【精選威脅情資】TAOTH 攻擊行動分析：利用搜狗注音供應鏈與 OAuth 授權的雙重間諜活動

‍

危害與影響

TAOTH 是一場由疑似華語攻擊者發動、長期且有組織的網路間諜活動。該組織駭入了 2019 年已停止服務的繁體中文輸入法「搜狗注音」，利用其廢棄的軟體更新伺服器及網域，結合針對型魚叉式網路釣魚手法，遞送多種惡意軟體家族。攻擊者於 2024 年 10 月重新註冊了 sogouzhuyin.com 網域名稱，自 2024 年 11 月起便開始出現惡意更新。遙測數據顯示，受害者至少有數百人，且活動持續至 2025 年。

‍

分析師觀點

這次攻擊無需利用任何 CVE 漏洞，攻擊者利用的僅是軟體服務的營運弱點，例如：廢棄的網域、未維護的更新機制、社交工程、DLL 側載攻擊，以及濫用 OAuth 同意授權。共享的基礎設施、工具和 TTPs（戰術、技術與程序）則顯示，此活動與先前的攻擊行動（包含一次供應鏈濫用案例）有關，這也指出幕後黑手可能是具備可重複利用手法的、有組織的長期攻擊者，且其目標始終鎖定東亞地區。

TAOTH 活動展示了被忽略的軟體和雲端身分驗證流程，如何能被轉化為針對繁體中文使用者和東亞高價值個人的高衝擊間諜管道。媒體、研究、科技及商業領域，已面臨著因信箱接管、長期偵察和選擇性入侵後的安全風險，這些威脅可能進一步擴大為更廣泛的組織性入侵。

‍

描述

TAOTH 僅透過搜狗注音這個管道，估計就有數百名受害者。惡意更新始於 2024 年 11 月，並持續到 2025 年；在被發現前，此活動可能已持續數月，大幅增加了重要資料外洩的風險。主要威脅包括：

• ‍濫用終止支援軟體的供應鏈：使用者安裝正版輸入法數小時後，攻擊者便控制了搜狗注音的更新網域，並推送惡意的「更新程式」。 攻擊者遞送了多個惡意軟體家族，包含TOSHIS (Xiangoop 變種載入器)、DESFY (間諜軟體)、GTELAM (將資料竊取至 Google Drive的間諜軟體) 及 C6DOOR (Golang 後門程式)，在某些案例中，後續還部署了 Cobalt Strike 和 Merlin 代理程式。 攻擊者將惡意下載網址插入繁體中文的維基百科頁面，將受害者導向其控制的基礎設施，藉此擴大在繁體中文使用者中的攻擊範圍。
• ‍魚叉式網路釣魚與帳號接管：假的雲端儲存頁面會自動派送壓縮檔，這些檔案透過一個受信任的執行檔進行 DLL 側載攻擊，植入 TOSHIS，最終投下 Merlin agent 惡意程式。 假的登入入口網站會將受害者引導至合法的 Google/Microsoft OAuth 同意畫面，誘騙他們授予攻擊者強大的信箱權限 (例如gmail.modify、mail.read、mail.send)，讓攻擊者無需竊取密碼，即可持續存取並濫用電子郵件。釣魚流程使用了一個混淆的中介頁面，並向一個位於中國的訊息服務發出信標 (beacon)，以協助鎖定和追蹤目標。
• ‍隱密的資料蒐集與目標篩選： DESFY 和 GTELAM 會蒐集檔案名稱 (包含桌面、Program Files 及 Office文件類型) 用以分析系統、篩選出高價值目標；GTELAM 則將竊取資料的行為隱藏在正常的 Google Drive 流量中。 駭客在成功入侵後，行動謹慎且側重於偵察；在至少一個案例中，攻擊者建立了 Visual Studio Code 遠端通道，以維持持續性的存取。

此次攻擊活動受影響對象分析：

• 地理位置：主要影響東亞地區，包含台灣、中國、香港、日本和南韓，並擴及海外的台灣社群，以及美國和挪威的少數受害者。其工具中的語系檢查主要鎖定 zh‑TW、zh‑CN 和 ja‑JP 的系統。
• ‍受害者輪廓與領域：高價值個人，例如異議人士、記者、研究人員，以及科技業和商界的領袖 (包含高階主管)。雖然攻擊以個人為中心，但其影響力已擴及媒體/新聞業、研究與學術界，以及科技業和更廣泛的商業領域。

