全球資安新戰場：TeamT5解析2024年中國APT攻擊態樣與假訊息潮流

在2024年，全球資安事件的數量持續攀升，根據臺灣資安公司TeamT5（杜浦數位安全）技術長李庭閣於「2024 TAS 威脅分析師高峰會」的觀察，資安攻擊數量較2023年增加的比例達到兩位數，顯示攻擊者活動頻率不斷提高。特別是高活躍度的攻擊族群從去年的60個增至今年的73個，增幅超過20％。這些攻擊族群採用更多元化的攻擊技術與手段，針對不同目標展開更加精密的行動。

他指出，2024年是全球的選舉年，從中可以觀察到許多駭客組織利用深偽影片和發布假訊息的方式，企圖左右各國的選舉結果，臺灣也深受假訊息和深偽影片危害。

此外，李庭閣表示，該公司也從中國資安公司安洵（i-Soon）外洩的資料中發現，中國APT組織彼此之間有不同的競合關係，但隨著中國經濟開始衰退，過往由政府在背後提供資金支持的APT組織，在缺乏資金的前提下，也將攻擊對象從以往的國家、軍方和大型企業，開始轉向缺乏資安專業和預算的中小企業。

駭客透過社交媒體散布假訊息，企圖左右選舉結果

2024年是全球的選舉年，有超過100個舉行選舉的國家，因此，選舉事件成為駭客利用的主要場景。李庭閣觀察指出，社交媒體成為駭客與政黨爭奪輿論的重要戰場時，駭客開始利用名為「Hack and Leak」的攻擊手法，透過滲透行動獲取敏感文件，再對其進行加工或扭曲，並於關鍵時刻公開，以影響選舉結果。

這一手法早在2016年的美國總統選舉首次被廣泛關注，當時俄羅斯駭客對希拉蕊·柯林頓的競選團隊發起攻擊，導致大量內部文件外洩且被用於政治操弄。如今，駭客結合生成式AI技術，生成更多真實感極高的深偽（Deep Fake）影片或語音的假訊息，並利用殭屍帳號（Bot Account）放大輿論效果。

例如，2024年臺灣總統大選時，就有YouTuber以AI深偽影片控訴當時的總統參選人賴清德，抹黑他年輕時曾是調查局春風專案的線民。此事件就展現這類境外勢力試圖透過散布假訊息的方式，企圖左右總統選舉的行動的全面性與深度。

除了這些深偽影片或語音檔案，駭客也透過社群媒體左右輿論風向，例如雇用具影響力的意見領袖或網紅（KOL），再加上AI生成的假訊息，結合殭屍帳號的放大效果，對選舉期間的公眾信任造成嚴重侵蝕。以美國為例，FBI就揭露伊朗駭客針對2024年美國選舉的干預行動，目的就是影響特定候選人落選，顯示國際的網路戰爭已蔓延至政治層面。

在臺灣，相關攻擊行動更頻繁且針對性更高，這些攻擊者在選舉期間散布大量假訊息，內容涉及領導人私生活、軍事行動謠言等敏感議題。這些假訊息旨在削弱民眾對政府的信任，為敵對勢力創造輿論優勢。

中國APT組織從國家資助轉向以金錢為目的

回顧2024這一年，中國的進階持續性威脅（APT）組織展現更強的協調性與攻擊力。他們以滲透邊緣裝置（Edge Device）為主，目標鎖定VPN、防火牆、電子郵件閘道器等設備，試圖利用這些關鍵裝置作為跳板進行進一步滲透。根據統計，今年追蹤的重大漏洞攻擊事件中，有14起與邊緣裝置相關，顯示這些設備已成為主要攻擊目標。

攻擊者滲透邊緣裝置後，常利用其進一步收集內部機密文件，或建立殭屍網路執行更大規模的攻擊。例如，針對SOHO路由器（小型辦公室與家庭路由器）的攻擊激增，顯示APT組織試圖藉由大規模感染這些裝置，擴展其網路犯罪基礎。

邊緣裝置的安全漏洞已成為中國APT的核心攻擊策略，李庭閣指出，根據美國、英國、日本及荷蘭資安機構的聯合報告指出，這些駭客不僅竊取機密數據，還利用設備作為內部網路的滲透跳板；一旦攻擊成功，他們便能在受害系統內部自由移動，進而掌控更敏感的資源。

