APT 41

APT 41^{[註 1]}是一個據稱與中國國家安全部有關的駭客組織（英語：Hacker group）。^[4]2020年9月美國司法部將該組織列名為進階持續性威脅，並指控其中五名中國人及兩名馬來西亞公民涉嫌入侵全球各地100多家公司和機構。^[5][6][7][8]

雙龍
Double Dragon

原稱	APT 41、Barium、Winnti、Wicked Spider、Wicked Panda、TG-2633、Bronze Atlas、Red Kelpie、Blackfly
成立時間	2012
類型	進階持續性威脅
服務地區	中華人民共和國
方法	魚叉網釣、惡意軟體、供應鏈攻擊
官方語言	普通話
所有者	中華人民共和國國家安全部
目標	網路間諜活動（英語：Cyberespionage）、 網路戰、電腦犯罪

2019年，網路安全公司FireEye有高度把握表示，該組織得到了中國共產黨（中共）的支援，其行動旨在取得經濟利益。^[9]該組織人稱「雙龍」（英語：Double Dragon），得名於其行動的雙重性（英語：duality），成員既進行間諜活動，又索求個人經濟利益。^[10]其使用的裝置多用於政府支援的情報工作。

FireEye的調查發現，APT 41的活動涉及醫療保健、電信和技術等多個領域。^[9]該組織在電子遊戲業界進行過多項經濟活動，包括開發工作室、分銷商以及發行商。^[11]

有關人員

FBI對與APT 41有關的5名中國駭客發出的通緝令

其早期進行的活動中，APT 41曾使用過「Zhang Xuguang」（「張旭光」）和「Wolfzhi」等化名註冊的域名。這些網路身分畫像與APT 41的行動及特定的中文線上論壇有關，但為該組織做事的其他人員數量尚未可知。^[9]「張旭光」曾在網上論壇華夏駭客聯盟上有過活動。與此人相關的資訊有：其出生年份，1989年；其曾居住地，中華人民共和國內蒙古。^[12]2011 年，該身分還使用過別名「injuriesa」在網路遊戲《九陰真經Online》論壇上發帖。^[9]與「Wolfzhi」相關的電子郵件和線上域名還指向資料科學社群的身分資料。論壇貼文還表明此人來自北京或鄰近省份河北。^[9][12]

美國聯邦調查局（FBI）已對張浩然（Haoran Zhang，音）^[13]、譚戴林（Dailin Tan，音）^[14]、錢川（Chuan Qian，音）^[15]、傅強（Qiang Fu）^[16]和蔣立志（Jiang Lizhi，音）^[17]發出通緝令，這些人被發現與APT 41有關。^[1]2019年8月15日，華府大陪審團以與駭客犯罪相關的罪名起訴張某和譚某，罪名包括未經授權訪問受保護的電腦、嚴重身分盜竊、洗錢與電信欺詐。^[18]這些行動是兩人共同針對美國和英國的高科技公司、電子遊戲公司及六名未透露姓名的個人進行的。聯邦調查局於2020年8月11日對錢某、傅某及蔣某提出敲詐勒索、洗錢、欺詐和身分盜竊等罪名的指控。^[18]這三人都是成都404網路科技公司的管理成員，三人夥同多人策劃了針對多個公司及個人的網路攻擊，涵蓋通訊、媒體、安全、政府等業界。^[19]這類行動計劃在美國、巴西、德國、印度、日本、瑞典、印度尼西亞、馬來西亞、巴基斯坦、新加坡、韓國、台灣和泰國等國家進行。^[1]

2020年8月，王安華（Wong Ong Hua，音）和凌揚青（Ling Yang Ching，音）均被指控犯有敲詐勒索、串謀犯罪、身分盜竊、嚴重身分盜竊和欺詐等罪名。^[1]美國司法部表示，這兩名馬來西亞商人與中國駭客合作，盯上了美國、法國、韓國、日本和新加坡的電子遊戲公司，並從中獲利。^[20]這些計劃，尤其是一系列涉及遊戲行業的電腦入侵事件，皆由王安華創立的馬來西亞公司Sea Gamer Mall（SEAGM）實施。^[1]2020年9月14日，馬來西亞當局在實兆遠逮捕了這兩人。^[1]

與中國政府關係

APT 41常有人稱「夜班副業」的行動，因為其一方面受到中國政府的支援，另一方面在工時外進行國家授權之外的、出於經濟動機的活動。^[9][21][22]因此要確定具體事件是否由政權主導（英語：state-directed）變得較為困難。^[23]該組織針對14個國家開展了多次行動，其中美國最為嚴重。這些活動包括跟蹤（英語：Tracking system）事件、破壞商業供應鏈以及收集監控資料。^[24]2022年，APT 41涉嫌在美國盜竊至少2千萬美元的新冠疫情救援物資。^[25]

