東南亞軍事網絡被潛伏4年，中國關聯黑客用"睡眠腳本"騙過所有監控

2020年至今，超過4年時間，一批軍事組織的網絡里住著不速之客。他們沒偷走海量數據，也沒搞破壞，只是安靜地待著，偶爾翻翻看。

安全公司PolySwarm最近披露的行動代號CL-STA-1087，把這套"低存在感"間諜術的底褲扒了個干凈。攻擊者把PowerShell腳本設成每6小時才動一次——這個頻率剛好卡在多數自動化監控工具的盲區里，像鬧鐘調成了人類注意力的死角。

被發現純屬意外：一個" unmanaged endpoint"（未受管終端）的警報

整個行動的暴露是個黑色幽默。調查人員最初只是看到某臺邊緣設備上的PowerShell活動異常，順藤摸瓜才發現：這不是剛破門，是人家已經住了很久。

攻擊者部署的延遲執行腳本早就連上了多個命令控制（C2）服務器。6小時間隔的設計堪稱心機——自動化工具看的是流量峰值和頻率異常，這種"脈沖式"心跳比正常業務還像正常業務。

Palo Alto旗下Unit 42的分析師在報告中打了個比方：這幫人不是在"入侵"，是在"寄居"。他們的目標明確指向指揮、控制、通信、計算機與情報系統，也就是軍方的C4I體系。翻譯成人話：不是來偷文件的，是來偷"怎么打仗"的。

工具箱解剖：三個自制后門與一份"中國時區作息表"

技術拆解顯示，攻擊者用了三件核心工具。AppleChris是主后門，負責長期駐留；MemFun作為輔助后門；Getpass則是Mimikatz的改裝版，專門搬運憑證。

AppleChris的C2地址獲取方式相當復古——從Pastebin動態拉取，早期版本還用過Dropbox。這種設計讓封鎖域名變成打地鼠，封一個換一個，成本全轉嫁給防御方。

更露馬腳的是行為指紋。Unit 42發現攻擊者的操作時間高度吻合UTC+8時區的工作時段，基礎設施里嵌著中國云服務，C2環境里還能找到簡體中文元素。沒有組織被正式點名，但這些指標疊在一起，指向性已經相當明確。

持久化手段同樣老練。攻擊者在system32目錄里玩DLL劫持，把惡意文件注冊成正經Windows服務。這種"借殼上市"讓惡意代碼獲得了系統級的信任背書，查殺工具掃過去，看到的只是又一個svchost。

橫向移動的精準打擊：從邊緣設備到域控和 executive 系統

沉寂數月后，攻擊者開始第二階段。他們用Windows管理規范（WMI）和原生.NET命令橫向擴散，目標清單讀起來像軍事IT部門的組織架構圖：域控制器、Web服務器、IT工作站、高管系統。

這里的"executive systems"（高管系統）值得細品。不是隨便哪臺電腦，是決策層的工作終端。結合C4I系統的情報價值，攻擊者的優先級排序很清晰——人比機器重要，決策層比普通員工重要，作戰流程比單個文件重要。

這種"戰略情報"導向，和常見的數據竊取型攻擊形成對比。后者往往批量拖庫、量大管飽；CL-STA-1087是精準點菜，每動一下都有明確目標。

Southeast Asia 的軍網為何成了長期靶場

東南亞軍事組織成為目標，地理和戰略因素都有。該區域處于關鍵航道，多國軍事合作頻繁，且網絡安全投入與攻擊者的 sophistication（ sophistication ）存在落差。

更關鍵的是"長期駐留"這門手藝的價值。4年時間足夠觀察系統迭代、人員變動、甚至戰略調整。攻擊者不是在偷當下的數據，是在積累"如何理解這個組織"的上下文。

這種攻擊模式的防御難點在于：傳統指標——數據外泄量、異常流量峰值、勒索信——統統不觸發警報。直到某個未受管終端的PowerShell行為異常，整個故事才浮出水面。

PolySwarm在報告中埋了一個細節：部分樣本的編譯時間戳顯示，工具鏈的迭代持續到了2024年。這意味著行動可能仍在進化，而"6小時睡眠"只是被發現的版本。

下一個版本的間隔會是12小時，還是隨機抖動？防御方的監控閾值該往哪調？這個問題，大概正是攻擊者想看到的。