賽門鐵克：網路間諜組織Buckeye在影子掮客之前就利用了NSA的攻擊工具

在2016年8月時，一個自稱為「影子掮客」（The Shadow Brokers）的駭客組織，在網路上拍賣美國國安局（NSA）下轄網路攻擊組織「方程式」（Equation Group）所開發的攻擊工具，在當時掀起了軒然大波，然而，資安業者賽門鐵克（Symantec）最近發現了新證據，指出網路間諜集團Buckeye早在2016年3月，就開始利用相關的攻擊程式。

從時間點來看，影子掮客是在2017年4月釋出包括DoublePulsar、FuzzBunch、EternalBlue及EternalSynergy等攻擊工具，隔月北韓駭客即利用DoublePulsar與EternalBlue來散布造成重大災情的WannaCry勒索軟體，但Buckeye早在2016年3月就以DoublePulsar發動攻擊了。

迄今影子掮客的身分依然不明，外界揣測它來自俄羅斯，而所持有的攻擊工具則是向國安局的約聘人員所收購；至於Buckeye也被稱作APT3或Gothic Panda，是來自中國的網路間諜團隊，自2009年開始活動，一直到2017年中被美國破獲。

研究人員指出，2016年3月時，Buckeye便替後門程式DoublePulsar設計了專用的攻擊工具Bemstour，開採兩個微軟零時差漏洞CVE-2017-0143與CVE-2019-0703，並用它來攻擊香港及比利時，前者在2017年3月修補，後者則是一直到今年才修補。

賽門鐵克並不確定Buckeye取得DoublePulsar的管道，但有鑑於Buckeye並未使用其它由影子掮客外洩的攻擊程式，讓研究人員猜測Buckeye很可能是發現了NSA在中國系統上所植入的DoublePulsar，秉持著「草船借箭」的精神重製了DoublePulsar，而比較不像是偷來或買來的。