论坛巨魔 - NSA最新网络间谍行动曝光

2025年3月27日

事件概述

俄罗斯网安公司Kaspersky（下称K公司）披露了一起由国家级APT组织发起的网络间谍行动（简报，未提供详细细节）。根据K公司的简报，攻击者利用Google Chrome浏览器的一个零日漏洞（编号：CVE-2025-2783）和另外一个未知的远程代码执行的漏洞攻击目标受害者，K还发现该攻击者使用了一款未知且高度复杂的恶意软件（特种木马，抓NSA特种木马的方法）。

在所有案例中，感染发生在受害者点击钓鱼邮件中的链接后，访问攻击者控制的网站，受害者无需进行任何其他操作即可被感染。所有恶意链接均经过个性化处理，且生命周期极短。

K表示研究工作仍在进行中，但从攻击中使用的复杂恶意软件的功能来看，攻击者的目标似乎是间谍活动。恶意邮件伪装成"普里马科夫论坛"组织者的邀请，针对俄罗斯的媒体和教育机构（根据其他来源的情报，受害者还包括俄罗斯政府机构）。根据邮件内容，K将此次攻击活动命名为"Операция «Форумный тролль»（论坛巨魔行动，我猜，NSA内部可能将该行动直接命名为：猎杀北极熊）"。

遗憾的是，K公司并没有发布有关攻击者的信息，根据K公司的政策，K倾向于避免直接归因于具体国家（比如，针对俄罗斯政府机构及海外外交使团的"三角行动"揭秘三角行动（Operation Triangulation）一中，K避免直接归因于NSA），所以，即便其发布详细报告，我们也永远不会看到具体的归因分析。

既然我们大辽的朋友不愿意干这事，那么我们就帮他们完成拼图。

归因分析

攻击者利用"普里马科夫论坛"作为诱饵的意图可从技术手段、攻击目标和地缘政治背景三方面分析：

普里马科夫论坛概况

普里马科夫论坛（Primakov Readings）是俄罗斯重要的国际政治经济论坛，以俄罗斯前总理、外交家叶夫根尼·普里马科夫命名，旨在探讨国际关系、全球经济治理及多极化发展等议题。自2015年首次举办以来，论坛已成为俄罗斯与全球智库、政界及学界对话的重要平台。上一届（第十届）普里马科夫论坛于2024年6月25日-26日在俄罗斯举办，聚焦俄乌冲突后的国际秩序、金砖国家合作、多极化趋势等议题，吸引了30多个国家的专家学者参与。

一、核心意图：间谍活动与情报窃取

1. 目标锁定关键行业

攻击者通过伪造"普里马科夫读书会"邀请函，定向针对俄罗斯的媒体、教育机构及政府组织。这类机构通常掌握国家政策动向、科研成果和敏感数据，符合国家级APT组织以间谍活动为核心目标的典型特征。卡巴斯基分析指出，攻击链中使用的恶意软件功能包括窃取系统信息、文件遍历和远程控制，进一步佐证了其窃密意图。

美国网络司令部与NSA、CIA形成"战略-情报-执行"三位一体的网络战架构，具备跨部门协作能力。例如，NSA的"特定入侵行动办公室（TAO）"负责渗透关键目标。此次攻击的复杂性和精准性需国家级资源支持，符合美国网络战模式。

2. 利用高价值论坛的信任背书

"普里马科夫论坛"是俄罗斯重要的国际政治经济对话平台，涉及多边合作、能源安全等议题。攻击者选择该论坛作为伪装，可大幅提升钓鱼邮件的可信度，诱使目标放松警惕并点击恶意链接，从而渗透内网。

二、技术手段：隐蔽性与高复杂度

1. 零日漏洞链的利用

攻击者结合Google Chrome的沙箱逃逸漏洞（CVE-2025-2783）和未公开的远程代码执行（RCE）漏洞，形成双重攻击链。这种技术复杂度需国家级资源支持，且漏洞利用代码的隐蔽性极高（"未执行明显恶意操作"），符合APT组织长期潜伏、精准打击的特点。

美国拥有全球最成熟的网络攻击体系，其APT组织（如NSA下属的APT-C-40）长期使用量子攻击系统（QUANTUM）等工程化工具，可实施隐蔽的零日漏洞利用、社会工程学定向钓鱼攻击。此次攻击中，攻击者利用Chrome沙箱逃逸漏洞（CVE-2025-2783）和未公开的RCE漏洞，与NSA的"酸狐狸"等漏洞武器链技术特征高度吻合。

原文始发于微信公众号（天御攻防实验室）：“论坛巨魔” - NSA最新网络间谍行动曝光