重點摘要

一起新發現的親中網路攻擊行動，正瞄準南亞、東亞及東南亞政府機關與關鍵基礎設施，以及某個北大西洋公約組織 (NATO) 會員國。我們目前暫時將這起活動歸納在 SHADOW-EARTH-053 入侵集合來持續加以追蹤。
此外，有將近半數的受害裝置也曾遭到另一個相關的入侵集合 (SHADOW-EARTH-054) 駭入，兩者的工具雜湊碼及 TTP 都重疊，但證據顯示這應該是同樣的漏洞遭到各自獨立的攻擊，而非直接的聯合行動。
駭客集團攻擊了對外連網的 Microsoft Exchange 和 Internet Information Services (IIS) 伺服器的 N 日 (N-day) 漏洞，例如 ProxyLogon 漏洞鏈，接著部署 webshell (網站指令列介面，如 GODZILLA) 來常駐於系統，並經由 DLL 側載方式植入合法簽署的 ShadowPad 執行檔。
這些老舊的 Microsoft Exchange 漏洞依然是駭客突破防線的有效管道。SHADOW-EARTH-053 能夠成功利用這些早已修補的問題，證明企業還在使用老舊或未修補的 Exchange 伺服器，因此仍面臨信箱被駭、登入憑證被竊取，以及駭客長期躲藏的重大風險。

摘要

TrendAI™ Research 一直在持續分析這些瞄準南亞和東南亞地區的 ShadowPad 檔案，並且發現了一系列新的相關攻擊行動，我們將這些行動都暫時歸在一個名為「SHADOW-EARTH-053」的入侵集合 (也就是在正式發現源頭之前暫時列在某個群集底下的相關活動)，根據我們的評估，此入侵集合應該符合中國的整體戰略利益。我們的監測資料顯示，該集團在過去一年當中至少攻擊了八個國家的政府機關和關鍵基礎設施產業。

SHADOW-EARTH-053 的活動至少可追溯至 2024 年 12 月，顯示該集團已營運超過一年。我們的調查詳細掌握了駭客的手法、技巧與程序 (TTP)，包括：攻擊流程、突破防線管道，以及隱匿的通訊管道。

儘管我們觀察到的大多數受害目標都集中在亞洲，但該集團的足跡卻遠超過這些地區：歐洲一個北大西洋公約組織 (NATO) 會員國的政府機關也遭到攻擊。從被攻擊的目標來看，我們認為這些行動的目的可能是要從事網路間諜活動和竊取智慧財產。

我們發現，在所有遭到攻擊的環境中，有將近半數都出現與另一個暫時性入侵集合「SHADOW-EARTH-054」相同的 TTP 和惡意程式。這個入侵集合在網路方面與 Unit 42 的 CL-STA-0049 和 Elastic 的 REF7707 有重疊之處，同時，這兩個入侵集合也跟 Earth Alux 有所重疊 (詳細的關聯請參閱「溯源」一節）。儘管這些活動通常出現在同一個網路中，但 SHADOW-EARTH-054 相關的事件通常比 ShadowPad 檔案的植入日期早了幾個月。儘管存在這樣的時間落差，但這兩個入侵集合都使用了相同的入侵後續工具，以及相同的突破防線管道。以下是這些關聯的完整分析。

攻擊鏈

以下各節詳細分析了 SHADOW-EARTH-053 的技術，包括其能力、TTP 以及營運特性。

突破防線

我們的監測資料顯示，該集團會攻擊對外的服務以便在目標網路內建立據點。我們觀察到它們會攻擊伺服器的 N 日漏洞，例如使用專門針對 Microsoft Exchange Server 的 ProxyLogon 漏洞鏈 (CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065)。儘管這些都是老舊的漏洞，但在未修補的環境下，對駭客來說依然有用。

在駭入伺服器之後，駭客集團會利用其存取權限來安裝 webshell (網站指令列介面，如 GODZILLA)，並植入 ShadowPad 檔案。這些 webshell 可當成常駐的後門，讓駭客持續存取被害系統，並在系統上執行指令。以下是一份代表性的常見 webshell 檔案名稱清單：

error.aspx
errorFE.aspx
signout.aspx
warn.aspx
data.aspx
page.aspx
TimeinLogout.aspx
timeout.aspx
charcode.aspx
tunnel.ashx
i.aspx
2.aspx

