中国国家黑客利用代理网络进行网络间谍活动

关键要点

• 中国国家支持的黑客使用大规模操作中继盒网络（代理网络）来帮助网络间谍活动。
• ORB3/SPACEHOP 被用来攻击Citrix NetScaler ADC 和 Gateway 的关键安全漏洞，相关的安全漏洞编号为 CVE-2022-27518，涉及APT5组（又名UNC2630、Mulberry Typhoon和Keyhole Panda）。
• ORB网络的使用，加大了对企业防御的挑战，尤其是在Volt Typhoon对美国关键基础设施的攻击中。

根据的报道，越来越多的中国国家支持的威胁行为者正在利用大规模的操作中继盒网络（即代理网络或僵尸网络）来推进其网络间谍活动。

在中国黑客操作中使用的ORB网络中，特别提到了ORB3/SPACEHOP，它被用来启用攻击，利用关键的Citrix NetScalerADC和Gateway漏洞，该漏洞编号为CVE-2022-27518， 此漏洞与APT5组（也称作）、Mulberry Typhoon和KeyholePanda有关，数据来源于Mandiant的报告。

研究者指出，ORB3/SPACEHOP包含了克隆的基于Linux的镜像，作为中继节点，目的是将流量代理到目标通讯节点。同时，ORB2/FLORAHOX网络则使用被黑的路由器和物联网设备，以及对手控制的操作服务器和虚拟专用服务器，主要是为了掩盖中国的黑客活动。

这种ORB网络的使用，正如在Volt Typhoon针对美国关键基础设施的入侵中观察到的那样，进一步增加了企业防御的难度，研究者补充道。

相关信息

“ORB网络的使用加大了企业网络安全的挑战，特别是在面对高度复杂的攻击时。” - 研究者警告道。