對組織與產業的衝擊規模與範圍：

• 戰略間諜活動與監視：攻擊者鎖定異議人士和高價值目標，顯示其目的可能是為了地緣政治或政策目標而蒐集情資。 透過蒐集檔案名稱及選擇性地啟動完整後門，攻擊者採「低調且緩慢」的策略蒐集資料，藉此降低活動噪音並延長潛伏時間。
• ‍濫用電子郵件生態系與橫向移動釣魚：透過 OAuth 取得的信箱存取權，攻擊者能夠讀取、傳送及修改郵件。他們可以利用此權限對受信任的聯絡人進行釣魚、提升權限，並竊取敏感的通訊內容和附件。
• ‍破壞端點信任與軟體供應鏈：駭客劫持終止支援軟體的更新管道，不僅破壞了使用者對自動更新的信任，也展示了過期的供應商網域如何被大規模武器化。 這次活動重用了雲端平台 (Google Drive、Amazon S3) 以混入合法流量，規避邊界防禦措施。
• ‍營運、合規與聲譽風險： 可能導致智慧財產權、研究資料、供應商名單及機密通訊內容外洩。 對媒體和公民社會團體而言，風險包含消息來源曝光及人身安全問題。 對企業而言，風險則包含高階主管成為目標、針對合作夥伴生態系的釣魚攻擊，以及對下游廠商的入侵。

‍‍

技術分析

TAOTH 濫用已終止支援的搜狗注音輸入法更新程式作為供應鏈攻擊的媒介，同時進行魚叉式網路釣魚行動。其根本原因在於供應商網域已過期，更新程式的信任模型存在弱點：攻擊者在 2024 年 10 月重新註冊後，即使在 TLS 加密連線下，ZhuyinUp.exe 也因缺乏憑證綁定或程式碼簽章驗證，仍會完全信任伺服器提供的更新清單（包含 URL 和 MD5）。從 2024 年 11 月起，攻擊者控制的更新管道派送了一套多階段的工具組合：TOSHIS（Xiangoop 變種載入器）、DESFY 和 GTELAM（用以分析目標的間諜軟體）、以及 C6DOOR（Golang 後門程式），並伴隨第二階段的 C2 代理程式 COBEACON (Cobalt Strike) 和 Merlin。在釣魚攻擊中，偽造的雲端儲存頁面會側載 TOSHIS，假的登入頁面則誘騙使用者同意 OAuth 授權，以獲取信箱的持續存取權。整個行動強調隱密的偵察與目標篩選、大量濫用雲端服務，以及選擇性的入侵後活動（如：建立 VS Code 通道）。

偵察 (Reconnaissance)

• 主機分析間諜軟體：DESFY 蒐集來自桌面和 Program Files 的檔案名稱，透過 POST 請求將其傳送至 C2 伺服器，評估受害者價值。GTELAM 列舉 Office 文件檔名(.doc/.docx/.xls/.xlsx/.ppt/.pptx)，將列表以 AES 加密後上傳至 Google Drive，以篩選高價值目標。
• 透過後門程式進行的偵察 (C6DOOR)： InformationCli（IP／作業系統／使用者名稱／主機名稱）、GetAllProcessNames、ExecuteSendDirList/ExecuteSendDir、ExecuteCommandScan（連接埠掃描）、ExecScreenshot。
• 觀測到的主機偵察指令： tasklist /svc、quser、ipconfig /all、net time /domain、net user、hostname、curl cip.cc（查詢公用 IP），以及盤點 %LOCALAPPDATA%\Microsoft 和 Office 路徑下的檔案。
• OAuth 釣魚過程中的網路信標：混淆過的中介頁面會向 sctapi.ftqq.com 發送信標，用以記錄受害者的互動行為。

資源開發 (Resource Development)

• 網域接管與分發基礎設施：攻擊者重新註冊並劫持了 sogouzhuyin.com 和 srv-pc.sogouzhuyin.com（更新端點為 https://srv-pc.sogouzhuyin.com/v1/upgrade/version），2025 年 3 月將 dl.sogouzhuyin.com 此連結加入維基百科繁體中文頁面，誘騙使用者安裝此「官方」安裝程式。
• 釣魚基礎設施：偽造雲端儲存／下載網站（例如將惡意負載存放於 Amazon S3，網址為 practicalpublishing.s3.dualstack.us-east-1.amazonaws.com）。用於竊取 OAuth 同意授權的應用程式和重新導向網域：www.auth-web.com 和 auth.onedrive365-jp.com。
• C2／主機託管：整個活動中觀察到共享的 IP 位址，包含 45.32.117.177、64.176.50.181、154.90.62.210、38.60.203.134、192.124.176.51。

