随着技术的迅猛发展和网络环境的不断演变，网络安全领域在 2023 年经历了前所未有的变革。APT 攻击手段的升级和防御策略的改进，使得网络安全形势愈发复杂。

作为某些国家支持的 APT 攻击，其高度复杂性和隐蔽性引起了全球关注，而且这些攻击往往涉及长期、隐秘的渗透活动，旨在窃取敏感信息或破坏关键基础设施。

在 2023 年，经过对 APT 组织的持续跟踪和深入分析，知道创宇 404 高级威胁情报团队全面还原了 25 个活跃于东欧、南亚、东北亚等地区的 APT 组织的全年攻击活动，并汇编成《山雨欲来-知道创宇 2023 年度 APT 威胁分析总结报告》，通过分享我们的研究成果和实践经验，希望为网络安全专业人士和相关机构提供有价值的参考信息。

持续追踪 APT 组织攻击行为

中国在 2023 年依然是高级持续性威胁的主要目标之一，这凸显了其在国际政治经济舞台上的重要地位。APT 攻击策略和目标的多样性日益显现，对政治、经济、军事和科技情报的窃取与破坏成为关注的焦点。

在这一背景下，知道创宇 404 高级威胁情报团队通过独特的测绘数据分析和优化技术，成功追踪并应对了超过 400 个资产遭 APT 组织攻击和控制的事件；并且，利用空间测绘和数据分析模型，精准定位 APT 攻击行动，并及时发现和应对潜在的网络威胁。

根据捕获到的组织攻击数量、组织攻击能力和基础设施变化趋势，404 高级威胁情报团队为每个 APT 组织进行“风险值”赋值，预估组织未来攻击活跃程度，分析结果见下图：

基于以上 APT 组织攻击活动的线索及事件，404 高级威胁情报团队对 APT 攻击活动事件进行分析整合，发现 APT 攻击重点目标为国家行政单位、研究机构、高校等，具体情况见下图：

深入分析攻击行为，还原攻击链

2023 年国际地缘政治局势的紧张与动荡对网络安全领域产生了深远影响。俄乌冲突持续不断，多个 APT 组织针对乌克兰发动网络攻击。同时，以色列和巴勒斯坦冲突升级导致中东地区网络活动激增。

在这一年中，404 高级威胁情报团队密切监控和追踪了周边超过 50 个活跃的高级持续性威胁（APT）组织，本次发布的报告精心挑选出其中 25 个组织进行详细描述，其中 2 个组织的部分研究内容如下：

01海莲花（APT32）

APT32，又名海莲花组织，该组织是目前进行攻击窃密活动高度活跃的 APT 组织之一，该组织主要针对东亚及东南亚国家（地区）的政府、海事机构、海洋研究机构、科研机构、石油化业企业、高校、航运相关机构及企业等国家关键行业部门的核心关键单位进行攻击，具有强烈的政治背景。

2023 年，APT32 组织依旧保持高度活跃，攻击武器开发和漏洞利用的能力持续提升。该组织攻击武器的研发更新非常积极，404 高级威胁情报团队发现过去一年其至少新增了三款武器，三款武器由不同语言开发，武器分工非常明确各司其职，团队内部将三款武器分别命名为 ECBotnet、ScanAgent、RuRAT。这三款武器分别用于僵尸网络控制（控制和利用被感染的设备）、新设备发现（扫描设备和系统漏洞及弱口令）、后门程序（用于初步控制重点目标）。

02APT-K-47 APT 组织

APT-K-47，也被称为 Mysterious Elephant。根据溯源信息 APT-K-47 源自南亚。其攻击活动最早可追溯至 2022 年。在 APT-K-47 的技术和战术中，可以看到多个南亚其他 APT 组织的影子，包括但不限于 Sidewinder、Confucius 和 BITTER 等。

APT-K-47 组织其技战术与其他南亚组织基本相同，主要还是围绕着社工展开，根据热点信息投递诱饵钓鱼，一阶载荷往往使用 CHM、漏洞文档（例如 CVE-2017-11882）及 WinRAR 漏洞。根据已观测到的情况，该组织攻击目标包含俄罗斯，巴基斯坦，孟加拉国，美国等。

2023 年我们发现了该组织多起攻击活动，先前已经披露该组织某次攻击的攻击链，整个攻击链中最核心的部分有一款后门程序承担，根据该后门配置的域名常使用 Outlook 以及使用 RPC 通讯等特征，随即根据该特征将其命名为ORPCBackdoor。

其攻击活动中使用的攻击链和 ORPCBackdoor 程序设计流程图如下：