中国网络组织入侵匈牙利欧盟外交官系统

一个与中国有联系的黑客组织在今年秋天的一次协同网络间谍活动中以欧洲外交网络（包括匈牙利系统）为目标。攻击者利用了最近披露的一个 Windows 漏洞，并部署了能够访问机密外交材料的间谍软件。

攻击者利用的 Windows 新漏洞

根据北极狼实验室（Arctic Wolf Labs）的一份详细报告，这次行动从 9 月份开始，一直持续到 10 月份，重点针对外交使团和政府网络。攻击者寻求敏感的外交信息，包括内部简报、谈判文件和机密通讯。

该组织利用了一个刚刚被武器化的 Windows 漏洞，并安装了 PlugX，这是一种使用已久的间谍工具，可以实现远程访问、数据外渗和秘密监视。一旦进入系统，恶意软件就能让攻击者完全控制被入侵的系统。

“攻击开始时发送的个性化电子邮件似乎与外交事件有关。打开附件后，会触发最近发现的 Windows 漏洞，使攻击者能够进入系统。研究人员指出：”这使得恶意软件可以悄无声息地运行，实现数据窃取和长期监控。

UNC6384 是谷歌威胁分析部门首次记录的一个相对较新的与中国有关联的威胁行为体。该组织历来以外交实体为目标，最初在东南亚，后来扩展到欧洲。

他们的策略包括

PlugX 是中国附属黑客组织十多年来广泛使用的工具，因其灵活性和隐蔽性，仍是他们行动的核心组成部分。

报告没有具体说明攻击者可能获取了哪些信息或造成了多大程度的破坏，但从攻击活动的性质来看，其目的不是破坏，而是收集情报。匈牙利在欧盟决策中的作用、北约成员国身份以及与大国的积极关系使其自然而然地成为情报目标。

此类行动很少以破坏服务为目的。相反，攻击者寻求尽早获取机密背景说明和谈判立场–这些信息可以为欧盟层面的决策和匈牙利的外交政策方向提供战略洞察力。

专家警告说，快速打补丁和提高用户意识仍然是最有效的防御措施。在外交环境中，有针对性的网络钓鱼仍然是主要的入侵点–一个令人信服的邀请函或附件就能危及整个系统。

实际上，这意味着

北极狼指出，这次行动显示了先进组织利用新漏洞的速度有多快：即使是短暂的补丁延迟也会带来真正的国家安全风险。

近年来，欧洲政府网络面临着来自与中国、俄罗斯和朝鲜有联系的组织的越来越大的压力。

9 月下旬，包括伦敦希思罗机场、布鲁塞尔机场和柏林机场在内的主要机场都报告了与外部 IT 供应商有关的网络中断事件，造成航班延误和取消。大约在同一时间，西欧一些国家的部委和公共门户网站在检测到可疑网络活动后出现了短时中断。

这些事件突出表明，外交网络并不是唯一的目标–更广泛的政府和基础设施系统也面临着持续的压力。因此，不仅是外交部，所有处理敏感信息的机构都需要最新的网络保护。