初始入侵 (Initial Access)

• 供應鏈／更新劫持：受害者安裝了未經修改的正版搜狗注音輸入法，數小時後，ZhuyinUp.exe 從攻擊者的網域取得更新清單，並執行下載回來的「更新程式」，進而安裝TOSHIS、DESFY、GTELAM 或 C6DOOR。此攻擊得以濫用的更新程式弱點包含：無程式碼簽章驗證、完整性檢查僅依賴伺服器提供的MD5、無 TLS 憑證綁定等。只要信任被接管的網域，攻擊就能成功。
• 魚叉式網路釣魚，路徑一（偽造雲端儲存）：自動下載 material.zip 檔案，此檔案包含一個損毀的 PDF 和一個名為 PDFreader.exe 的程式（此程式實際上是合法的 McOds.exe）。透過 DLL 側載攻擊（McOds.exe → McVsoCfg.dll）載入 TOSHIS 攻擊鏈，並植入一個 Merlin 代理程式。
• 魚叉式網路釣魚，路徑二（偽造登入頁面）：受害者會被一個假造的信標頁面重新導向至合法的 Google/Microsoft OAuth 同意授權畫面，授予攻擊者應用程式運用郵件的高權限（gmail.modify、mail.read、mail.send、offline_access）。

執行 (Execution)

• 透過更新程式觸發執行： ZhuyinUp.exe 從 https://srv-pc.sogouzhuyin.com/v1/upgrade/version 取得更新網址和 MD5，執行下載安裝程式，進而啟動 TOSHIS/DESFY/GTELAM/C6DOO 載入器／分段攻擊行為（TOSHIS, Xiangoop 變種）：修補合法可執行檔 (PE) 的進入點（已觀測到的目標包含：SunloginDesktopAgent.exe、SearchIndexer.exe、Procmon.exe），執行注入的 shellcode。 Shellcode 使用Adler-32 演算法進行 API 雜湊、最終的惡意負載使用金鑰qazxswedcvfrtgbn 解密，並遞送 COBEACON (Cobalt Strike) 和 Merlin agent 惡意程式。透過語系門控將執行限制在 zh-TW (0x404)、zh-CN (0x804) 和 ja-JP (0x411) 的系統上。
• DLL 側載攻擊鏈：執行 PDFreader.exe (McOds.exe) 會側載 McVsoCfg.dll，該 DLL 會獲取一個誘餌檔案和惡意的 shellcode，最終植入 Merlin 代理程式。
• 後門程式／代理程式的程式碼執行：C6DOOR 執行任意作業系統指令 (ExecuteCommandHandler)、SSH 指令 (ExecuteCommandSsh)，並注入經 AES 解密的 shellcode (Executeshellcode)。
• 觀測到的操作員指令： tasklist.exe /svc、quser.exe、ipconfig.exe/all、net.exe time /domain、net.exeuser、curl.exe cip.cc、code.exe tunnel…，以及透過 tar/del 進行檔案準備。

持久性 (Persistence)

• 基於服務的常駐：安裝一個常駐的 Visual Studio Code Tunnel 服務：code.exe tunnel service install。
• Token／API 常駐：具備離線存取權限的 OAuth 授權，讓攻擊者得以持續透過 API 存取 Gmail/Microsoft 信箱。
• 劫持二進位檔以重複執行：當那些被修補進入點的合法執行檔在開機或作為服務啟動時，這種技術也可用來延長攻擊持久性。

權限提升 (Privilege Escalation)

• 安裝服務： 若以足夠權限執行 code.exe tunnel serviceinstall，可取得服務層級的執行權限。
• 執行流程劫持／注入： DLL 側載攻擊 (McOds.exe → McVsoCfg.dll) 和進入點修補技術，可以獲得受害者處理程序的權限。C6DOOR 的 Executeshellcode 功能可將程式碼注入目標處理程序，可以透過攻克更高權限的使用者來提升權限。