使用 .ashx 作為 HTTP 處理函式，意味著它與先前活動看到的 .aspx webshell 有些微小的差異。

這些檔案經常出現在以下目錄中：

?:\inetpub\wwwroot\aspnet_client\system_web
?:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth

在某個案例中，ShadowPad 樣本是經由 AnyDesk 這個正派的遠端管理工具來散布，這表示駭客應該是透過先前的入侵或其他方式取得了登入憑證。由於我們對這個入侵集合的資訊掌握有限，使得我們無法判斷這是否意味著另一種突破防線的方式，還是經由未觀察到的入侵行為之後才部署。此外，我們還另外發現了 Linux NOODLERAT 的樣本，據稱是經由 CVE-2025-55182 (React2Shell) 漏洞植入。我們將這些樣本歸給 SHADOW-EARTH-053，但信心度不高。相關細節請參閱「Linux NOODLERAT」一節。

搜尋

在某個案例中，駭客直接經由 webshell 進入系統，然後對 Active Directory 和 Exchange 基礎架構執行了大量的偵查。其 Internet Information Services (IIS) 工作單元處理程序 (w3wp.exe) 執行的指令包括：網域系統管理員群組列舉、透過 nltest/dclist 尋找網域控制器，以及針對多台內部 Exchange 伺服器的 nslookup 查詢。

駭客還部署了 csvde.exe 這個正常的 Windows 工具程式來將 Active Directory 物件匯出成 CSV 格式。此外，也使用了 PowerView 的 Get-DomainUser 這個 cmdlet 來列舉某個網域控制器底下的使用者與相關電子郵件。

我們還觀察到一個名為「DomainMachines.exe」的客製化二進位檔案利用 LDAP 來列舉網域中的電腦，然後直接連上一些相關的連接埠：SMB (139、445)、網站伺服器和代理器 (80、443、8080、8443)、RDP (3389)、WinRM (5985、5986)、MySQL (3306)、MS SQL (1433) 以及 Kerberos (88)。雖然我們無法取得此工具來進行深入分析，但它的大小只有 28 KB，顯然是一個相當輕量化的工具。

後門存取與惡意程式工具組

ShadowPad

SHADOW-EARTH-053 主要使用的惡意程式家族是 ShadowPad，這是一套進階模組化惡意程式，自 2017 年起便由 APT41 集團開始使用，並且從 2019 年開始在中國境內多個駭客集團之間共用。

該惡意程式在其有生之年已經歷許多重大演進，但 SHADOW-EARTH-053 所用的變種卻缺乏我們在其他集團使用的版本所看到的進階加密編碼與反制除錯功能。這表示該集團只能拿到某個舊版的建構程式，而非原始程式碼本身。此版本是針對 32 位元架構所組譯，而且已經有大量的文獻記錄。

在我們觀察到的入侵案例中，駭客一直在使用相同的載入機制，並由三個不同的檔案所組成：

一個經過簽署且存在著 DLL 側載漏洞的正常檔案。
一個惡意 DLL，負責從磁碟或系統登錄載入惡意檔案。
加密後的 ShadowPad 惡意檔案，它會儲存在系統登錄當中，並在首次使用之後便會刪除。

駭客利用了以下四個含有漏洞的執行檔：

SHA-256	原始檔案名稱	駭客使用的檔案名稱	被側載的 DLL	Authenticode 簽署者
4264cfb3980a068ab36d842c7ee0942f40aaf308f31ed48b41e140e59885f5c8	GameHook.exe	runtimebroker.exe nvcontainer.exe	graphics-hook-filter32.dll	ORANGE VIEW LIMITED
2e8f9fd8213d9f69044101cd029fd1797ec7afbcad40bb1f04eb93d881c04cd2	imecmnt.exe	RuntimeBroker.exe osppsvc.exe	imjp14k.dll	Microsoft Corporation
8d9433e9734dd629d74abe41ff7024c84b3a28c45671df8f4baed344de733c78	xReport.exe	無	Uxtheme.dll	Mainline Net Holdings Limited
d67197bf407e74ecd77be89d0da107d5f7d37c21bdf55456c6b57df65cf429b3	LUManager.EXE	RAVCpl64.exe	MPS.dll	Samsung Electronics CO., LTD.

