最近，路通社遵照法院命令，暂时删除了一篇关于印度黑客雇佣公司的报道。

以下是这篇报道中主要引用的报告《猎象｜印度黑客雇佣组织深度揭秘》的内容。

摘要

SentinelLabs 最新调查揭示了 Appin Security Group 的秘密行动，这是一家在黑客雇佣领域颇具名气的组织。我们的深入分析发现了许多全球性网络入侵事件，涉及间谍、监视和破坏等多种情形。特别是，我们有充分证据将这些网络攻击与挪威、巴基斯坦、中国和印度等多个国家的入侵事件联系起来。随着黑客雇佣行业的演变，为私人企业和政府提供的服务种类愈加丰富。虽然之前有过公开披露，但关于恶意软件、漏洞和网络基础设施的开发仍然颇具神秘。我们的调查为了解这些复杂操作流程提供了关键见解。

概述

被雇佣的黑客威胁行为者有许多称呼，如雇佣监视、雇佣兵、私营部门攻击行为者（PSOAs）、非国家攻击威胁行为者等。这些群体对安全研究人员和网络防御者来说是一大挑战，也是所有组织都应严肃对待的威胁。值得一提的是，积极追踪并分析这些威胁行为者的历史和当前行动，以理解其深远影响，已成为业界的热点。包括我们在内的多家机构，如 Void Balaur 和 Meta，都曾发布报告强调这一点。

在本报告中，我们基于对 Appin 商业活动的深入审查，分享了一系列关于其黑客雇佣行动的独特、非公开且经技术验证的发现。这些数据来源于路透社调查记者的提供，经过我们全面分析后，我们相信这些数据与已知的 Appin 入侵案例密切相关，准确反映了其内部通信，并且来源于 Appin 组织的安全部门——正式名为 Appin Software Security，非正式名为 Appin Security Group (ASG)。

Appin 简介

自 2009 年起，Appin 作为印度首家黑客雇佣公司，提供攻击性安全培训和隐秘黑客行动。他们的前员工后来成立了新的竞争对手和合作伙伴，推动 Appin 品牌的演变，并涉足网络安全防御行业。Appin 的广泛影响至今仍可见，当前印度 APT（高级持续性威胁）活动很多都与原始 Appin 公司集团有所关联。Appin 执行的行动涉及广泛客户群，包括全球的政府机构和私营企业。

我们的分析和观察支持了 2022 年 6 月路透社的报道，报道指出 Appin 的客户群中有许多与重大法律诉讼相关的组织。该集团针对高价值个人、政府机构和涉及特定法律纠纷的其他企业进行黑客攻击。尽管 Appin 的行动和组织在某些时候看起来不够正规、笨拙且技术上粗糙，但它们在为客户取得成功方面却表现出色，对全球事务产生了显著影响。

受害者及与先前报道的联系

这次揭露的黑客攻击目标广泛，涉及全球范围内的独特对象和确认的受害者。根据数据，受害者分布在美国、加拿大、中国、印度、缅甸、科威特、孟加拉国、阿拉伯联合酋长国、巴基斯坦等多个国家和地区。被攻击的设备涉及与政府机构和不同行业的企业相关联的多种设备。需要指出的是，上述受害者名单并非完整，仅代表某一特定时刻的情况快照，而不是对所有攻击目标和受害者的全面梳理。

(图已删)

受害者信标源 IP 的可视化展示

从威胁情报的角度来看，这些数据详细标识了一些引起公众关注的特定受害者。来自与印度有关联的威胁行为者对中国和巴基斯坦的网络攻击并不罕见；然而，确认是一家印度本地黑客雇佣团体参与这些行动，这为解读印度发起的被推测为国家支持的网络攻击提供了新的视角。我们不仅确认了一些已知的受害情况，还发现了此前未曾揭露的受害者：