過去，中國APT組織彼此的行動往往相對獨立，但他表示，在2024年出現更多合作的跡象。例如，成都404等公司被發現共同參與一些大型專案，這些通常由中國公安部或國安單位主導。合作範疇包括共享攻擊目標與工具、分配成果等。

安洵（i-Soon）外洩的內部文件進一步揭露了這種合作現象。李庭閣根據這些文件指出，不同的APT組織在競爭中也會建立策略聯盟，藉此提高執行效率和攻擊成功率。例如，他們可能分工處理某些特定任務，或將已入侵的系統交由合作方進行進一步滲透。

從安洵的外洩文件還顯示，中國APT逐漸將其技術應用於商業目的，這些行動不再局限於政府軍事或高科技產業，還擴展至民用領域，包括營建業、製造業甚至餐飲業。這些目標可能因其內部資源具有商業價值而被鎖定，APT組織再將竊取的數據銷售給競爭對手或黑市，以實現利益最大化。

中國經濟的結構性挑戰逐漸對APT組織的行動模式產生深遠影響。近年來，中國政府對APT組織的資金支持逐步減少，部分APT組織甚至被迫轉向商業化營運。根據安洵外洩的文件內容，其中有一些APT成員透露，他們的工資多年未增，甚至面臨降薪的窘境。

實際上，中國大型資安公司安天（Antiy）已經宣布，從2024年10月起，高階主管停止支付部分薪水，全體員工則自12月起全面降薪。「這也反映出中國整體資安產業面臨經營困境。」他說。

由於資金短缺，中國APT組織逐漸將重心轉向金錢驅動的網路犯罪行動，李庭閣坦言，這種攻擊行動將不再局限於政府、軍事與大型企業，而是擴展到更多中小型目標，攻擊範圍涵蓋銀行、保險公司及其他商業機構。

例如，先前有一起典型案例顯示，2024年某臺灣企業遭APT組織攻擊，其內部機敏數據在兩週內被上傳至知名勒索軟體平臺LockBit。他分析此事件表明，APT組織已經與勒索軟體駭客組織建立雙方合作關係，共同分享非法所得。

另一個值得注意的趨勢是，APT組織正在採用更多「灰色地帶」的手段賺取收益。李庭閣舉例，有APT組織開始提供SEO（搜索引擎最佳化）相關服務，但這些服務背後採用攻擊性技術，操縱網站排名，甚至利用網路漏洞控制競爭對手的數位資產。

APT組織轉型，攻擊對象從國家、大型組織轉到中小企業

此外，APT41組織也被觀察到使用全球範圍的攻擊策略，其攻擊工具與技術已廣泛應用於勒索軟體、資料竊取與商業間諜行動中。李庭閣認為，隨著中國APT行動的商業化，這些組織的攻擊目標變得更加多元，威脅層級也顯著提升。

從中國APT組織的商業化轉型也顯示出，中國經濟困境與網路犯罪之間的密切聯繫。當中國的國家預算無法支撐APT組織的運作時，這些APT組織便利用其先進的攻擊技術與資源，透過非法行動填補其資金缺口。

李庭閣認為，中國APT組織的轉型模式，也會逐步擴散，並將對全球資安生態造成重大影響。傳統上，APT組織多以國家支持的形式出現，然而，一旦這些組織開始商業化，當他們的攻擊標的不再限於政治與軍事時，反而更加關注於經濟價值，可能會形成一種「攻擊民主化」的現象。

隨著攻擊者的目標逐漸擴展至中小型企業，這些傳統上被認為資源有限的組織單位，正面臨前所未有的挑戰。以往APT攻擊主要集中於政府、軍事與大型企業，但隨著攻擊者的商業化轉型，他表示，APT組織攻擊範圍已延伸至製造業、營建業甚至餐飲業等非傳統目標。

攻擊者正利用企業的邊緣裝置或基礎設施漏洞，迅速獲取內部數據，或利用感染設備建立殭屍網路以發動進一步攻擊。他認為，這對缺乏專業資安團隊與預算支持的中小型企業而言，特別具有挑戰性。