【精選威脅情資】用 AI 攻擊亞洲：UTA0388 新型態威脅分析

‍

危害與影響

自 2025 年 6 月起，代號為 UTA0388 的惡意組織發動了一系列魚叉式網路釣魚攻擊，目標橫跨北美、歐洲，主要鎖定亞洲地區。此中國駭客組織利用先進的社交工程手法，包括捏造人物身分與機構，誘騙目標執行惡意程式。

一旦成功入侵目標系統，UTA0388 就能遠端存取受害者內部網路，從事間諜活動、竊取資料或導致營運中斷。他們鎖定亞洲地緣政治，特別是與台灣相關的議題，突顯其戰略意圖與國家利益一致。這些攻擊橫跨多國、使用多種語言，對全球政府、研究機構和民間公司造成不可忽略的衝擊。

‍

分析師觀點

UTA0388 結合了精密的關係建立型釣魚、LLM 驅動的自動化攻擊，以及先進的惡意軟體部署，是一個持續演進中的攻擊團隊。雖然目前攻擊對象鎖定亞洲地區，全球組織都必須對此類針對性的社交工程攻擊保持警惕，因為一旦成功滲透，不僅網路會遭未經授權的攻擊者控制、資料外洩，甚至可能引發地緣政治衝突。

‍

描述

UTA0388 攻擊手法隨時間演進，從傳統的魚叉式釣魚（寄送內含惡意連結的郵件）轉變成關係建立型釣魚 (rapport-building phishing)。這種釣魚方式會先透過無害的電子郵件來建立信任，等到受害者卸下心防後，才傳送惡意程式或軟體。藉此，攻擊者能盡量避免基礎設施提早曝光，並提高成功入侵的機率。除此之外，UTA0388 行動有個顯著特點：利用大型語言模型 (LLM) 來自動產製釣魚郵件和惡意軟體元件。釣魚訊息中充斥著語言邏輯不一、內容荒謬、假造細節等特徵，顯示這些是未經人工監督、 AI 生成的文本。龐大的攻擊量和快速的節奏，也進一步突顯這些攻擊行動是自動化運作。

UTA0388 根據受害者使用習慣，寄送高度客製化、多語言（如：英語、中文、日語、法語和德語）的電子郵件，冒充不存在機構的資深研究員或分析師（圖1）。這些郵件帶有雲端存檔連結，一旦開啟，便會植入名為 GOVERSHELL 的後門惡意軟體。GOVERSHELL 是這次攻擊採用的惡意軟體家族，演變快速、目前至少觀察到五種不同變體，每種變體都有不同的命令與控制 (C2) 通訊方式，以及更強的持續性和遠端命令執行能力。

‍

‍

技術分析

為了有系統且透徹地了解事件如何從初期鎖定目標、部署惡意軟體到建立通訊的完整過程，本章將依循 MITRE ATT&CK 框架的戰術分類。技術細節包含：根本原因、UTA0388攻擊手法、GOVERSHELL 惡意軟體家族的特徵，以及UTA0388 如何利用 LLM 來輔助攻擊。

偵察(Reconnaissance)

UTA0388 首先大範圍蒐集情報，找出北美、亞洲和歐洲的潛在目標後，深入分析與擬定策略。攻擊者會多方蒐集公開的電子郵件地址，包括組織網站上的信箱、群組聯絡人、過時的員工信箱，甚至是範例格式、非實際使用中的電子郵件。無差別的大規模蒐集方式顯示，攻擊者採用了部分自動化、但對上下文感知能力有限的工具，與使用 LLM 或其他自動抓取工具的特性相符。攻擊者的偵察行動不僅止於單純收集資料，也有利於後續設計關係建立型釣魚的內容。

資源開發(Resource Development)

儘管關於資源開發的明確細節不多，但這次攻擊行動顯示 UTA0388 建立並使用了多種資源來支援行動。由UTA0388 註冊並控制的許多網域皆具有以下特徵：

• 名稱與台灣有關，例如moctw[.]info 和 twmoc[.]info
• 冒充大型組織或看似合法的服務，例如 cdn-apple[.]info、azure-app[.]store、doccloude[.]info、sliddeshare[.]online 和 windows-app[.]store

攻擊者還將釣魚內容和惡意軟體託管在各種雲端平台（Netlify、OneDrive、Sync），利用 ProtonMail、Outlook 和 Gmail 等廣受信賴的網路郵件供應商來寄送魚叉式釣魚郵件。他們精心管理這些基礎設施，將網域一律註冊在 Cloudflare 以規避追蹤和下架。