APT 41使用的網路間諜活動（英語：Cyber espionage）惡意軟體通常僅供中國政府使用。^[26]這一特性在其他進階持續性威脅中也很常見，因為這使組織能夠取得資訊來監視高價值目標，或與之聯絡以取得有利於國家利益的資訊。^[27]APT 41與中國政府的關係可透過一些現象得到印證，這些被竊資訊均不出現於暗網上，而且可能被中共獲得。^[28]

APT 41的目標定位與中國政府進軍高端研發領域、提高生產能力的國家計劃相一致。這些舉措與中國政府的「中國製造2025 」計劃相吻合，該計劃旨在將中國製造轉移到如製藥、半導體等高價值領域，以及其他高科技領域。^[9][29]

FireEye還以中等程度的把握評估，APT 41可能只是參與了與中國政府相關的承包工作。與該組織有關的已知人員此前曾宣稱自己是受僱駭客。他們在個人和經濟動機的行動中使用「HOMEUNIX」和「PHOTO」也印證了這一說明，而其他政府支援的間諜活動所使用的惡意軟體是不對公眾開放的。^[9]在中國國內的普遍認知里，更高水平的駭客傾向於在薪酬更高的私營部門中以承包形式為政府工作。^[30]FireEye的報告還指出，中國政府長期依賴承包商協助其進行其他以網路間諜為重點的政府行動，此前的中國進階持續性威脅組織（如APT 10（英語：APT 10））就印證了這一點。^[9][31]一些人認為APT 41可能是由受僱於中國政府的技能嫻熟的中國公民組成，因此會有該組織的成員經常身兼兩職的推測，且其成員的作息時間也支援了這種說法。^[9][32]

手法

APT 41的運作手法有其獨特之處，諸如使用被動後門而非傳統後門。其他進階持續性威脅使用的傳統後門很容易被發現，但這種技術通常更難辨識。^[9]APT 41在出於經濟動機的活動中，還採用了軟體供應鏈滲透等技術。使其能夠將注入的代碼植入到合法分發的檔案中，從而通過竊取資料、篡改系統來危害其他組織。^[33]為在資料竊取的過程中不被發現，該組織通常還會部署複雜的惡意軟體。^[32]該組織還會使用Bootkit這種惡意軟體。Bootkit不僅難以檢測，在其他網路間諜和網路犯罪組織中也較少見，這使得安全系統更難檢測到惡意代碼。^[9]該組織還使用了Deadeye啟動器和Lowkey惡意軟體在保持隱匿的同時進行即時偵察。^[34]

2025年的研究強調，雙龍（APT 41）使用了經過修改的TLS憑證（特別是wolfSSL）來掩蓋其對基礎設施的指揮控制。通過自訂欄位來生成唯一的JA4X指紋，使該組織在推進網路間諜計劃的同時逃避檢測。^[35]

APT 41經常使用魚叉式網路釣魚電子郵件進行網路間諜及金融攻擊活動。^[11]該組織傳送過許多誤導性的電子郵件，旨在收集個人資料後從進階目標那裡取得資訊，以增加得手的可能性。^[36]組織的目標多種多樣，從用於間諜活動的媒體集團，到為了經濟利益而攻擊比特幣交易所。^[9]

活動

間諜活動

FireEye認為，APT 41的目標與中國的國家戰略和目標有關，尤其是在技術竊取方面。^[9][32][37]被盯上的科技公司與中國發展國產高科技儀器的重心相符，這一點在「十二五」和「十三五」規劃中均有所體現。^[9]FireEye認為，APT 41對不同行業的組織發動攻擊，表明他們在執行被指派的具體任務。與此同時，一些歸咎於APT 41的攻擊活動也表明，該組織被用於在重大政治和金融事件發生前取得資訊。^[9][37]他們攻擊了14個不同國家（除了香港）的公司，其中包括法國、印度、義大利、日本、緬甸、荷蘭、新加坡、韓國、南非、瑞士、泰國、土耳其、英國和美國。^[38]該組織也已在包括醫療保健、電信和科技在內的多個領域中被發現。^[38]

根據FireEye安全會議的說法，德國公司TeamViewer AG（英語：TeamViewer AG）於2016年6月遭到APT 41駭客攻擊，該公司開發了同名流行軟體，可以實現遠端系統控制。^[39]該組織能夠訪問世界各地TeamViewer使用者的系統，並取得有關企業的管理詳情。^[39]2021年，黑莓研究與情報部門發現APT 41在印度發起過多起網路釣魚詐騙。組織還竊取了與印度新稅制（英語：New_Tax_Regime）以及COVID-19記錄和統計資料（英語：Statistics of the COVID-19 pandemic in India）相關的資料。該組織還偽裝成印度政府，以保持隱匿。^[40]

經濟動機活動

APT 41的主要活動目標是電子遊戲業，以牟取經濟利益。^[9]中國網際網路論壇顯示，與APT 41有關聯的成員在中國辦公時間以外宣傳他們的駭客技能，以牟取私利。^[32]根據FireEye報告的一個案例，該組織能夠生成虛擬遊戲貨幣，並通過地下市場和洗錢圖謀將其出售給買家，^[1][9][24]這筆交易的金額可能高達30萬美元。^[37]這不僅是該組織的典型斂財手段，APT 41也曾嘗試部署勒索軟體，以從其行動中獲利。^[9]