巴基斯坦政府官员

这些官员的系统被成功渗透，他们的电脑中的键盘记录器数据被发送到 Appin 控制的服务器。这些数据包含个人社交媒体和电子邮件账号的登录信息、政府网站的登录信息，以及一些日常网站的浏览记录，如旅游、游戏和色情网站。ESET 在 2013 年的报告指出，针对巴基斯坦的网络攻击在随后几年持续进行，这在下文的“宿醉行动”报告中也有所提及。

中国政府官员

自2009 年以来，有多起针对中国政府官员的数据盗窃案例。这包括多名中国人民解放军官员的系统被成功侵入。在同一时期，一些军事联络官员的系统也遭到了同样的入侵。值得注意的是，这些攻击发生在印度政府官员公开声明他们发现对印度政府网络的攻击，并将其归咎于中国之后不久。

Appin 操作人员请求购买 taraanasongs[.]com 域名

基础设施的获取与使用

领先的黑客雇佣组织必须巧妙分割他们的基础设施，以避免被发现。一旦研究人员找到连接其全部基础设施的线索，就可能使他们为客户进行的所有操作暴露于风险之中。

多年来，Appin 通过特定的外部合同商来获取和管理其基础设施。这个合同商负责注册域名，并根据项目需求搭建托管解决方案。Appin 的操作人员会提出服务器的需求，包括一些技术规格，以及指定哪位操作人员负责使用。

然后，这位顾问会购买并设置服务器，按照指示进行操作，为操作人员和 Appin 领导层提供远程访问的凭证，并最终以一份详细的付款发票结束此次交易。根据我们审查的数据显示，这位顾问通过多个重复使用的个人和商业品牌电邮账户进行购买，且注册和托管的细节经常有所重叠。

向 Appin 开具的恶意 FTP 域名和 VPS 服务器费用发票

请求的服务器类型一般都围绕几个核心用途。

• 数据窃取 – 在早期，这类服务器通常被称为 FTP 服务器或数据传输服务器，用作恶意软件窃取数据的目标服务器。分析 Appin 拥有并运营的数据窃取服务器的日志对于识别受害者非常有帮助。例如，从 devinmartin[.]net 来的日志数据就揭示了全球范围内的受害者分布，如前所述。数据被上传到这个特定的 FTP 服务器，使用的账户包括：

stealth@devinmartin[.]net

keylogs@devinmartin[.]net

radar@devinmartin[.]net

123456@devinmartin[.]net

devinmartin@devinmartin[.]net

revolution@devinmartin[.]net

devinmart@devinmartin[.]net

reloaded@devinmartin[.]net

cinema@devinmartin[.]net

lux@devinmartin[.]net

来自 C2 服务器的数据窃取日志，涉及受害者 IP 已进行隐私处理

• C2 和交付服务器 - 用于恶意软件的命令与控制，或托管供下载的恶意软件。

C2 / 交付服务器 bluecreams[.]com 及其链接的恶意软件可视化展示

• 网络钓鱼 - 托管用于获取登录凭证的钓鱼网页。在许多案例中，相同的钓鱼页面可以通过多个以目标命名的子域名和 URL 访问。

• 诱饵网站 - 一种有趣的手段是利用所谓的“蜜罐”网站。这些网站通常会围绕某一特定主题设计，吸引目标进行互动，目的是进行凭证钓鱼或传播恶意软件。例如，islam-jindabad.blogspot[.]com 就是这样的一个网站，直到本文撰写时仍然在线。它创建于 2009 年，并被 Appin 的操作人员用作“蜜罐”。该域名引导到另一个域名，用户在点击图片后会下载恶意软件。这些图片的链接目的地是 gmail-loginchk.freehostia[.]com/raj1.php。

恶意诱饵网站，链接到恶意软件下载

• VPS 服务器 - 一种多功能的通用服务器，用于匿名访问受害者的电脑和管理攻击基础设施。这类服务器通常通过 SSH 进行访问。此外，Appin 还采用了一种非常规服务器类型进行秘密通信。公司使用特定的网站来追踪客户项目和分享数据。这些服务器被称为 GoldenEye、Commando 或 MyCommando，客户可以登录这些平台来查看和下载与特定活动相关的数据和状态更新，进行安全通讯，并管理他们项目的其他方面。

