中国黑客被曝伪造美国政策简报发动网攻

网络安全公司Dream Security的最新研究显示，一个中国黑客组织在圣诞节前后发起了一起网络钓鱼（phishing）攻击行动，透过仿冒的美国政策简报，试图入侵外交人员的设备。

这场网络间谍行动主要发生于2025年12月底至2026年1月中旬之间。Dream执行长胡利奥（Shalev Hulio）在接受Axios采访时指出，这波攻击成功感染了“许多人”。

“我们目前还无法确定具体受害者是谁，以及受害规模究竟有多大。”胡利奥说。

Dream在报告（PDF）中指出，这次行动是有中国背景的黑客组织“野马熊猫”（Mustang Panda）所发动的，并以高度拟真的虚假美国外交文件作为诱饵，锁定多国官员。这些受害对象广泛分布于全球，主要针对参与外交、选举及国际协调工作的政府官员。

将“美国简报”转化为间谍工具

黑客此次攻击，并非利用复杂的软件漏洞，而是利用外交官对“美国简报”的信任。他们制作了极为精良的诱饵文件，主题紧扣当时的地缘政治动态，包括：科索沃议会选举通知、美国—亚得里亚宪章（U.S.–Adriatic Charter）伙伴委员会会后报告、第二届全球佛教峰会（新德里）概念文件、柬埔寨与美国之间的外交简报等。

这些文件模仿了美国政府在会议或论坛后，时常会发布的非正式简报风格。受害者只要点开档案，即会透过 DLL Side-loading（DLL 侧载）等技术，由合法的应用程序载入恶意元件，让黑客持续收集敏感数据，并维持存取权限。

DOPLUGS恶意软件

技术分析显示，该活动部署了一款名为DOPLUGS的恶意软件，它是一款中国黑客时常使用的木马程序“PlugX”的变种。PlugX常被用来发动针对外交、政府、军事、政策与国际组织的定向攻击。

报告指出，DOPLUGS的功能经过精简，专门作为下载器使用，并刻意隐藏大量关键程序码字串，搭配多层混淆设计，以提高分析与追踪的难度。

人工智能（AI）工具是侦测本次间谍活动的关键。胡利奥表示：“中国黑客是全球最老练的攻击者，他们深谙隐匿之道，擅长在雷达下潜伏，极难被察觉。”

随着攻击者越来越隐蔽，日益擅长利用地缘政治事件，AI自动化侦测正成为各国政府拦截复杂间谍活动的关键防御手段。