FireEye報告指，由於APT 41的大多數經濟動機活動發生在深夜或清晨，可能表示這些活動與他們的間諜活動完全無關。^[9]FireEye報告稱，APT 41的活動基本發生在北京時間10:00到23:00之間，這對於遵循「996」工作日程的中國科技工作者而言較為常見。^[9]

APT 41會用從電子遊戲開發商和製作商處拿到的數位憑證來簽署其惡意軟體。^[1][41]組織使用了超過19種不同的數位憑證，同時攻擊遊戲及非遊戲組織，以避免被發現並確保與目標系統的相容性。^[9]2012年，APT 41利用一家韓國遊戲發行商的憑證簽署了用來攻擊其他遊戲產業成員的惡意軟體。^[9]同年APT 41還針對中國非法博彩業發動了一系列攻擊。^[42]

美國司法部

2020年9月16日，美國司法部公布了一例此前的密封指控（英語：sealed charges），起訴5名中國公民和2名馬來西亞公民，罪名是該組織入侵了全球超過100家公司。^[1][43]受攻擊的實體包括社群媒體公司、大學、電信提供商、軟體開發商、電腦硬體公司、電子遊戲公司、非營利組織、智庫、外國政府以及香港的親民主派。^[1][44]據稱這些攻擊涉及竊取代碼、代碼簽章憑證、客戶資料和商業資訊。^[43]副檢察長傑弗里·羅森（英語：Jeffrey A. Rosen）（Jeffrey Rosen）表示行動涉及駭客在軟體中植入「後門」，從而可以直接訪問該軟體提供商的客戶的系統。^[45]其中兩名中國駭客還對美國遊戲產業進行攻擊，涉及紐約、德克薩斯、華盛頓、伊利諾伊、加利福尼亞和英國的至少6家公司。^[43]

美國哥倫比亞特區地方法院發布逮捕令，要求查封駭客用於實施攻擊的帳戶、伺服器、域名和網頁。聯邦調查局以及其他私營公司有責任執行這些搜查令。^[1]微軟開發了技術措施以阻止駭客繼續入侵受害者的電腦系統。美國聯邦調查局發布了一份包含技術資訊的報告，可供私營部門團體使用。^[1]

美國司法部向馬來西亞政府道賀，特別是馬來西亞總檢察署和馬來西亞皇家警察為逮捕這兩名馬來西亞國民提供的合作與協助，因為通常在外國逮捕駭客會較為困難。^[1][44]新聞稿中還提到微軟、谷歌、Facebook和Verizon Media等組織協助了調查。^[1]美國聯邦調查局還對台灣法務部調查局的援手表示讚賞，該局在發現APT 41設立在加利福尼亞州的伺服器後，向美國當局提供了資訊。^[46][47]

反觀中國方面，2020年9月傑弗里·羅森批評中國共產黨在協助聯邦調查局逮捕與APT 41有關的5名中國駭客時不作為。^[44][45]羅森還稱中國共產黨正在「讓中國成為網路犯罪分子的庇護之所」，同時還讓這些人繼續協助進行間諜活動。^[45]中國外交部發言人汪文斌表示，美方長期以來將網路安全問題作為污名化的工具，進行政治操弄，散布虛假資訊。^[48][43]

這一聲明是在2020年唐納·川普總統的競選連任期間發布的，它將中國共產黨與多起網路間諜攻擊聯絡起來。中國與俄羅斯和伊朗一同被列入一項對國家大選構成威脅的評估中。^[45][49]

與其他團體的關聯

APT 41與公開報道中的其他組織（如Barium和Winnti）在活動上存在交集。就技術角度而言，數位憑證和惡意軟體的存在有許多重疊之處。FireEye表示，最顯著的相似之處之一是在不同活動領域使用了類似的惡意軟體，特別是HIGHNOON。FireEye報告指，HIGHNOON惡意軟體的使用被歸類到APT 15組織名下（APT 15也稱作Ke3chang、Vixen Panda、GREF、Playful Dragon）。^[9]然而，後來發現這是多個中國團體共享工具和策略所為。除了APT 41，APT 17、APT 20等其他APT組織也都使用了由電子遊戲公司YNK日本（英語：YNK Korea）分發的數位憑證。^[9]APT 41和APT 40還使用了據稱來自微軟憑證頒發機構的數位憑證。^[9]APT 41使用的非公開惡意軟體與其他涉嫌受中國政府資助的組織有關聯，這可能表明APT 41與其他團體存在共享資源。^[9][22]2024年，網際網路安全專家通過研究洩露檔案中提及的活動，認為安洵與APT 41有關。^[50]

參見

• Red Apollo（英語：Red Apollo）
• APT40（英語：APT40）
• 中華人民共和國在境外的情報活動