隐秘通信登录

这正是之前在 Appin 的市场推广演示中出现的“Secured Project Management Portal”（安全项目管理门户），该门户首次由路透社在其 2022 年 6 月的雇佣黑客调查报告中公开。

Appin 市场推广文档显示隐秘通信门户

恶意软件和漏洞开发

Appin 利用位于加利福尼亚的自由职业平台 Elance（现更名为 Upwork）从外部软件开发者那里购买恶意软件，同时还利用内部员工来开发这些项目及其自有工具。Appin 在 Elance 上使用“appinsecuritygroup”作为用户名发布职位，并创建了一个包含 Appin 高管全名和 appinonline[.]com 邮箱地址的个人资料。

一个关于 Elance 使用的例子是从自由职业者“alexstinger”那里购买 USB 传播器工具。最初的职位发布标题是“创建高级数据备份工具”。这个工具也在“宿醉行动”报告中被提到。该工具的原始版本在 2009 年以 500 美元的价格购买，包括故障排除和源代码交付。Elance 上的工作任务在 2009 年 7 月 15 日完成。

由“alexstinger”提供的源代码文件

“alexstinger”提供的源代码快照

Appin 在 Elance 上也发布了许多其他软件项目的广告，其中包括：

• Windows 系统的音频录制软件

• 为 C 语言和 Visual C++ 创建代码混淆工具

• 针对 MS Office 和 IE 的研究用途漏洞利用

• 开发 MS Office 漏洞利用工具以升级我们的 IPS/防病毒性能！

• 在东欧进行漏洞研究的研发

“在东欧进行漏洞研究的研发”项目招聘的工作描述摘要如下：

描述 ‍	向东欧专家组织每月以保留金方式外包漏洞和漏洞利用研究
所需技能	漏洞和漏洞利用收集，漏洞利用开发
焦点/交付成果‍	在现有漏洞上开发漏洞利用工具或定制与 MS Office（Word、Excel、PowerPoint 2007/2003 等）、Adobe PDF、浏览器 IE 6/7、Mozilla Firefox、Opera 相关的互联网漏洞利用样本。
最低期望	每月至少提供两个漏洞利用，漏洞利用应可与有效载荷定制，尽可能减少被杀毒软件检测，每周报告成功/失败情况。
支付	每月 1000 美元

这些工作职位的一个常见问题是，由于报酬低且存在恶意使用的疑虑，自由职业者通常会迅速拒绝这些工作。

此外，Appin 多年来也使用了大量的私人间谍软件和漏洞利用服务。例如，2010 年，他们通过 Vervata 购买了移动间谍软件服务，Vervata 是 FlexiSPY 移动跟踪软件的开发商。在这笔交易中，操作人员使用 mobilebackup[.]biz 域名来获取安装指南、软件下载，以及审查受害者的移动设备数据。尽管这是过去的数据，但 FlexiSPY 跟踪软件至今仍在市场上销售。

Vervata主页的存档快照，当时的FlexiSPY产品提供

存档的Flexispy登录门户2010年

Appin 后来从当时领先的私人供应商那里购买了漏洞利用，包括 Vupen 和 Core Security。商业利益还涉及 Appin 担任 Vupen 向印度政府提供漏洞利用经销商的机会。

Vupen 和 Appin 漏洞利用订阅协议文档

如前所述，一些恶意软件是内部开发的，包括键盘记录器。相关数据和通信揭示了一名员工在2009年8月首次向Appin领导层分享他们对键盘记录器的开发的初衷。在一条经过审查的消息中，该员工指出正在构建一个新的键盘记录器，该记录器能够将日志上传到FTP服务器。

在接下来的几周和几个月里，进行了测试以展示键盘记录器的功能。这是一个这样的文件，开发人员在其中测试了键盘记录器的功能，被第三方防病毒解决方案检测到。被编辑的数据包括开发者的个人电子邮件地址。

