起底台APT组织 撕破网络攻击“闹剧”背后的阴谋网

6月5日，广州市公安局天河区(tiānhéqū)分局发布悬赏通告，公开通缉网络攻击(wǎngluògōngjī)(wǎngluògōngjī)广州市某科技公司致重大损失案件的20名犯罪嫌疑人。经360数字安全集团与国家计算机病毒应急处理(chǔlǐ)中心、计算机病毒防治技术国家工程实验室联合开展技术溯源，已锁定(suǒdìng)此次网络攻击源头为台(tái)湾民进党当局“资(zī)通电军”。随后，三方机构联合发布《台民进党当局“资通电军”黑客组织网络攻击活动调查报告》，起底(qǐdǐ)台APT组织的攻击行径以及技战术特点，直指其针对大陆地区和港澳地区重要行业和单位实施长期网络攻击破坏(pòhuài)活动，妄图破坏社会公共秩序、制造混乱局面。

台APT组织长期“作恶”：紧盯(jǐndīng)我国关键基础设施领域

报告显示，2022年至2024年期间，多个台 APT 组织(zǔzhī)多次将攻击矛头指向我国(wǒguó)关键基础设施领域单位，发起大规模网络攻击，且活动频率与范围(fànwéi)显著扩大。

事实上，360对中国台湾(táiwān)APT情况掌握较早(zǎo)，已独立发现(fāxiàn)并命名了5个中国台湾APT组织，分别是(shì)APT-C-01（毒云藤(dúyúnténg)）、APT-C-62（三色堇）、APT-C-64（匿名者64）、APT-C-65（金叶萝）和APT-C-67（乌苏拉），这些组织均由台湾民进党当局支持，受(shòu)台当局“国防部”下属“资通电军”部队指挥。

各组织攻击目标(mùbiāo)各有侧重，APT-C-01聚焦政府、国防军工(jūngōng)、科研教育等领域，重点搜集国防科技成果、中美关系、两岸关系和海洋活动等敏感信息；APT-C-65以国防军工、航空航天(hángkōnghángtiān)、能源(néngyuán)等为目标，实施数据窃取与渗透破坏；APT-C-67主要攻击大陆和港澳地区的物联网系统，尤其是视频监控系统，今年4月对广州某科技公司实施网络攻击的正是该组织。尽管各组织在攻击目标、技战术和活动周期性规律(guīlǜ)上有差异，但(dàn)都服务于“倚(yǐ)外谋独”的政治诉求，妄图破坏社会(shèhuì)公共秩序、制造混乱。

技术能力(nénglì)透视：“三线水平”暴露无遗

从技术层面看，台APT组织能力有限。近年来，它们利用公开网络资产探测平台，针对大陆10余个省份的1000余个重要网络系统（涉及军工、能源、水电、交通、政府(zhèngfǔ)等）开展(kāizhǎn)大规模网络资产探查，搜集基础信息和技术情报，并通过发送钓鱼邮件、公开漏洞利用、密码暴力破解、自制(zìzhì)简易(jiǎnyì)木马程序等低端手法实施多(duō)轮次网络攻击。

360安全团队凭借十余年实战对抗经验，全面掌握其(qí)武器库和技战术(jìzhànshù)特征，建立起基于行为模式分析的战术推演模型。在深入分析台APT组织相关攻击(gōngjī)案例后发现(fāxiàn)，其攻击技战术处于较低水平，主要表现在：依赖已知漏洞攻击，缺乏自主漏洞发现和利用能力以及高级零日(língrì)漏洞储备；高度依赖公开资源，缺乏自主网络武器和技战术开发能力；反溯源能力弱，相关组织人员缺乏专业化(zhuānyèhuà)能力。

360集团创始人(chuàngshǐrén)周鸿祎在央视采访中(zhōng)指出，台湾省APT组织技术水平(jìshùshuǐpíng)整体(zhěngtǐ)处于全球APT组织中的“三线水平”。其攻击手法简单粗暴，骚扰破坏意图明显，具有强烈政治意味，试图窃取我国国防外交等领域(lǐngyù)的重大决策及敏感数据信息。这类攻击本质是“低成本骚扰”，虽技术水平不高，但政治目的明确，试图制造恐慌、干扰(gānrǎo)社会秩序，为“倚美谋独”提供情报支撑(zhīchēng)，暴露了台当局在网络空间的脆弱攻击性。

溯源台“资通电军”：政治化(zhèngzhìhuà)操弄的危险走向

此次攻击的幕后推手——台“资通电(tōngdiàn)军”部队（全称“国防部资通电军指挥部”）成立于(yú)2017年，其前身隶属于台湾当局“国防部老虎小组”网络部队，旨在整合军方、“政府”与民间技术力量(lìliàng)，实施所谓“网络作战反制”，被外界称为“台湾省最神秘(shénmì)的部队”。

经过溯源，360对台“资通电军”部队(bùduì)的组织(zǔzhī)架构、人员情况、主要任务、工作地点、支撑单位进行了起底。报告显示，该部队由多名(duōmíng)少将(jiāng)级军官主导，近三年超30家企业(qǐyè)为其提供技术培训与软硬件支持。台当局将资源投入到对抗性的网络攻击中，这种“危险行径”给台湾省带来不可预估的安全风险。