^{表 1：因含有 DLL 側載漏洞而遭 SHADOW-EARTH-053 利用的執行檔。}

TosBtKbd.dll 系統登錄載入器

SHADOW-EARTH-053 使用了一個正常的 Toshiba Bluetooth Stack 執行檔，並將它重新命名為 CIATosBtKbd.exe，用來側載惡意 DLL (TosBtKbd.dll)。這個載入器使用了多重階段躲避技巧，它會從 Windows 系統登錄擷取其惡意檔案，而非將它內嵌在二進位檔案當中。執行時，載入器會呼叫 GetComputerNameA 來取得主機名稱，然後讀取該電腦專屬的登錄機碼：HKEY_CURRENT_USER\Software\[ComputerName]。它會從這裡讀取一個名為 scode 的二進位值，裡面含有 shellcode 惡意檔案。

接著惡意程式會利用 VirtualAlloc (並指定 PAGE_EXECUTE_READWRITE 權限) 來配置記憶體，然後經由回呼注入 (callback injection) 方式執行 shellcode。惡意程式藉由將 shellcode 的位址當成回呼參數 (callback parameter) 傳給 Windows API 函式 EnumDesktopsA 來誘騙作業系統在標準的桌面列舉過程中執行惡意程式碼。此方法可避免直接執行呼叫，因為這麼做通常會觸動資安監控系統。常駐機制是透過一個名為 M1onltor 的排程工作來達成，該工作設定成每五分鐘執行一次被側載的二進位檔案，並且擁有最高的權限。請注意，我們並無法取得這個 shellcode 惡意檔案來進行分析。

mdync.exe 後門程式

在多起攻擊案例中，受害者的網路上被植入了一個名為 mdync.exe 的執行檔。儘管我們無法取得該檔案來進行靜態分析，但端點監測資料卻顯示這個執行檔曾經建立一些信標連線至：141[.]164[.]46[.]77 這個 IP 位址。我們觀察到這個工具是由被側載的 TosBtKbd.dll 所植入。

IOX 代理器 (proxy)

我們觀察到該集團使用了 IOX 代理器，他們會建立本機帳號，並將 LocalAccountTokenFilterPolicy 數值設為 1。這項設定可讓所有本機系統管理員 (而非只有內建的 RID 500 帳號) 所建立的遠端連線擁有完整的系統管理權限，以便經由傳遞雜湊碼 (Pass-the-Hash) 的方式來橫向移動。

其他通道與代理器工具

除了 IOX 之外，我們也觀察到 SHADOW-EARTH-053 會在單一環境內植入多個通道 (tunneling) 工具，意味著駭客採取了一套多層式方法來維持其隱匿的通訊管道，包括：

GOST (GO Simple Tunnel)：GOST 是一個以 Go 撰寫的開放原始碼通道工具，用來建立 SOCKS5 代理器與 WebSocket 通道以便連接外部基礎架構。駭客同時設定了 SOCKS5 監聽器以及中繼反向通道至 IP 位址 96[.]9[.]125[.]227。
Wstunnel：Wstunnel 是另一個開放原始碼通道工具，它是以 wt.exe 的名稱植入系統，並且被設定為將 SOCKS5 流量經由 HTTPS 傳送到同一個幕後操縱 (CC) IP 位址。

此外，我們也看到駭客將某個工具從 tunnel-core.exe 重新命名為 code.exe，並傳入一個參數 (client.toml)。我們觀察到它與 IP 位址 96[.]9[.]125[.]227 的通訊 (連接埠 8067)，但無法取得該工具來做進一步研究。

駭客針對同一個 CC 位址設置了多個通道工具，意味著他們希望就算個別工具被偵測並遭到封鎖，也能確保持續的對外連線。所有工具都暫存在 C:\Users\Public 目錄中，這一點符合該集團的偏好，也就是使用可公開寫入暫存目錄。

Linux NOODLERAT

2025 年 12 月中旬，SHADOW-EARTH-053 從 IP 位址 194[.]38[.]11[.]3 (連接埠 1790) 下載了一個 ShadowPad 樣本。根據沙盒模擬監測資料顯示，12 月初也有 Linux 樣本從同一個 IP 和連接埠被下載。這些樣本是 NOODLERAT 的 ELF 檔案，這是多個從事間諜或網路犯罪行動的集團之間共用的一個惡意程式家族，我們在先前的部落格文章中曾經詳細探討過。

