家支持的形式出现，然而，一旦这些组织开始商业化，当他们的攻击标的不再限于政治与军事时，反而更加关注于经济价值，可能会形成一种「攻击民主化」的现象。

随著攻击者的目标逐渐扩展至中小型企业，这些传统上被认为资源有限的组织单位，正面临前所未有的挑战。以往APT攻击主要集中于政府、军事与大型企业，但随著攻击者的商业化转型，他表示，APT组织攻击范围已延伸至制造业、营建业甚至餐饮业等非传统目标。

攻击者正利用企业的边缘装置或基础设施漏洞，迅速获取内部数据，或利用感染设备建立僵尸网路以发动进一步攻击。他认为，这对缺乏专业资安团队与预算支持的中小型企业而言，特别具有挑战性。