資安公司披露中共駭客「幽靈金牛」

美國資安公司派拓網路(Palo Alto Networks)旗下的情報威脅團隊「Unit 42」發表最新報告,披露了未曾曝光的中共國家級駭客組織「幽靈金牛」(Phantom Taurus),該組織使用可快速調整的、獨特的「策略、技術和程序」(簡稱TTP)組合,能夠執行高度隱藏的行動。
報告指出,過去三年來,該組織持續對中東、非洲與亞洲多國的外交部門、駐外使館及電信單位發動網路間諜行動,展現高度隱匿與長期滲透的能力。
「幽靈金牛」的攻擊目標集中在涉外事務、地緣政治與軍事活動等領域,所搜集的敏感資料與中共經濟與地緣政治利益高度契合。這些行動經常與重大國際事件或地區安全局勢同步,顯示其情報意圖明確。
研究團隊強調,與過去已知的中共駭客組織如「APT 27」(又稱鐵金牛/Iron Taurus)、「APT 41」(又稱溫蒂/Winnti)及「野馬熊貓」(Mustang Panda)等相比,「幽靈金牛」雖同樣使用中共駭客慣用的基礎設施,但其操作方式與工具庫獨樹一幟,具備更高程度的「區隔化」與隱蔽性。
從郵件竊取轉向資料庫滲透
幽靈金牛最早在2023年由資安界以編號CL-STA-0043記錄,後來因持續對政府機構展開網路間諜行動,被歸入代號「外交幽靈行動」(Operation Diplomatic Specter)。
該組織早期以竊取政府郵件為主,但自2025年起逐步轉向直接滲透資料庫系統,透過專屬腳本「mssq.bat」連接SQL伺服器,搜尋並匯出特定國家的資料,例如阿富汗、巴基斯坦等。
這種轉變反映出其戰術升級,並能更直接獲取高價值情報。2025年,研究人員認定其規模與影響力已足以被正式界定為獨立的國家級駭客組織。
新型工具威脅政府伺服器
研究人員揭露,「幽靈金牛」開發了一套全新惡意程式工具組「NET-STAR」,專門鎖定政府常用的Microsoft IIS伺服器,嚴重威脅政府與外交機構。
報告指出,NET-STAR能在不留下檔案痕跡的情況下偷偷運作,並執行資料庫查詢、檔案竊取與加密通訊,極難被發現。其中一個功能甚至能繞過Windows系統的安全防護,避開防毒軟體偵測。
國際網路安全警示
派拓網路指出,經過持續數年的追蹤與分析,已確認「幽靈金牛」為中共新興的「高級持續性威脅」(APT)組織。該公司已與非營利組織「網路威脅聯盟」(Cyber Threat Alliance,CTA)分享了相關發現,以便CTA成員利用這些情報快速為客戶部署防護措施,並系統性阻斷惡意網路攻擊者。
報告同時建議政府與電信業者提升對資料庫與IIS伺服器的監控與防護,防範此類隱形攻擊。
派拓網路成立於2005年,總部設於美國加州聖塔克拉拉,是全球領先的資安公司。其主要競爭對手包括飛塔(Fortinet)、捷邦(CheckPoint)與思科(Cisco)。在2025年《財富》500強榜單中,派拓網路首次上榜,位列第470位,成為少數進入榜單的純資安企業。◇