NOODLERAT 樣本使用了 check[.]office365-update[.]com 這個網域作為 CC 位址，該網域是在 2025 年 11 月 19 日註冊。此網域名稱與一些近期 SHADOW-EARTH-053 註冊的網域命名習慣相符。基於這些原因，並根據我們的威脅溯源框架，我們將這些樣本歸在 SHADOW-EARTH-053 底下，但信心度不高。此外，這些樣本也被多家廠商所發現，屬於 CVE-2025-55182 (React2Shell) 漏洞攻擊手法的一環。

躲避防禦

RingQ

在某個被攻擊的環境中，我們偵測到一個 RingQ 的樣本，這是 GitHub 上一個源自中國的開放原始碼工具，專門用來封裝惡意二進位檔案以躲避資安解決方案的偵測。

此入侵集合還會使用一些假冒產品、資安解決方案廠商或 DNS 通訊協定相關的網域名稱，讓它們看起來像個正常的網域。

除此之外，我們也觀察到該集團會將正常的 Windows 系統二進位檔案重新命名以躲避基於處理程序名稱的偵測機制。在某起案例中，net.exe 被複製到 C:\ProgramData 當中，並使用 $[RANDOM].log 的命名方式隨機取名 (如：$D5PLAA1.log、$9XF5WLD.log)。PowerShell 二進位檔案也使用類似方式來偽裝 (如：$C06KCQ2.log、$VMB9AIT.log、$6T8BLJP.log)。這項技巧是專門針對比對處理程序名稱 (而非檢查二進位雜湊碼) 的資安解決方案。

橫向移動

SHADOW-EARTH-053 使用 Windows Management Instrumentation Command-line (WMIC) 來橫向移動，將後門程式和工具安裝到更多主機上。此外，我們也觀察到該集團部署了一個疑似為客製化遠端桌面協定 (RDP) 啟動器的檔案 (名為 smss.exe)，以及一個以 C# 實作的 SMBExec (名為 Sharp-SMBExec)。

在某個環境當中，該集團將 webshell 複製到其他內部 Exchange 伺服器，方法是將它們複製到系統管理共用資料夾 (例如：copy charcode.aspx \\[IP]\c$\inetpub\wwwroot\aspnet_client\system_web\)。這項技巧可在 Exchange 基礎架構內快速擴大地盤而無須部署其他工具，利用現有的系統管理登入憑證和已入侵的 webshell 作為執行平台。

登入憑證存取與權限提升

該集團會蒐集一些登入憑證來進一步達成其他目標，尤其是使用 Evil-CreateDump 工具。該工具似乎是以 Microsoft 的 create-dump.exe 工具為基礎所開發出來，而且很可能已被修改成專門從 LSASS 處理程序的記憶體擷取登入憑證。

Mimikatz 是透過 rundll32.exe 直接執行，並且使用了擷取登入憑證 (sekurlsa::logonpasswords) 以及本地端 SAM 資料庫傾印 (lsadump::sam) 的指令列參數。這些指令都是經由 IIS 工作單元處理程序 (w3wp.exe) 來執行，並透過 webshell 來確認執行狀態。

此外，我們也觀察到該集團植入並執行了一個名為 newdcsync 的二進位檔案，根據其指令列和檔案名稱，該檔案很可能用於 DCSync 攻擊。

蒐集與外傳

我們觀察到駭客植入了 RAR 執行檔，而且在某個案例中，我們看到駭客建立了一個內含受害企業某高階主管郵件訊息 (一個 PST 檔案) 的密碼保護 RAR 壓縮檔。

在某個案中，SHADOW-EARTH-053 利用他們對受害者 Exchange 伺服器的存取權限安裝了一個 Exchange 管理增益集 (snap-in)。這套程序揭露了一種反覆修正的作法：一開始先嘗試透過 Get-Mailbox 來列舉信箱，失敗之後，駭客接著手動載入該增益集 (Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn) 來繞過執行政策。後續還會再不斷反覆改進技巧，從 Get-Mailbox 進化到使用 Get-User 來擴大範圍，並且新增一些欄位 (如 UserAccountControl 和 AccountDisabled) 來發掘使用中的高價值帳號。我們在單一攻擊階段中就能觀察到這些進展：從雜亂的初步嘗試，到更精細、更隱密的指令。

