MarsSnake 後門：全球間諜活動的隱密網路工具

又一個數位威脅浮現

在全球網路間諜活動中，一種名為MarsSnake的新發現後門程式引起了安全分析師的注意。 MarsSnake 與一個名為UnsolicitedBooker的神秘威脅組織有關聯，據信該組織與中國有聯繫。這個後門是在針對位於沙烏地阿拉伯的國際組織的一系列網路攻擊中浮現出來的。

據報導，儘管 UnsolicitedBooker 相對來說不太引人注目，但它曾使用高度針對性的網路釣魚活動來獲取初始存取權限。這些電子郵件被精心設計，看起來似乎是合法的——通常以航班預訂為誘餌——並已發送到亞洲、非洲和中東各地的組織。這些攻擊的持續性（2023 年、2024 年以及 2025 年初均有記錄）表明，人們對特定地緣政治目標有著持續的興趣。

攻擊剖析

MarsSnake 活動中使用的滲透方法體現了精心策劃的行動。攻擊者發送了偽裝成沙烏地阿拉伯航空公司通訊的電子郵件，並附帶一個 Microsoft Word 附件，其中包含看似航班行程的資訊。雖然看似無害，但該文件被一個巨集武器化，一旦啟用，就會在受害者的電腦上部署一個名為smssdrvhost.exe的可執行檔。

該檔案充當載入器，最終安裝 MarsSnake 後門。一旦激活，MarsSnake 就會與外部命令和控制 (C&C) 伺服器建立聯繫，使攻擊者能夠與受感染的系統互動。 MarsSnake 提供的存取等級包括執行命令、操作檔案以及可能安裝更多惡意軟體——所有這些都透過攻擊者的基礎設施進行遠端控制。

MarsSnake 是什麼？它為何重要？

MarsSnake 不僅是一個後門，而且是一個功能強大且靈活的網路間諜工具。由於它可以執行廣泛的操作，因此它對於任何高級持續性威脅 (APT) 組織來說都是強大的資產。 MarsSnake 目前是 UnsolicitedBooker 的獨家產品，顯示其開發和部署具有一定程度的專業化。

這種排他性也引發了人們對其使用背後的策略目標的質疑。網路安全專家認為，MarsSnake 並非大規模攻擊工具，而是專門針對特定高價值機構的精準攻擊工具。針對沙烏地阿拉伯單一組織的多次攻擊表明，其目標是長期收集情報，而不是快速獲取經濟利益或破壞秩序。

與其他威脅行為者的聯繫

儘管 UnsolicitedBooker 在 APT 生態系統中是一個相對較新的名字，但其策略和工具集與其他與中國有關的團體類似。 Chinoxy、 DeedRAT 、Poison Ivy 和 BeRAT 等熟悉的後門的使用與在歸因於Space Pirates和APT15等威脅集群的操作中觀察到的行為一致。

此外，在 APT15 保護傘下營運的另一個實體DigitalRecyclers等組織也開展了類似的活動。 DigitalRecyclers 使用自己的惡意軟體套件（包括名為HydroRShell 的後門）攻擊了歐洲政府機構。與 MarsSnake 一樣，HydroRShell 專為遠端命令執行而設計，並使用複雜的方法與其控制伺服器進行通信，包括 Google 的協定緩衝區 (Protobuf)。

更大的圖景：其意義是什麼？

MarsSnake 及其相關活動的發現凸顯了不斷演變的網路威脅環境，後門變得越來越先進並且針對其目標進行客製化。對於國際組織，尤其是政府、外交或關鍵基礎設施組織而言，MarsSnake 等工具的存在凸顯了強大的網路安全實踐的重要性。

這些攻擊也反映了數位領域更廣泛的地緣政治緊張局勢。隨著各國爭奪戰略優勢，網路間諜活動已成為受歡迎的策略。像 MarsSnake 這樣的工具是更廣泛趨勢的一部分，即與國家結盟的團體進行長期監視行動以收集敏感情報。

前進

雖然 MarsSnake 可能不會影響普通用戶，但它的存在表明網路安全方面國際合作的需求日益增長。組織必須警惕魚叉式網路釣魚活動，並投資能夠識別微妙、長期入侵的威脅偵測工具。

對於研究人員和防禦者來說，追蹤 MarsSnake 等惡意軟體家族可以深入了解威脅行為者的能力和意圖。持續分析和共享威脅情報對於領先這些複雜的活動至關重要。

MarsSnake 可能只是更大網路謎題中的一塊碎片，但它的出現清楚地提醒我們，爭奪數位主導權的鬥爭依然十分激烈，而且還在不斷演變。