APT 41

APT 41^{[注 1]}是一个据称与中国国家安全部有关的骇客组织（英语：Hacker group）。^[4]2020年9月美国司法部将该组织列名为高级持续性威胁，并指控其中五名中国人及两名马来西亚公民涉嫌入侵全球各地100多家公司和机构。^[5][6][7][8]

双龙
Double Dragon

原称	APT 41、Barium、Winnti、Wicked Spider、Wicked Panda、TG-2633、Bronze Atlas、Red Kelpie、Blackfly
成立时间	2012
类型	高级持续性威胁
服务地区	中华人民共和国
方法	鱼叉网钓、恶意软件、供应链攻击
官方语言	普通话
所有者	中华人民共和国国家安全部
目标	网络间谍活动（英语：Cyberespionage）、 网络战、电脑犯罪

2019年，网络安全公司FireEye有高度把握表示，该组织得到了中国共产党（中共）的支持，其行动旨在获取经济利益。^[9]该组织人称“双龙”（英语：Double Dragon），得名于其行动的双重性（英语：duality），成员既进行间谍活动，又索求个人经济利益。^[10]其使用的装置多用于政府支持的情报工作。

FireEye的调查发现，APT 41的活动涉及医疗保健、电信和技术等多个领域。^[9]该组织在电子游戏业界进行过多项经济活动，包括开发工作室、分销商以及发行商。^[11]

有关人员

FBI对与APT 41有关的5名中国骇客发出的通缉令

其早期进行的活动中，APT 41曾使用过“Zhang Xuguang”（“张旭光”）和“Wolfzhi”等化名注册的域名。这些网络身份画像与APT 41的行动及特定的中文线上论坛有关，但为该组织做事的其他人员数量尚未可知。^[9]“张旭光”曾在网上论坛华夏骇客联盟上有过活动。与此人相关的资讯有：其出生年份，1989年；其曾居住地，中华人民共和国内蒙古。^[12]2011 年，该身份还使用过别名“injuriesa”在网络游戏《九阴真经Online》论坛上发帖。^[9]与“Wolfzhi”相关的电邮和在线域名还指向数据科学社区的身份资料。论坛贴文还表明此人来自北京或邻近省份河北。^[9][12]

美国联邦调查局（FBI）已对张浩然（Haoran Zhang，音）^[13]、谭戴林（Dailin Tan，音）^[14]、钱川（Chuan Qian，音）^[15]、傅强（Qiang Fu）^[16]和蒋立志（Jiang Lizhi，音）^[17]发出通缉令，这些人被发现与APT 41有关。^[1]2019年8月15日，华府大陪审团以与骇客犯罪相关的罪名起诉张某和谭某，罪名包括未经授权访问受保护的电脑、严重身份盗窃、洗钱与电信欺诈。^[18]这些行动是两人共同针对美国和英国的高科技公司、电子游戏公司及六名未透露姓名的个人进行的。联邦调查局于2020年8月11日对钱某、傅某及蒋某提出敲诈勒索、洗钱、欺诈和身份盗窃等罪名的指控。^[18]这三人都是成都404网络科技公司的管理成员，三人伙同多人策划了针对多个公司及个人的网络攻击，涵盖通信、媒体、安全、政府等业界。^[19]这类行动计划在美国、巴西、德国、印度、日本、瑞典、印度尼西亚、马来西亚、巴基斯坦、新加坡、韩国、台湾和泰国等国家进行。^[1]

2020年8月，王安华（Wong Ong Hua，音）和凌扬青（Ling Yang Ching，音）均被指控犯有敲诈勒索、串谋犯罪、身份盗窃、严重身份盗窃和欺诈等罪名。^[1]美国司法部表示，这两名马来西亚商人与中国骇客合作，盯上了美国、法国、韩国、日本和新加坡的电子游戏公司，并从中获利。^[20]这些计划，尤其是一系列涉及游戏行业的电脑入侵事件，皆由王安华创立的马来西亚公司Sea Gamer Mall（SEAGM）实施。^[1]2020年9月14日，马来西亚当局在实兆远逮捕了这两人。^[1]

与中国政府关系

APT 41常有人称“夜班副业”的行动，因为其一方面受到中国政府的支持，另一方面在工时外进行国家授权之外的、出于经济动机的活动。^[9][21][22]因此要确定具体事件是否由政权主导（英语：state-directed）变得较为困难。^[23]该组织针对14个国家开展了多次行动，其中美国最为严重。这些活动包括跟踪（英语：Tracking system）事件、破坏商业供应链以及收集监控数据。^[24]2022年，APT 41涉嫌在美国盗窃至少2千万美元的新冠疫情救援物资。^[25]