键盘记录信标， 由 AV 检测到

几个月后，键盘记录器被用于现场操作，包括针对巴基斯坦政府的运动。政府受害者数据包括个人电子邮件地址和即时通讯活动、浏览巴基斯坦海军的新工作、阅读/打印 ISPR 新闻以及其他个人敏感的在线活动。

黑客雇佣业务

尽管印度和其他地方的黑客雇佣组织多年来随着他们可用的技术和他们运营的生态系统的变化而显著发展，但从 2000 年代初左右开始的 Appin 活动的清晰快照为这些企业的内部运作提供了宝贵的见解。

忽略 Appin 与网络渗透测试、网站安全审计、培训等相关的许多业务产品，我们可以专注于网络防御者和威胁情报分析师最感兴趣的部分：黑客雇佣产品。以下是Appin的“特殊服务部门”向印度恰蒂斯加尔邦警察网络调查小组提出的建议。

Appin 特别服务部门报价

虽然对业务结构的全面审查超出了本报告的范围，但列出一些相关的网络安全观察结果很有用：

• 十多年前，向客户提供的进攻性安全服务包括跨多种形式的技术的数据盗窃，通常在内部称为“拦截”服务。其中包括键盘记录、帐户凭据网络钓鱼、网站污损和 SEO 操纵/虚假信息。他们还将按需满足客户的其他技术要求，例如从被盗文档中破解密码。

• 运营安全 （OPSEC） 在理论上受到重视，但在实践中没有得到充分执行。操作员、开发人员和领导层受到纪律约束，不得通过薄弱的沟通渠道讨论项目细节（目标、客户、工具等）。然而，领导层似乎一再提出不遵守这些标准的行为。这方面的例子包括分析师拒绝写下与敏感业务相关的机密技术信息，而领导层则公开讨论并记录了相同的细节。

• 单个操作员的角色通常是围绕他们的技能组合而建立的，而不是基于结构化角色的正式职责。这包括操作员和开发人员根据个人的兴趣和职业毅力混合任务。

• 从领导层到所有个体运营商和开发商，都大力推动创新理念，以更好地代表客户取得成功。这包括寻找新的工具和技术来实现客户的愿望。一些OPSEC差距源于由此产生的不受限制的创新。

日常工作

虽然随着时间的推移，操作员和开发人员的角色被证明是不稳定的，但我们可以从传递给早期“开发”小组的每周任务清单中瞥见领导层的优先事项。任务被分配给个人，包括以下目标：

1） 个人 A：

• 使用漏洞构建功能齐全且无法检测的恶意文档。

• 解决恶意软件不收集特定邮件软件日志的问题。

• 与漏洞利用开发人员（内部）协调其他正在进行的活动。

2） 个人 B：

• 构建并完成新的网络横向移动解决方案。

• 重建“FTP备份木马”，使其完全无法检测到。

3） 个人 C：

• 与漏洞利用开发人员（内部）一起构建一个新流程，每周使用新的完全无法检测的攻击工具。

• 解决网络钓鱼网站问题，例如特定语言字符未正确录制。

• 对操作员进行其他内部工具的培训。

了解任务和分配给他们的个人最终并不奇怪;但是，在将活动之间的重叠技术链接和改进（例如FTP Backup木马的版本更新）置于上下文中时，它非常有用。

进一步调查

我们对印度黑客雇佣组织 Appin 的调查强调了这些实体在十多年的时间里对企业、政府和个人构成的持久和重大威胁。研究结果凸显了该组织非凡的坚韧不拔精神，以及代表不同客户成功执行攻击的良好记录。我们的研究提供的技术见解和基础设施为绘制相关的恶意活动和以新的视角重新评估过去的事件提供了宝贵的资源。