防禦規避 (Defense Evasion)

• 濫用受信任的更新程式：利用合法的搜狗注音更新程式和被劫持的供應商網域，將惡意更新混入正常的軟體行為中。
• 偽裝與側載：McOds.exe 偽裝成 PDF 閱讀器以載入 McVsoCfg.dll；修補知名二進位檔（如 SearchIndexer.exe）的進入點以隱藏執行行為。
• 濫用雲端服務及加密： GTELAM 使用 Google Drive 進行秘密資料竊取；C6DOOR 使用 HTTP/WebSocket 通訊；釣魚頁面經過混淆 (http://obfuscator.io )；資料交換使用 AES 加密；TOSHIS 使用 API 雜湊技術。
• 混入合法工具： 利用 VS Code 通道以及重新導向至真實的 Google/Microsoft OAuth 頁面，偽裝成正常行為。

探索 (Discovery)

• 間諜軟體列舉： DESFY 蒐集來自桌面和 Program Files 的檔案名稱；GTELAM 列舉 Office 文件檔名。
• C6DOOR 探索功能： 系統資訊、處理程序列表、目錄列表、目前工作目錄 (PWD) 和網路連接埠掃描。
• 操作員指令： tasklist、quser、ipconfig /all、nettime/user、hostname、echo%localappdata%、以及對 Microsoft 和 Office路徑執行 dir 指令。
• 釣魚信標： 中介頁面向 sctapi.ftqq.com 發送信標，記錄受害者的互動行為。

橫向移動 (Lateral Movement)

• 遠端存取通道：VS Code Tunnel 建立了一個中介的、常駐的遠端連線，可用於橫向移動。
• 後門程式的遠端存取能力：C6DOOR 支援 SSH 指令執行和 SFTP 檔案傳輸。
• C2 代理程式：攻擊者使用 COBEACON 和 Merlin 控制並進行橫向移動。
• 利用 OAuth 進行橫向釣魚：透過取得的信箱存取權（讀取／傳送），攻擊者可對受害者的聯絡人發動橫向釣魚攻擊。

蒐集 (Collection)

• 蒐集檔案與中繼資料：DESFY 和 GTELAM 蒐集檔案名稱，GTELAM 在上傳前會使用 AES 加密列表。
• 透過後門程式進行蒐集：C6DOOR 的 ExecScreenshot（螢幕截圖）、ExecuteCat（讀取檔案內容）、ExecuteSendDir/List（蒐集目錄中繼資料）。
• 信箱資料蒐集：透過 OAuth 授予的權限，可讀取和修改 Gmail/Exchange 中的電子郵件。

命令與控制 (Command and Control)

• 多通道 C2：TOSHIS 從其 C2 伺服器獲取額外的惡意負載；C6DOOR 使用 HTTP/WebSocket 通訊；COBEACON/Merlin 向共享的基礎設施（例如 45.32.117.177）發送信標。
• 使用雲端硬碟或代理進行連線：GTELAM 利用 Google Drive 作為資料或 C2 竊取通道；釣魚流程則向 sctapi.ftqq.com 發送信標。
• 遠端通道：VS Code Tunnel (code.exe) 透過 HTTPS 提供互動式的控制。

資料外洩 (Exfiltration)

• HTTP 雲端通道：DESFY 透過 POST 請求將檔案名稱列表傳送至 C2；GTELAM 將文件檔名列表以 AES 加密後上傳至 Google Drive。
• 透過後門程式傳輸檔案：C6DOOR 支援透過 Downloadfileserver 和 SFTP (ExecuteCommandSftp) 上傳檔案，並傳送目錄資訊 (ExecuteSendDir/ExecuteSendDirList)。
• 基於郵件的資料竊取：利用 OAuth 取得信箱存取權 (gmail.modify, mail.read,mail.send)，攻擊者可獲取郵件內容，並透過電子郵件秘密地傳輸資料。

‍‍

緩解措施

以下建議措施主要針對此活動的兩種入侵途徑：利用已終止的搜狗注音輸入法軟體更新劫持，以及誘騙使用者同意 OAuth 授權的魚叉式網路釣魚。

1. 移除終止支援的軟體

• 盤點並移除所有 Windows 端點上的搜狗注音輸入法，使用仍在支援中的替代方案。
• 封鎖殘留安裝程式的更新執行檔及相關流量：
  
  • 處理程序：ZhuyinUp.exe
  • 網域／URL：sogouzhuyin.com、srv-pc.sogouzhuyin.com、https://srv-pc.sogouzhuyin.com/v1/upgrade/version、dl.sogouzhuyin.com

