以毒云藤为例：台独势力网络间谍活动解析

网络安全作为国家安全的重要组成部分，没有网络安全就没有国家安全，就没有经济社会稳定运行。长期以来，“台独”势力持续对大陆实施网络攻击和渗透活动。近日，国家安全部公开了4名台湾资通电军（以下简称“资通电军”）成员的身份信息，并表示查获资通电军在用的数十个网攻平台，发现其针对大陆重要领域实施攻击窃密的新动向，并全部核查处置，斩断窃密“黑手”。台湾资通电军自2017年6月成立以来，便充当“台独”分裂势力的爪牙，无所不用其极地对大陆开展网络攻击渗透活动。

台湾资通电军，全称为资讯通信电子部队，成立于2017年6月，并设立资讯通信军指挥部，主要承担电子作战、信息作战、网络作战及军线维护管理等职能，是台湾当局对大陆实施网络作战的主力。台湾省当局将其视为对抗大陆军事压力的“非对称战力”之一。2016年蔡英文上台后，强调所谓的“国防自主”，资通电军的设立则被认为是这一战略的延伸。

图 资讯通信军指挥部成立典礼照

台湾资通电军一经成立，便对大陆大肆开展各类网络渗透破坏活动，是危害网络空间安全的毒瘤。台湾资通电军专门组建网络战联队，并雇佣社会黑客、网安公司作为外协力量，执行民进党当局下达的网络作战指令，开展窃密、破坏、反宣活动。惯用的手段包括：渗透关键基础设施、向重点单位和组织发送钓鱼和反宣电子邮件、潜伏在主流社交媒体平台，豢养大量“机器人”账号、操纵舆情走向，误导大陆和台湾民众认知等。自2023年起，又以“匿名者64”组织等名义，在网络社交媒体平台散布虚假消息，竭力为民进党当局谋“独”行径张目。

安恒信息长期追踪分析来自中国台湾省方向的网络攻击活动和威胁情报。从2007年开始，台湾省APT组织“毒云藤”就长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动。

“毒云藤”组织的攻击频率非常密集。根据安恒信息的持续追踪监控，仅在半年内，就追踪到数十起不同主题的、相对独立的“毒云藤”组织的攻击行为。

表格1 毒云藤组织画像

该组织惯用鱼叉式钓鱼网络攻击和钓鱼网站作为初始访问攻击手段，会选取与攻击目标贴合的诱饵内容进行攻击活动，惯用的主题包括通知、会议材料、研究报告等或是采用攻击时间段时事主题。例如下图为“毒云藤”组织曾经使用过的，以中国某技术博览会为主题的钓鱼文件：

除此之外，还使用带有漏洞的文档、伪装的二进制可执行程序、伪装的自解压程序，使用多种远控木马，主要包含Poison Ivy、ZxShell等。如下图是“毒云藤”组织使用的伪装为文件夹图标的EXE可执行木马：

除了附件投递木马外，毒云藤还惯用钓鱼网站钓鱼，窃取目标的账户密码，进而获得更多重要信息。例如，在2024年，安恒信息猎影实验室发现毒云藤通过伪装“全国车辆交通违章查询”系统进行钓鱼攻击。诱导目标填写网易邮箱账号密码，提交后实则将账户信息传输给后台记录，根据账户密码进一步实施后续威胁行为。

该组织还仿冒北京大学国家发展研究院的钓鱼网站，同样其意在窃取相关人员的账户密码以进行后续攻击活动。域名为https://server.jihing[.]com，该域名解析到45.79.118[.]216:

仿冒的北京大学相关网站

将受害者输入的账号密码发送至https://server.jihing.com/login[.]php后，跳转至正常页面:

毒云藤依托于其特殊背景面向国防军工、科技、政府等领域持续攻击。攻击手法上看稍显单一，同一攻击形式已经使用了较长时间，就如网页钓鱼活动，看似单一，却极具迷惑性，如若针对不同目标，或仍能够发挥一定效果，尤其是当毒云藤对目标进行深入调研，构制出专门针对贴合目标的钓鱼页面和主题，真假不一定能够轻易分辨，不可掉以轻心。

台湾的“台独”势力妄图构建对大陆网络攻击渗透、窃密、破坏的网络战能力，终将是蚍蜉撼树、自不量力。国家安全部公开4名资通电军成员身份，是大陆对“台独”网络活动的一次高调打击，体现了在网络安全和国家主权问题上的强硬态度。

在网络空间安全对抗中，随着网络空间成为政治博弈的新战场，APT攻击已成为某些国家和地区达成政治、经济目标的重要工具。这些攻击往往精心策划，针对性强，能够在长时间内悄无声息地窃取信息或造成破坏，对国家安全和社会稳定构成严重威胁。面对这一挑战，强化网络安全防护体系、提高识别和抵御APT攻击的安全能力显得尤为重要。