这些集团令人担忧的复原力，加上它们在公众监督加剧的情况下吸引新客户的能力，突出了加强国际合作和建立强有力的法律框架以有效应对这一不断升级的挑战的迫切需要。鉴于技术的进步以及对数字间谍和网络犯罪服务不断增长的需求，政府、企业和高风险个人必须主动采取措施，保护自己免受这些强大、适应性强且蓬勃发展的黑客雇佣威胁行为者的侵害。

历史入侵指标

请注意，以下一些指标已被用于合法目的或已被封堵。因此，如果将这些视为当前状态下的活跃指标，我们建议谨慎行事。

IP地址

64.186.132[.]165

65.75.243[.]251

65.75.250[.]66

69.197.147[.]146

75.127.111[.]165

75.127.78[.]100

75.127.91[.]16

84.243.201[.]254

212.72.189[.]74

域名

abdupdates[.]com

alr3ady[.]net

antivirusreviewratings[.]com

authorisedsecurehost[.]com

bksrv3r001[.]com

bluecreams[.]com

bookshopmarket[.]com

brandsons[.]net

braninfall[.]net

c00lh0sting[.]com

c0ttenc0unty[.]com

cr3ator01[.]net

crowcatcher[.]com

crvhostia[.]net

currentnewsstore[.]com

customauthentication[.]com

devinmartin[.]net

directsupp0rt[.]com

divinepower[.]info

draganheart[.]com

easyhost-ing[.]com

easyslidesharing[.]net

f00dlover[.]info

filetrusty[.]net

follow-ship[.]com

forest-fire[.]net

foxypredators[.]com

freensecurehost[.]com

freesecurehostings[.]com

freewebdomainhost[.]com

freewebuserhost[.]com

gauzpie[.]com

gmail-loginchk[.]freehostia[.]com

h3helnsupp0ort[.]com

hatemewhy[.]com

hostingserveronline[.]net

hotmasalanewssite[.]com

islam-jindabad[.]blogspot[.]com

jasminjorden[.]]com

jasminjorden[.]com

karzontheway[.]com

kungfu-panda[.]info

matrixnotloaded[.]com

msfileshare[.]net

msoftweb[.]com

myt3mple[.]com

newamazingfacts[.]com

nitr0rac3[.]com

pc-technsupport[.]com

piegauz[.]net

r3gistration[.]net

reliablensecurehost[.]net

s0pp0rtdesk[.]com

s3rv1c3s[.]net

secuina[.]net

securenhost[.]com

server003[.]com

server006[.]com

serverrr[.]com

serviceaccountloginservicemail[.]info

servicesaccount[.]com

sliderocket[.]com

speedaccelator[.]com

spidercom[.]info

t3rmin3[.]com

taraanasongs[.]com

thedailynewsheadline[.]com

tow3r[.]info

updatemypc[.]net

updatesl1nk[.]com

vall3y[.]com

wearwellgarments[.]eu

webjavaupdate[.]com

webmicrosoftupdate[.]net

文件SHA1值

02e6ddbc715dfd7ce1838c4b4b0520c8

03636f6d4f0041859f009893eac67690

055ce289ee5d2c74e3a4de967f0ff82c

0936b73c4a0acae8fe9517e26536c058

0948c7444ff919ec7218ad04c29c8189

0a8435a4abe99c22b8e1a1673098821a

0aa0116bcfcf1da87af0ec393e2b8061

0c68acbe505877eee81aaaefd6be5d57

0cd662b540c642ac9a6972226a2ee8ae

0f65c1202881f5c0e3d512aa64162716

0f6e7efe4630bf314fd5d895f55bcd08

1782314da3da2f4fdcbda269ddfa7830

17d0705bcc65eb16f6c8aee6cc0c384f

182b4f223a20d10fa39a8577a7b285f8