APT 41使用的网络间谍活动（英语：Cyber espionage）恶意软件通常仅供中国政府使用。^[26]这一特性在其他高级持续性威胁中也很常见，因为这使组织能够获取资讯来监视高价值目标，或与之联络以获取有利于国家利益的资讯。^[27]APT 41与中国政府的关系可透过一些现象得到印证，这些被窃资讯均不出现于暗网上，而且可能被中共获得。^[28]

APT 41的目标定位与中国政府进军高端研发领域、提高生产能力的国家计划相一致。这些举措与中国政府的“中国制造2025 ”计划相吻合，该计划旨在将中国制造转移到如制药、半导体等高价值领域，以及其他高科技领域。^[9][29]

FireEye还以中等程度的把握评估，APT 41可能只是参与了与中国政府相关的承包工作。与该组织有关的已知人员此前曾宣称自己是受雇骇客。他们在个人和经济动机的行动中使用“HOMEUNIX”和“PHOTO”也印证了这一说明，而其他政府支持的间谍活动所使用的恶意软件是不对公众开放的。^[9]在中国国内的普遍认知里，更高水平的骇客倾向于在薪酬更高的私营部门中以承包形式为政府工作。^[30]FireEye的报告还指出，中国政府长期依赖承包商协助其进行其他以网络间谍为重点的政府行动，此前的中国高级持续性威胁组织（如APT 10（英语：APT 10））就印证了这一点。^[9][31]一些人认为APT 41可能是由受雇于中国政府的技能娴熟的中国公民组成，因此会有该组织的成员经常身兼两职的推测，且其成员的作息时间也支持了这种说法。^[9][32]

手法

APT 41的运作手法有其独特之处，诸如使用被动后门而非传统后门。其他高级持续性威胁使用的传统后门很容易被发现，但这种技术通常更难识别。^[9]APT 41在出于经济动机的活动中，还采用了软件供应链渗透等技术。使其能够将注入的代码植入到合法分发的文件中，从而通过窃取数据、篡改系统来危害其他组织。^[33]为在数据窃取的过程中不被发现，该组织通常还会部署复杂的恶意软件。^[32]该组织还会使用Bootkit这种恶意软件。Bootkit不仅难以检测，在其他网络间谍和网络犯罪组织中也较少见，这使得安全系统更难检测到恶意代码。^[9]该组织还使用了Deadeye启动器和Lowkey恶意软件在保持隐匿的同时进行实时侦察。^[34]

2025年的研究强调，双龙（APT 41）使用了经过修改的TLS证书（特别是wolfSSL）来掩盖其对基础设施的指挥控制。通过自定义字段来生成唯一的JA4X指纹，使该组织在推进网络间谍计划的同时逃避检测。^[35]

APT 41经常使用鱼叉式网络钓鱼电邮进行网络间谍及金融攻击活动。^[11]该组织发送过许多误导性的电邮，旨在收集个人数据后从高级目标那里获取资讯，以增加得手的可能性。^[36]组织的目标多种多样，从用于间谍活动的媒体集团，到为了经济利益而攻击比特币交易所。^[9]

活动

间谍活动

FireEye认为，APT 41的目标与中国的国家战略和目标有关，尤其是在技术窃取方面。^[9][32][37]被盯上的科技公司与中国发展国产高科技仪器的重心相符，这一点在“十二五”和“十三五”规划中均有所体现。^[9]FireEye认为，APT 41对不同行业的组织发动攻击，表明他们在执行被指派的具体任务。与此同时，一些归咎于APT 41的攻击活动也表明，该组织被用于在重大政治和金融事件发生前获取资讯。^[9][37]他们攻击了14个不同国家（除了香港）的公司，其中包括法国、印度、意大利、日本、缅甸、荷兰、新加坡、韩国、南非、瑞士、泰国、土耳其、英国和美国。^[38]该组织也已在包括医疗保健、电信和科技在内的多个领域中被发现。^[38]

根据FireEye安全会议的说法，德国公司TeamViewer AG（英语：TeamViewer AG）于2016年6月遭到APT 41骇客攻击，该公司开发了同名流行软件，可以实现远程系统控制。^[39]该组织能够访问世界各地TeamViewer用户的系统，并获取有关企业的管理详情。^[39]2021年，黑莓研究与情报部门发现APT 41在印度发起过多起网络钓鱼诈骗。组织还窃取了与印度新税制（英语：New_Tax_Regime）以及COVID-19记录和统计数据（英语：Statistics of the COVID-19 pandemic in India）相关的数据。该组织还伪装成印度政府，以保持隐匿。^[40]

经济动机活动

APT 41的主要活动目标是电子游戏业，以牟取经济利益。^[9]中国互联网论坛显示，与APT 41有关联的成员在中国办公时间以外宣传他们的骇客技能，以牟取私利。^[32]根据FireEye报告的一个案例，该组织能够生成虚拟游戏货币，并通过地下市场和洗钱图谋将其出售给买家，^[1][9][24]这笔交易的金额可能高达30万美元。^[37]这不仅是该组织的典型敛财手段，APT 41也曾尝试部署勒索软件，以从其行动中获利。^[9]