初始入侵(Initial Access)

UTA0388 主要的入侵途徑是魚叉式釣魚，攻擊目標會收到高度客製化的電子郵件，內容冒充來自虛構機構的資深研究員或分析師。郵件中附有連結，會將收件人導向雲端託管的檔案（ZIP 或 RAR 檔），這些檔案內含一個看似合法的執行檔，並隱藏一個會利用搜尋順序劫持 (search order hijacking) 來執行惡意程式碼的 DLL（圖2）。

惡意軟體或勒索程式傳遞方式通常很直接：他們利用社交工程誘騙使用者點擊連結、下載存檔並執行那個看似無害的執行檔，使用者常在不知不覺中觸發了惡意的 DLL。在關係建立型釣魚的變體中，攻擊者則會先與目標多次往返電子郵件，然後才寄送惡意連結，藉此提高感染成功率。

‍

‍

執行(Execution)

執行的關鍵在於一種稱為「搜尋順序劫持」的手法：傳遞的檔案中包含一個合法的執行檔，其名稱通常會模仿重要的組織文件或與目標相關的主題（例如亞洲地緣政治議題）。當使用者執行這個檔案時，Windows 的 DLL 搜尋順序會優先載入位於隱藏 lib 目錄的惡意 DLL，而非該執行檔原應使用的合法 DLL。此劫持手法可在目標系統上執行 GOVERSHELL 後門惡意軟體，讓攻擊者得以執行遠端命令。在執行搜尋順序劫持時，惡意軟體變體常利用合法的開源軟體執行檔（如 Tablacus Explorer），以提高隱匿性。

持續性(Persistence)

GOVERSHELL 後門植入程式會建立排程任務，在系統啟動時或定期觸發，攻擊者藉此延長在受害者裝置上的駐留。此排程任務包含一個特定的參數，確保惡意軟體的命令與控制 (C2) 通訊邏輯在初始設定完成後才會啟動。這種設計也能規避沙盒環境的動態偵測，因為惡意軟體在首次執行時不會啟動 C2 通訊，而是會直接退出，隱藏原應被觀察到的惡意行為。

防禦規避(Defense Evasion)

UTA0388 採用了多種防禦規避手法：

• 搜尋順序劫持：將惡意軟體隱藏在合法執行檔的執行流程中，讓處理程序監控工具更難偵測。
• 使用合法雲端服務：在Netlify、OneDrive、Sync 等信譽良好的雲端平台上託管惡意軟體和釣魚內容，有助於將惡意流量混入受信任的網路活動中，藉此繞過特定的網路偵測機制。
• 利用排程任務駐留並延遲C2： 透過內建參數來延遲 C2 通訊，降低了遭沙盒或端點偵測系統提早發現的可能。
• 使用多個電子郵件供應商： 從各大網路郵件服務寄送魚叉式釣魚郵件，分散被偵測到的風險，也讓電子郵件過濾更具挑戰性。

命令與控制(Command and Control)

GOVERSHELL 的命令與控制基礎設施歷經多次變化，每種變體都引入了不同的通訊方式，目的是規避偵測並維持穩定的控制：

• 變體 1 (早期/HealthKick)： 透過 465 埠，使用帶有雙重標頭的偽 TLS 和 XOR 編碼。
• 變體 2 (TE32)：透過 443 埠，採用以 AES 加密的偽 TLS。
• 變體 3 (TE64)：使用 HTTPS POST 請求，以 JSON 格式定期回報。
• 變體 4(WebSocket)： 利用以 AES 加密的WebSocket 連線，並導入命令任務佇列模型。
• 變體 5(Beacon)： 透過使用 Base64 編碼加密的HTTPS GET 請求傳送資料，並隨機調整連線時間間隔來躲避偵測。

起初 C2 通訊是直接連線 IP，但從 2025 年中開始，轉而使用註冊並隱藏在 Cloudflare 的網域名稱。另外，WebSocket 變體的 C2 伺服器會回應「Secure C2 Server is running」之類的訊息，顯示他們正積極監控與控制。

衝擊(Impact)

主要衝擊是攻擊者透過 GOVERSHELL 後門程式，在受害系統上建立了持續性的遠端存取。UTA0388 可以任意執行命令，進一步出於其地緣政治目標，從事間諜活動、竊取資料或入侵網路。他們持續開發並部署多種惡意軟體變體，顯示在目標環境中常駐與擴大據點的意圖。