2. 封鎖並追查已知的基礎設施

• 在網頁代理伺服器、DNS 過濾器和出口防火牆上進行封鎖：
  
  • 網域：www.auth-web.com、auth.onedrive365-jp.com、sctapi.ftqq.com、practicalpublishing.s3.dualstack.us-east-1.amazonaws.com
  • IP 位址：45.32.117.177、64.176.50.181、154.90.62.210、38.60.203.134、192.124.176.51
• 注意：封鎖 Amazon S3 端點可能對業務造成影響，若有必要，應嚴格限制例外範圍。

3. 撤銷惡意的 OAuth 存取權限

• Google Workspace
  
  • 前往「安全性 > API 控制項 > 應用程式存取權控管」：封鎖 OAuth 用戶端 ID715259374054-mst41mfku1h8l7ga5vbtrv8cm48h9nde.apps.googleusercontent.com 以及重新導向網址 https://www.auth-web.com/gm-oauth2-callback。
  • 撤銷受影響使用者的現有Token，並要求他們重新進行身分驗證。調查是否有 gmail.modify 權限的授權、信箱規則變更、郵件轉寄及異常的寄件活動。
• Microsoft Entra ID
  
  • 前往「企業應用程式」：找到應用程式 ID e707daa3-579f-4bae-bb7d-89a73d52ffa1 並停用或移除其服務主體。撤銷使用者的同意授權和重新整理 Token，強制使用者登出。
  • 在代理伺服器上封鎖重新導向網域 https://auth.onedrive365-jp.com/getauthtoken，並將其加入網域／URL封鎖清單。

4. 主機排查與清理

• 隔離曾連線至被封鎖基礎設施或執行過 ZhuyinUp.exe 的主機。
• 追查並清除惡意軟體家族及其殘留檔案：
  
  • 惡意軟體家族：TOSHIS、DESFY、GTELAM、C6DOOR
    
  • 被修補過的二進位檔：SunloginDesktopAgent.exe、SearchIndexer.exe、Procmon.exe
    
  • 假的雲端誘餌攻擊鏈：material.zip、PDFreader.exe (McOds.exe)、McVsoCfg.dll
• 若存在 VS Code 通道常駐，請將其移除：
  
  • 尋找 code.exe 通道服務的安裝跡象、z.txt 殘留檔案，以及近期從 code.visualstudio.com 的下載活動。

5. 汰除終止支援的應用程式

• 定期稽核終止支援 (EoS) 軟體應列為常態性的管控措施，定期移除或更換不再接收安全性更新的軟體。
• 若有暫時的例外需求，應封鎖其對外網路連線，並停用自動更新功能。

6. 採用強認證與條件式存取

• 所有使用者皆應採用可抵抗釣魚的多因素驗證 (MFA)。
• 使用條件式存取策略，要求裝置必須合規，並封鎖未經核准的用戶端應用程式。

7. 端點偵測與應變 (EDR) 分析規則

• 以下行為發生時，應觸發警報：
  
  • 已簽署的二進位檔其進入點遭修補。
  • 從壓縮檔解壓縮的檔案、或當偽造的閱讀器／安裝程式觸發 DLL 側載攻擊模式時。
  • 在非開發人員的主機上使用 VS Code 命令列介面 (CLI)，特別是 code.exe tunnel user login 和 code.exe tunnel serviceinstall 指令。 已知的偵察指令序列包含：tasklist /svc、quser、ipconfig /all、net user、net time /domain、curl cip.cc。

‍

參考資料

1. TAOTH Campaign Exploits End-of-Support Software toTarget Traditional Chinese Users and Dissidents
2. New TAOTH Campaign Exploits End-of-Support Softwareto Distribute Malware and Collect Sensitive Data
3. TOATH Campaign Exploits End-of-Support Software toTarget Traditional Chinese Users and Dissidents
4. Thumbing through the DNS Trail of theTAOTH Campaign
5. Abandoned Sogou Zhuyin Update ServerHijacked, Weaponized in Taiwan Espionage Campaign

‍

入侵指標 (Indicator of Compromise, IoCs)

Domain

URL