FireEye报告指，由于APT 41的大多数经济动机活动发生在深夜或清晨，可能表示这些活动与他们的间谍活动完全无关。^[9]FireEye报告称，APT 41的活动基本发生在北京时间10:00到23:00之间，这对于遵循“996”工作日程的中国科技工作者而言较为常见。^[9]

APT 41会用从电子游戏开发商和制作商处拿到的数码证书来签署其恶意软件。^[1][41]组织使用了超过19种不同的数码证书，同时攻击游戏及非游戏组织，以避免被发现并确保与目标系统的兼容性。^[9]2012年，APT 41利用一家韩国游戏发行商的证书签署了用来攻击其他游戏产业成员的恶意软件。^[9]同年APT 41还针对中国非法博彩业发动了一系列攻击。^[42]

美国司法部

2020年9月16日，美国司法部公布了一例此前的密封指控（英语：sealed charges），起诉5名中国公民和2名马来西亚公民，罪名是该组织入侵了全球超过100家公司。^[1][43]受攻击的实体包括社交媒体公司、大学、电信提供商、软件开发商、电脑硬件公司、电子游戏公司、非营利组织、智库、外国政府以及香港的亲民主派。^[1][44]据称这些攻击涉及窃取代码、代码签名证书、客户数据和商业资讯。^[43]副检察长杰弗里·罗森（英语：Jeffrey A. Rosen）（Jeffrey Rosen）表示行动涉及骇客在软件中植入“后门”，从而可以直接访问该软件提供商的客户的系统。^[45]其中两名中国骇客还对美国游戏产业进行攻击，涉及纽约、德克萨斯、华盛顿、伊利诺伊、加利福尼亚和英国的至少6家公司。^[43]

美国哥伦比亚特区地方法院发布逮捕令，要求查封骇客用于实施攻击的账户、伺服器、域名和网页。联邦调查局以及其他私营公司有责任执行这些搜查令。^[1]微软开发了技术措施以阻止骇客继续入侵受害者的电脑系统。美国联邦调查局发布了一份包含技术资讯的报告，可供私营部门团体使用。^[1]

美国司法部向马来西亚政府道贺，特别是马来西亚总检察署和马来西亚皇家警察为逮捕这两名马来西亚国民提供的合作与协助，因为通常在外国逮捕骇客会较为困难。^[1][44]新闻稿中还提到微软、谷歌、Facebook和Verizon Media等组织协助了调查。^[1]美国联邦调查局还对台湾法务部调查局的援手表示赞赏，该局在发现APT 41设立在加利福尼亚州的伺服器后，向美国当局提供了资讯。^[46][47]

反观中国方面，2020年9月杰弗里·罗森批评中国共产党在协助联邦调查局逮捕与APT 41有关的5名中国骇客时不作为。^[44][45]罗森还称中国共产党正在“让中国成为网络犯罪分子的庇护之所”，同时还让这些人继续协助进行间谍活动。^[45]中国外交部发言人汪文斌表示，美方长期以来将网络安全问题作为污名化的工具，进行政治操弄，散布虚假资讯。^[48][43]

这一声明是在2020年唐纳德·特朗普总统的竞选连任期间发布的，它将中国共产党与多起网络间谍攻击联络起来。中国与俄罗斯和伊朗一同被列入一项对国家大选构成威胁的评估中。^[45][49]

与其他团体的关联

APT 41与公开报道中的其他组织（如Barium和Winnti）在活动上存在交集。就技术角度而言，数码证书和恶意软件的存在有许多重叠之处。FireEye表示，最显著的相似之处之一是在不同活动领域使用了类似的恶意软件，特别是HIGHNOON。FireEye报告指，HIGHNOON恶意软件的使用被归类到APT 15组织名下（APT 15也称作Ke3chang、Vixen Panda、GREF、Playful Dragon）。^[9]然而，后来发现这是多个中国团体共享工具和策略所为。除了APT 41，APT 17、APT 20等其他APT组织也都使用了由电子游戏公司YNK日本（英语：YNK Korea）分发的数码证书。^[9]APT 41和APT 40还使用了据称来自微软证书颁发机构的数码证书。^[9]APT 41使用的非公开恶意软件与其他涉嫌受中国政府资助的组织有关联，这可能表明APT 41与其他团体存在共享资源。^[9][22]2024年，互联网安全专家通过研究泄露文件中提及的活动，认为安洵与APT 41有关。^[50]

参见

• Red Apollo（英语：Red Apollo）
• APT40（英语：APT40）
• 中华人民共和国在境外的情报活动