其它技術觀察

• 使用 LLM 協助攻擊行為： 許多特徵都證實了 UTA0388 利用 LLM（特別是OpenAI 的 ChatGPT）來產製釣魚郵件內容，與協助開發惡意軟體。
  
  • 多語言釣魚信件內容的前後矛盾、虛構的人物身分與組織、荒謬的內容，或附加了不相關的檔案，例如：疊加文字的色情圖片、佛教誦經的音檔，以及毫無意義的文字檔等，這些可能是自動化內容生成過程的殘留物。
  • GOVERSHELL 網路堆疊 (network stack) 和程式碼庫的快速發展與多變性，也或許來自 AI 的輔助生成。
  • GOVERSHELL 使用多種語言開發（初期為 C++、後來改用 Golang），開發過程也有別於人類的開發習慣，並非迭代改進、而是頻繁重寫，與 AI 自動生成的特性相符。
• 地緣政治鎖定與歸因： 開發者路徑與日誌中出現簡體中文、攻擊目標鎖定台灣及亞洲地緣政治議題，且 UTA0388 基礎設施與已知的親中駭客組織有關聯，都讓我們更確信這次攻擊的來源。

總結

UTA0388 攻擊手法不斷演進，他們利用 LLM 產製的內容發動魚叉式釣魚、部署精密的 GOVERSHELL 後門惡意軟體，並使用先進的持續駐留和 C2 技術，維持對目標網路的隱密存取。事件的根本原因在於社交工程：攻擊者寄送魚叉式釣魚郵件，內含惡意連結，一旦執行，便利用搜尋順序劫持來部署可持續駐留的後門。該惡意軟體家族的技術複雜度，加上 AI 驅動的釣魚內容，代表網路攻擊已經進入「人機協作」的新時代。

‍

緩解措施

鑑於 UTA0388 攻擊行動的複雜性，企業組織必須實施多層次的防禦方法，以緩解這類針對性攻擊的相關風險。要保護敏感資訊並維護關鍵系統的完整性，就必須對安全防護保持積極且警惕的態度。

1. 強化電子郵件安全
   部署先進的電子郵件安全解決方案，偵測並攔截可疑連結和附件：
   
   • 偵測混淆的 URL：部署能識別並攔截經過混淆或動態生成之 URL 的系統。
   • 附件掃描：自動掃描附件，檢查已知的惡意軟體和可疑檔案。
2. 網路監控與偵測
   部署強大的網路監控工具，偵測並回應異常活動：
   
   • 端點偵測與回應 (EDR)：部署能監控並回應端點可疑活動的工具。
   • 行為分析：採用能偵測使用者正常行為偏差的技術，這些偏差可能代表系統已遭入侵。
3. 使用者意識與訓練
   教育員工了解最新的釣魚手法，讓他們明白保持高度警覺的重要性：
   
   • 定期訓練課程：定期舉辦訓練課程，教導如何識別釣魚企圖，以及回報可疑活動的重要性。
   • 模擬釣魚演練：定期舉行模擬釣魚演練，測試員工的警覺性與應變能力。
   • 安全政策：制定並嚴格執行安全政策，強制要求使用安全的通訊管道，避免點擊可疑連結。
4. 事件應變計畫
   制定並維護事件應變計畫，以便在發生安全漏洞時能迅速且有效地應對：
   
   • 事件應變團隊： 建立一個專責的事件應變團隊，負責協調對安全事件的應處。
   • 應變計畫： 針對不同類型的安全漏洞（包括資料外洩和勒索軟體攻擊）制定應變計畫。
5. 多要素驗證 (MFA)
   在電子郵件、應用程式、裝置等導入多要素驗證，為使用者帳戶增加額外的安全防護。

‍

參考資料

• APT Meets GPT: Targeted Operations with Untamed LLMs
• UTA0388: AI-PoweredTargeted OperationsLeveragingGOVERSHELL
• APT Groups Abuse ChatGPT to Build Advanced Malware and Phishing Kits
• From HealthKick to GOVERSHELL: The Evolution ofUTA0388's Espionage Malware
• APT Hackers Exploit ChatGPT to Create SophisticatedMalware and Phishing Emails

‍

入侵指標 (Indicator of Compromise, IoCs)

URL

IP/Domain

Files