除此之外，駭客還會使用一個客製化的「ExchangeExport」工具，透過 Exchange Web Services (EWS) API 匯出高價值使用者的信箱內容。Microsoft 也觀察到類似 Silk Typhoon (Hafnium) 的活動，只可惜我們無法取得該工具來進一步分析。

受害者分析

根據我們的調查顯示，這起攻擊行動主要是針對政府機關，並且大部分集中在亞洲。我們觀察到的受害目標集中在南亞、東亞和東南亞，尤其是：

巴基斯坦
泰國
馬來西亞
印度
緬甸
斯里蘭卡
台灣

請注意，儘管駭客的攻擊範圍主要集中在亞洲，但其足跡卻遠遠超越該地區，至少有一個受害目標是位於波蘭。這樣的分布方式表示駭客的戰略目標應該是亞洲地區，而全球目標可能只是機會性攻擊，或者駭客有意擴大其地盤。

除了政府機關之外，SHADOW-EARTH-053 也攻擊科技產業。我們至少在兩個國家觀察到該集團攻擊了擁有政府標案的 IT 顧問公司，尤其是將國防部列為客戶的顧問公司。

最後，我們發現東南亞地區有少許的交通運輸業機構受害。

特徵重疊之處

根據我們的調查顯示，有多家受害機構在被植入 ShadowPad 之前已被入侵長達 8 個月之久，全都經由同樣的入侵點。在前述的案例中，駭客是經由含有漏洞的 IIS 或 Microsoft Exchange 伺服器來取得存取權限，接著再部署 webshell 來常駐於系統。

兩個駭客集團之間的關係有可能有以下三種情況：

各自獨立的漏洞攻擊：SHADOW-EARTH-053 獨自利用了與 SHADOW-EARTH-054 相同的漏洞來攻擊這些伺服器。這情況與我們去年提出的「特權存取服務」(Premier Pass-as-a-Service) 的「A 型」合作模式相吻合，包括：使用 webshell 來部署後門、攻擊含有漏洞的對外伺服器，以及類似的突破防線技巧。在這種情況下，入侵集合之間的聯合行動很可能只是巧合，而非有意為之。
資產再利用：SHADOW-EARTH-053 單純只是重複利用了 SHADOW-EARTH-054 之前入侵時所留下的 webshell。
隸屬同一集團：SHADOW-EARTH-053 和 SHADOW-EARTH-054 隸屬同一個使用多種 TTP 的集團。

在近期的三起案例中，某個可追溯至 SHADOW-EARTH-054 的惡意載入器家族在一些先後分別遭到 SHADOW-EARTH-054 和 SHADOW-EARTH-053 攻擊的企業機構都有偵測到。這個載入器也是經由同樣的漏洞來散布，但與先前部署的惡意程式並無明顯關聯。此一現象再次印證我們對於 A 型合作模式的推論，也就是兩個入侵集合各自獨立攻擊相同的漏洞，兩者之間並無協同攻擊的證據。而這也使得第三個情況變得不可能，因為如果是針對已遭入侵的企業使用不同的惡意程式工具套件，會讓攻擊行動顯得不一致。

除了突破防線的入侵管道相似之外，我們發現漏洞攻擊後續能力也存在著重大重疊。兩個集團都使用了同一個工具套件，並搭配客製化開發的惡意程式和工具：

Evil-CreateDump
IOX Proxy

值得注意的是，我們的分析證實了這些檔案的檔案雜湊碼完全相同，這表示他們使用的是完全相同的二進位檔案，而非類似的軟體。

特別值得注意的是，我們在相同的端點上觀察到以下活動序列：

SHADOW-EARTH-054 使用惡意程式來入侵 (2024 年底/2025 年初)。
SHADOW-EARTH-053 植入 ShadowPad 檔案 (2025 年中期)。
SHADOW-EARTH-054 再次發動攻擊 (2026 年初)。

下圖顯示事件發生的時間軸：

圖 1：SHADOW-EARTH-053 與 SHADOW-EARTH-054 的活動時間軸。

值得注意的是，SHADOW-EARTH-053 的攻擊目標有將近半數也遭到 SHADOW-EARTH-054 的攻擊，主要分布在馬來西亞、斯里蘭卡和緬甸。此外，我們也在馬來西亞、巴西和台灣發現 SHADOW-EARTH-054 獨有的攻擊目標，這些與 SHADOW-EARTH-053 攻擊的目標分布於類似的產業，再加上一家電信設備經銷商。