186f71e7db3188347f3c7e3608e40a76

1a708fb0d40f0f66e75afe26f0754f3c

1ad6ac5126fbf79d92e211e7459a04fd

1c038adb34bd12940fc91d956eda0f85

1e33463abb80297907d2de0ddad75a94

20aa596a83117d12faebda225f4dcf25

21609c45130fbba1a8c07b6fe864bbc4

21b11f60bfd420475d81726587310204

22d559800aa213a7150fa8b2e54b2b21

2546f1229ddf1a45ab944a8a0da642ca

25472d552f3439d610a0ea0feea59b18

283b06e0931d58b320fb5222bd9e2327

28f7de0a63dd9f069e9892a7b9c1393e

2cf626da0f86b4ca0ce5ff12bbdd50b4

2fdb2e334bc32856898c4c5a9b7038bf

3625f274b26050e913d21280689580aa

3fa8a69d0e9f0163382d4733e7546061

40dc57f0e7eab28eac628cd7d58670f2

46110a31e7c579285ff9c2339c8e9dbf

463922075362745a02969f0cc34adb48

482840e161a8c5fb14fe57d13c7e58b1

48d0bca6196781e4030d2427e0cebb7c

4a4392583dd001c3729f8705e62f06d0

4ac3a570f006a1b0e016257d3be5018c

4d4c8e85691295de8552aab888979026

4ebe9891f10e93cbd18266b36f1b6e6e

51c984dac039092447879d40164fc949

572fb7ba509d5b2a57142149d6fb0dd7

596d1f7a84729cfb608b29f687ce318b

5b0172d4f6b3970cc460cbe0556b6466

5dddb3f57c9066b6d3d076f590d40d0a

5deabcd480ff2df5de3a93c081b76dda

5f04cf580b375ac90caf75930fd866e7

62cddd629043f07a7f2ec3bdbc825ff9

6588efd38e17d44e3ff1ab91afd0f2b2

672bb005aeaf5805c6d06c581a8d1b10

67caeeca9dc86cbc0f494d89c43aab4e

6b683fccfb118eb96af0cb8cfcc3b2f7

6cc8f81c50b8e86feea0dd800f3e8901

6cd6aa3065d51f3c14784b2abb87b2a4

6e6eb5af7488e5c9e1ada0efd624235f

6fc6214a9cc6bb1ed442beda98fe47e6

72a0da9442e1669e832c128936774c92

74e571f9accf9fe1b4ea6ee0e02a5180

75b61ceaf2dc1acce6de9c55103f7f05

77373d579ac6479adf7140340abeb667

77e88fa11cb0cf44c4691c04742d1b13

7835c1a2a0cb7249c82c9d283526188d

79b914e089fe7b1029dd38bb08d7dcd4

7a8c0735b6e631651a6618a789b86315

7baad0dba7909e810c55f4678c301d7e

8046761d8e617dc2dbbc3bc93fc91ed3

81c33d5c2d1d71d2639283be169ad235

82262bf6215659485d31df672562060d

849fda2210df92da8d6d45f692a583b0

862f6fe18ff2f493a8b3b927d51e82b3

8658145bdc3f0cae5357d4115b05543b

87f05d07b1c60b317d3fb60335745428

87f9beffa5b6198e5906efd971475dea

8a65479b077295d8420430e9f114b6a2

8ca0082df24a060c0edcd3a4875a63ab

903b160fc4e720ea884e4222b5dc3f7e

91c21e837620a005c8d5e1cb73e9bfb8

91f2bb5f6c2f3452724f831373474865

9225fc6926516f04bf87e44b3e9201e1

92bfb44848a886b388576c60745aa605

963fbcdaec66a5fcd5664e932fa06f4d

9a9dc1bebfb0f6a713c5119f8c1b89a0

9b98e06c25c1ae3e8d0625b15a31fc75

9bf5982f68023900b678cfe08b76498e

a053b31eaa11e2eedc0182a8e0051bf3

