資安業者Palo Alto Networks針對中國APT駭客TGR-STA-0043發起的攻擊行動Operation Diplomatic Specter提出警告，駭客從2022年底，針對中東、非洲、亞洲的政府組織下手，至少有7個政府單位確認長期遭到網路間諜攻擊，對方利用相當罕見的電子郵件滲透手法，對受害伺服器進行大規模的情報收集工作。

究竟這些駭客的目的是什麼？研究人員認為，對方試圖取得外交與經濟業務單位、大使館、軍事機構、政治會議，以及特定國家的部會、高層官員情報，而這些皆與地緣政治有關。他們看到駭客幾乎每天都竊取情報，主要手法是滲透目標組織機構的郵件伺服器來進行。

研究人員研判，這起攻擊行動是單一駭客組織進行，但他們並不清楚對方打算如何運用相關情報。而這起事故也突顯為中國政府從事間諜行動的駭客，收集情報的範圍越來越廣，他們試圖取得亞洲地區以外的相關資訊，並延伸至中東和非洲。

這些駭客究竟如何入侵受害組織？研究人員指出，對方多半重覆利用Exchange伺服器的弱點，而能成功取得入侵的初始管道，其中兩個經常被利用的漏洞，包含了ProxyLogon（CVE-2021-26855）、ProxyShell（CVE-2021-34473）。

他們也觀察到駭客使用的後門程式TunnelSpecter、SweetSpecter，並指出兩者皆採用部分木馬程式Gh0st RAT的程式碼打造而成，TunnelSpecter著重於DNS隧道能力，而SweetSpecter則是與另一支名為SugarGh0st RAT的惡意軟體存在相似之處。這些後門程式，讓對方能持續秘密存取受害組織的網路，並執行任何命令、竊取資料，以及在受害主機植入更多惡意工具。

研究人員指出，這起攻擊行動與中國資助駭客從事網路間諜攻擊有關，因為，這些駭客使用中國APT駭客共用的基礎設施，從事行動的時間也很規律。值得一提的是，對方在C2伺服器的架設上，運用了中國當地的虛擬專屬伺服器（VPS）服務。

此外，對方在使用的工具及文件當中，也存在大量的簡體中文註解，而且在本次攻擊行動裡，他們看到駭客廣泛使用中國駭客經常使用的工具，包括：修改版Gh0st RAT、PlugX、Htran、中國菜刀（China Chopper）等惡意程式。

鎖定中東及非洲政府機關而來，並利用Exchange漏洞發動攻擊的情況，上週也有研究人員提出警告。資安業者Positive Technologies指出，他們發現有人自2021年開始，利用ProxyShell入侵政府機關，並在Exchange伺服器嵌入鍵盤側錄工具（Keylogger），至少有30個組織受害。