中共APT31利用云服务对俄IT产业发动网攻

俄罗斯网络安全公司发现，与中共有关的黑客组织APT31在2024年至2025年间对俄罗斯IT产业发动网络攻击，攻击持续时间很长，且难以被发现。

Positive Technologies的研究人员在周四（11月20日）发布的一份报告中指出：“在2024年至2025年期间，俄罗斯IT行业，特别是为政府机构提供解决方案的承包商和集成商，面临着一系列有针对性的计算机攻击。”

他们指出，中共黑客组织APT31对这起攻击事件负责。至少从2010年起，APT31就开始活跃的网络攻击活动，被入侵的目标包括政府、金融、航空航天与国防、高科技、建筑与工程、电信、媒体和保险等。

报告说，APT31的主要目标是收集情报，为北京和国有企业提供政治、经济和军事情报。

2025年5月，捷克共和国指责APT31攻击了其外交部。

这次该组织针对俄罗斯的攻击，其特点是利用合法的云服务，主要是俄罗斯国内常用的云端服务，例如Yandex Cloud，进行指挥控制（Command-and-control）和数据窃取，同时试图混入正常网络流量中逃避检测。

据称，攻击者还利用国内外社交媒体账号，在社交媒体上发布加密指令和有效载荷，并在周末和节假日发动攻击。

研究人员表示，由于这些平台的流量不会引起怀疑，因此能够让黑客有效地绕过传统的安全系统检测，同时，在周末和节假日发起攻击说明黑客对目标组织工作流程有所了解。

研究人员发现，在一次针对一家俄罗斯IT公司的攻击中，APT31早在2022年末就已入侵该公司网络，但选择在2023年新年假期期间加大攻击力度。

在2024年12月检测到的另一次入侵中，攻击者发送了一封包含RAR压缩包的鱼叉式网络钓鱼邮件，该压缩包中包含一个Windows快捷方式（LNK）。

此外，中共黑客还试图伪装成秘鲁外交部报告的ZIP压缩包进行钓鱼。