中國駭客Volt Typhoon傳出捲土重來，再度建置殭屍網路

自去年5月曝光的中國駭客組織Volt Typhoon，今年1月美國宣布破壞其建置的殭屍網路KV Botnet，但有研究人員指出，這些駭客近期又捲土重來，企圖打造新的殭屍網路環境。

資安業者SecurityScorecard指出，在去年5月微軟與美國政府聯手，公布這些駭客自2021年開始針對美國關鍵基礎設施（CI）的攻擊行動，駭客似乎消聲匿跡了一段時間，但到了去年底，這些駭客重出江湖，入侵思科及Netgear路由器，部署名為JDYFJ的殭屍網路叢集，他們將C2架設在荷蘭、拉脫維亞、德國，並使用加密通道來迴避偵測。而該殭屍網路命名的由來，正是因為攻擊者自行簽章的SSL憑證，就叫做JDYFJ。

值得一提的是，駭客去年10月挾持位於太平洋的法屬新喀里多尼亞當地的VPN設備，從而在亞太地區與美洲建立秘密通道，這麼做的目的，就是要讓殭屍網路維持活動，減少資安檢測帶來的影響。

到了今年初，全球執法單位對其進行圍剿，破壞部分殭屍網路環境，這些駭客很快就在Digital Ocean、Quadranet、Vultr設置新的C2伺服器，註冊新的SSL憑證來迴避相關調查。而在9月，這些駭客利用JDYFJ叢集在全球暗中路由攻擊流量，並強化他們的基礎設施。

比起其他網路犯罪組織，Volt Typhoon最大的差異在於宛如打不死的蟑螂，而且，一旦執法單位宣布將他們的設置成功進行破壞，不僅很快捲土重來，行徑也變得更加詭譎多端。

有別於其他駭客事跡敗露會消失一段時間，Volt Typhoon被取締、法辦之後的手段變本加厲，因為這群駭客最近利用思科RV320、RV325路由器，以及Netgear ProSafe路由器遺留下來的弱點進行操控，將這些設備當作Operational Relay Box（ORB）網路的節點。而且，攻擊者只花了37天，就入侵全球三成曝露於網際網路的RV320及RV325路由器。

而這些路由器組成了隱密的傳輸環境，使得殭屍網路的活動更不容易被發現。研究人員特別提到，Volt Typhoon的基礎設施每一層都試圖將惡意行為融入正常網路活動，使得相關活動不僅難以偵測，想要清除也變得更加困難。尤其是政府機關及關鍵基礎設施，往往仍依賴老舊、過時的技術，導致資安威脅風險加劇。