中國駭客組織IcePeony利用SQL注入手法，針對亞洲國家網頁伺服器下手

中國駭客發動攻擊的情況不時傳出，近期研究人員揭露多組過往未曾發現的駭客組織，如今有個組織因駭客的作業疏失，而讓研究人員有機會一探究竟。

資安研究團隊Nao_sec揭露中國駭客組織IcePeony的攻擊行動，並推測這些駭客至少從2023年開始活動，針對印度、模里西斯、越南等國家的政府機構、學術單位、政治組織發動網路攻擊，根據他們取得的事件記錄資料，駭客試圖攻擊印度各個政府網站的情況相當頻繁，有超過200次的記錄。

這些駭客會鎖定網頁伺服器發動SQL注入攻擊，一旦找到弱點，就會藉此注入Web Shell或惡意程式，其中一種是專門針對IIS伺服器的後門IceCache，最終目的是竊取帳密資料。研究人員認為，這些駭客的攻擊意圖，很有可能與中國的國家利益有關，尤其優先考慮海洋戰略層面的利益。

研究人員調查該組織行蹤的原因，主要是意外發現駭客因操作錯誤不慎曝露了Cobalt Strike、SQLmap等攻擊資源。值得一提的是，他們發現駭客工時很長，每日耗費14小時攻擊，僅有週日沒有活動，研究人員推測，駭客很可能採取中國IT業界常見的996工作制度──即每天從上午9時工作到晚間9時，每週工作6天。

對於駭客使用的工具，研究人員指出他們特別偏好開源軟體，其中包含由代理伺服器工具Stowaway改造而成的StaX、惡意程式IceCache與IceEvent。值得一提的是，這些駭客會在他們的工具加上簡體中文內容的註解，顯示該組織應該來自慣用此種語文的國家，也就是中國。