“帝王蜻蜓”（Emperor Dragonfly），一个已知的中国国家级威胁组织，最近做了一件不寻常的事情——在目标网络中部署了勒索软件加密器。

赛门铁克（Symantec）威胁猎人团队在2024年末观察到此次攻击，并在报告中指出，他们多次发现该组织进行其常规操作——通过合法的东芝（Toshiba）可执行文件侧加载恶意DLL文件，以植入后门并建立持久性。与大多数国家级攻击者一样，其目标是网络间谍活动。

受害者主要是东欧国家的外交部及类似的国家机构。然而，到了2024年末，赛门铁克发现“帝王蜻蜓”使用相同的方法建立持久性，并针对一家亚洲软件和服务公司部署了勒索软件有效载荷。该组织使用了RA World勒索软件的变种，并要求支付200万美元赎金（如果在三天内支付则为100万美元）。

一种干扰手段

赛门铁克表示，对于中国国家级威胁组织来说，这种行为非常不寻常。朝鲜的攻击者经常参与勒索软件攻击，并用窃取的资金资助其国家机构和武器计划。而中国攻击者则更倾向于网络间谍活动。因此，赛门铁克怀疑，此次勒索软件攻击可能是一种干扰手段，旨在掩盖更大规模行动（很可能是间谍活动）的痕迹。

初始攻击媒介尚未披露，但黑客确实表示他们利用了已知的Palo Alto PAN-OS漏洞（CVE-2024-0012）入侵基础设施。研究人员解释说：“攻击者随后表示，他们从公司内网获取了管理凭证，然后从其Veeam服务器窃取了亚马逊S3云凭证，并用这些凭证从其S3存储桶中窃取数据，最后对计算机进行加密。”

最后一步是使用相同的DLL侧加载方法。（点击这里看原文）