• Weaver Ant 组织利用隐蔽技术渗透了电信运营商。
  • 该活动四年多未被发现。

发生了什么隐秘的电信间谍活动曝光

据网络安全公司 Sygnia 的报告,一个被称作 Weaver Ant 的与中国有关的黑客组织,在至少四年的时间里秘密渗透了多家亚洲电信运营商。攻击者利用加密隧道和 Web Shell 等先进技术来维持持久性并避免被发现。

这些黑客利用东南亚各地受感染的 Zyxel 家用路由器作为中继网络,有效地掩盖了他们的来源。这使他们能够进行长期的间谍活动,收集凭据并监控内部网络活动。攻击者还部署了一种以前未被发现的、名为 INMemory 的 Web Shell,它直接在服务器内存中执行载荷,几乎不留下取证痕迹。

Sygnia 的调查显示,Weaver Ant 利用了一个非预置的 操作中继盒(ORB) 网络来代理恶意流量,进一步隐藏了其基础设施。该组织还表现出高度的适应性,通过受感染的设备从一家电信运营商转向另一家,沿途规避安全措施。

这次入侵是在一次不相干的 Sygnia 调查中偶然发现的,当时一个之前被禁用的帐户被一个服务帐户重新激活。这一重新激活导致分析人员发现了更大的间谍活动,证实了 Weaver Ant 在多个电信网络中的广泛访问权限。

另请阅读:站在十字路口的电信运营商:谷歌云的 AI 行动号召
另请阅读:NVIDIA AI:借助 AI-RAN 和 GenA 革新电信运营商I

为何重要

这一活动的曝光突显了关键电信基础设施在长期网络间谍活动面前的脆弱性。电信运营商作为通信的核心,是寻求收集政府、企业和个人情报的国家行为者的高价值目标。

通过使用家用路由器作为中继,攻击者有效地绕过了传统的网络检测系统。这种方法,加上基于内存的 Web Shell 的使用,展示了黑客技术的进化,使安全团队更难追踪或阻止入侵。

此外,攻击持续数年表明电信运营商的安全框架可能存在系统性弱点。该事件强调了持续监控、高级威胁检测系统和主动网络安全措施的必要性,以防止类似入侵。