圖 2：SHADOW-EARTH-053 與 SHADOW-EARTH-054 的攻擊目標。

	SHADOW-EARTH-053	SHADOW-EARTH-054
感染途徑	Microsoft Exchange 漏洞	Microsoft Exchange 漏洞
惡意程式工具組	ShadowPad TosBtKbd.dll 系統登錄載入器 mdync.exe 惡意程式	客製化載入器 VShell
載入器檔案名稱	RuntimeBroker.exe nvcontainer.exe osppsvc.exe CIATosBtKbd.exe	RuntimeBroker.exe SystemEventsBrokerTrustedService.exe identity_helper.exe
漏洞攻擊後續工具組	evil-createdump.exe IOX (命名為 explorer.exe)	evil-createdump.exe IOX (命名為 explorer.exe 或 svchost.exe) 用來啟動特權處理程序的客製化工具
攻擊的地區	南亞東南亞東亞歐洲	南亞東南亞東亞拉丁美洲

儘管兩個集團在受害者和 TTP 上都存在著相當大的重疊，但我們還是根據上述的細節，選擇暫時將它們分成兩個不同的入侵集合。

溯源與動機

這起攻擊部署惡意程式家族 (尤其是 ShadowPad) 的行為與親中駭客集團有強烈的關聯，同時，其選定的目標與攻擊時機，也與地緣政治事件及該地區的戰略利益密切吻合。

在調查期間，我們很快就發現有兩個不同的集團在類似環境內活動。關於 SHADOW-EARTH-053，我們發現他們與任何已知公開報導的集團並無太多重疊之處。至於 SHADOW-EARTH-054，我們發現了多個我們無法溯源的惡意程式載入器，以及一個會與連上 209[.]141[.]40[.]254 的 VShell 樣本。

這個惡意程式家族過去曾經是開放原始碼，而且已知有多個入侵集合在使用。我們也注意到駭客會發送「ping」指令到 zimbra-beta[.]info。這些 IP 位址和網域名稱都曾出現在一份有關 CL-STA-0049 這個入侵集合的報告中，他們主要是使用 SQUIDOOR 惡意程式 (我們稱之為 VARGEIT)。

雖然 CL-STA-0049 所使用的感染途徑與我們的觀察相符，但其他 TTP 都不相同，而且我們並未發現 VARGEIT 的痕跡。所以，我們選擇暫時使用 SHADOW-EARTH-054 這個名稱。

我們知道還有另外兩個入侵集合在使用 VARGEIT：Earth Alux 和 REF7707，他們使用的惡意程式叫做「FinalDraft」。同樣地，相關報告發現的 TTP 都與我們觀察到的 SHADOW-EARTH-054 活動不符。

圖 3：溯源重疊之處顯示了 SHADOW-EARTH-054、CL-STA-0049、Earth Alux 和 REF7707 之間的關聯。

駭客集團的最終目標目前仍不明朗，但由於其攻擊目標具備敏感性，因此這起活動很可能涉及針對外國的網路間諜活動以及智慧財產竊盜。除此之外，我們也發現一個案例是 SHADOW-EARTH-054 試圖經由某科技業客戶的環境來連上東南亞某國國防部的網頁郵件系統，顯示這可能是一起供應鏈攻擊。

風險管理指引

這起攻擊的主要入侵管道是對外連網的 IIS 應用程式的漏洞，企業應優先對 Microsoft Exchange 和 IIS 上的任何網站應用程式套用最新的資安更新與修補。在無法立即修補的情況下，我們強烈建議部署入侵防護系統 (IPS) 或網站應用程式防火牆 (WAF)，利用過濾規則來攔截針對上述已知 CVE 漏洞的攻擊 (虛擬修補)。

為了防止駭客植入 webshell，系統管理員應該針對重要的網站目錄 (如 C:\inetpub\wwwroot 或 Exchange Client Access 的路徑) 實施嚴格的檔案一致性監控 (FIM)。同時也應針對建立或修改可執行伺服器端腳本 (如 .aspx、.ashx 或 .jsp) 的情況設定警報。此外，也應掃描受影響的路徑上是否有未用到或可疑的檔案，尤其要注意時間戳記不吻合或高熵值的檔案 (表示可能已經過加密編碼)。