a1d78a37d6f278e99e0a904471cd448c

a33175880547ab5296c302681290c922

a3ecdcf43f89074e4042d01987255a5f

a5d3738287ec9d74ca9bcdd5fa2d9018

a6a9abbc67cbe071d6ed639fec3e1b84

a810399062152e79c0f1d5e6b0f8c1ea

aa026aaa783f691c6da7c286af5439c7

aa8039e7b0c08c369820f450f2a12ef8

ad6cc39b31878c270bf1f4e106c1f773

ae03020fc96296a210d26e9efa0948c6

af41aaa36b787c95c0132551555dc8e1

af7ed912b633fcad5d4e9b52df9de72a

b35702471ac848a23b33b4b3aaaddf04

b3ec88a92a5881e10f6dd46a2e43f419

b5724f5b127e118babbbd4f31f93da7b

b5a53dfa9a2b5bdae9f5bd99b114cf75

b5d248e62a6c593d19104411b411146f

b6a371b2dc3143e3c5df0abc2c0604a3

b7b6dd5bcb3dcd87b74d1485b356a560

b7d18dbe6cad4b54b588ec5eed3a8141

b86fd1cfe2de2ea841f8f522dee6370c

b8baedf06d212a1769c17741a22dbabb

bba2d1e279101d9df3ee135a997457c7

bba7accf299c87080a7c12f3913b851a

bc04127266eab3c142fd9ab8bf16cae2

be4fcca6b05fcd65ca2d8e42c1f7f685

c14f235e08f6d855f5e73661fa758ff2

c4130bcfbec35b377b512ceb64221293

c43f52ec6902b9ee2be435072a9d3b2a

c44e2798f7a6a18b7a61d811bd884981

c48e5210cf6fb3286f8bc66106456686

c5a9f8a833d8eafa50d81f04fed7d42a

c7cb3ec000ac99da19d46e008fd2cb73

c8717112454bb0bee2d8afcba4c55c31

c95be0d57d7688861d685966069c18a2

cb3a7c4433e35ff3dfede853731c5004

cd6e61b12e08cab7f5a6201c6db5d6bd

cdc425240cb1e38c8432501062ff704a

ce157212cd908bc0d3b16949822dec6f

d0e966b61e15490ad958b8db3a4a624b

d2a1dc1cde78900927bd6a0ffc3a87a2

d6821dcf113e28e2c852febf5d0f2725

d8dcf2a53505a61b5915f7a1d7440a2e

daf3f0ed5e86cb7c0f6553911051c39e

ddef9714a67219b45eb0e6f66a447c11

de50630da67f860a402d5bd298f5224f

e3ed385d2ce873eabe647c1c6de144eb

e6b37e2113471b4b7acc833c99fc9c0f

e7c72900ede1a3fcebc40e72163642d3

e952bba9789b7e2983d2441ba52d9a19

ecac2ce6e52c78718c0d0f7a99829136

ed67f4e36aabf56d8fb830463cbc5487

eddd399d3a1e3a55b97665104c83143b

ef3b0ae4d6870291f6812ed77e23b558

f0dba8a8349552e5e632d395cd1be8ea

f2036ae83a79f62c749913576ba63ba6

f211694aaf443b12b2eca9f5e7f25407

f2a46ad687356eb9099bc7269411f76a

f4949579248c94ee81ed1a6a8c246126

f61db022aa5dfb59dbd53938c5a72a2c

f6f131beb246d0c7f916c5c995ad91cd

f8df4e8457d1c6f4f395701b0f9e839b

f8ecfee30bda0ad37f69f407f9a4c781

f9cdf5bebdee5486d26cd0e1a6c3d336

fad0db73af342501a0568730b4a24d79

fb72b395080807571cd784be89415612

fdfcb23f537d4265bab7f28ec9b9e036

作者简介

Tom Hegel 是 SentinelOne 的首席威胁研究员。他拥有检测和分析恶意行为者、恶意软件和全球事件的背景，并具有网络领域的应用经验。他过去的研究重点是影响全球个人和组织的威胁，主要是针对攻击者。

原文始发于微信公众号（网安志异）：猎象｜印度黑客雇佣组织深度揭秘 - 一篇路透社删除的报道