除此之外，企業也可強化 IIS 組態設定來縮小攻擊面：

限制權限：企業應確保 IIS 的工作單元處理程序 (w3wp.exe) 盡可能以最低的權限執行，並且沒有系統管理權限，也不能寫入任意目錄。
停用未用到的功能：IT 和資安團隊應移除業務營運不需要的 IIS 模組和處理函式 (handler)。
應用程式白名單：企業應強制實施政策來防止 IIS 處理程序啟動未經授權的二進位檔案或腳本解譯器。

webshell 的出現經常會導致系統執行異常的處理程序，資安團隊應監控端點偵測及回應 (EDR) 的監測資料是否出現以下狀況：

可疑的子處理程序：企業應針對 IIS 工作單元處理程序啟動指令列介面 (如 cmd.exe、powershell.exe) 或偵查工具 (如 whoami.exe、net.exe) 的情況設定警報，這是一個高準度的遠端程式碼執行指標。
異常的網路流量：資安團隊應監控網站伺服器是否有非預期的對外連線，這也許是 CC 通訊。
企業也應監控並限制存取某些經常被用來作為暫存位置的目錄，包括：C:\ProgramData、C:\Users\Public、C:\PerfLogs 以及 C:\Windows\Temp。這些位置經常被駭客用來植入和執行惡意檔案而無需直接的系統管理權限，而且這些位置的廣泛寫入權限讓它們在例行檢查時很容易被忽略。

結論

SHADOW-EARTH-053 象徵一個持續、有系統且在亞洲及其他地區活動的親中駭客集團。該集團專門攻擊對外連網的 Exchange 和 IIS 伺服器長期已知、但尚未修補的漏洞，他們成功入侵了至少八個國家的政府部門、國防承包商以及交通運輸機構，證明即使是揭露多年的 N 日漏洞依然是可行且有效的入侵點。

SHADOW-EARTH-053 與 SHADOW-EARTH-054 之間的關係，讓威脅情勢顯得更加複雜。雖然這兩個入侵集合使用了相同的工具與突破防線的方式，而且受害者也重疊，但根據目前可掌握的證據，他們應該是各自獨立攻擊了同樣的漏洞，而非聯合行動。此一情況突顯出國家資助的間諜行動在亞洲政府和關鍵基設施產業活動的規模和持續性。

凡是使用對外連網的 Microsoft Exchange 或 IIS 基礎架構的企業 (尤其在受影響的地區) 應將這起攻擊視為一項重大警訊，仔細稽核自己的修補更新狀況、檢視 webshell 的偵測功能，並且仔細檢查網站伺服器的對外流量。企業可將本文提供的入侵指標與威脅追蹤查詢作為發掘潛在曝險的起點。

採用 TrendAI Vision One™ 的主動式防護

TrendAI Vision One™ 是一套將資安曝險管理、資安營運以及強大的多層式防護集中在一起的業界領先 AI 驅動企業網路資安平台。

TrendAI Vision One™ Threat Intelligence Hub

TrendAI Vision One™ Threat Intelligence Hub 威脅情資中心提供了有關新興威脅與駭客集團的最新洞見、TrendAI™ Research 的獨家戰略性報告，以及 TrendAI Vision One™ 平台的 TrendAI Vision One™ Threat Intelligence Feed 威脅情資來源。這份研究最早是在 2026 年 2 月通報給 Threat Intelligence Hub 的訂閱戶。

新興威脅：SHADOW-EARTH-053 和 SHADOW-EARTH-054：特徵重疊的網路間諜集團瞄準亞洲政府機關

駭客集團：SHADOW-EARTH-053

TrendAI Vision One™ Intelligence Reports (IoC 掃描) 

SHADOW-EARTH-053 與 SHADOW-EARTH-054：特徵重疊的網路間諜集團瞄準亞洲政府機關

追蹤查詢

TrendAI Vision One™ Search 應用程式

TrendAI Vision One™ 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標，看看是否也出現在自己的環境中。

可能出現的 Webshell：eventSubId: 101 AND objectFilePath: (*.aspx OR *.ashx OR *.jsp) AND processFilePath: *\\w3wp.exe

除此之外，TrendAI Vision One™ 客戶還可啟用 Threat Insights Hub 權利來取得更多追蹤查詢。

入侵指標 (IoC)

如需本文當中提到的入侵指標，請參閱此處。

深入剖析 Shadow-Earth-053：一場針對亞洲政府與國防部門的親中網路間諜行動