资安业者Palo Alto Networks针对中国APT黑客TGR-STA-0043发起的攻击行动Operation Diplomatic Specter提出警告，黑客从2022年底，针对中东、非洲、亚洲的政府组织下手，至少有7个政府单位确认长期遭到网络间谍攻击，对方利用相当罕见的电子邮件渗透手法，对受害服务器进行大规模的情报收集工作。

究竟这些黑客的目的是什么？研究人员认为，对方试图取得外交与经济业务单位、大使馆、军事机构、政治会议，以及特定国家的部会、高层官员情报，而这些皆与地缘政治有关。他们看到黑客几乎每天都窃取情报，主要手法是渗透目标组织机构的邮件服务器来进行。

研究人员研判，这起攻击行动是单一黑客组织进行，但他们并不清楚对方打算如何运用相关情报。而这起事故也突显为中国政府从事间谍行动的黑客，收集情报的范围越来越广，他们试图取得亚洲地区以外的相关信息，并延伸至中东和非洲。

这些黑客究竟如何入侵受害组织？研究人员指出，对方多半重复利用Exchange服务器的弱点，而能成功取得入侵的初始管道，其中两个经常被利用的漏洞，包含了ProxyLogon（CVE-2021-26855）、ProxyShell（CVE-2021-34473）。

他们也观察到黑客使用的后门程序TunnelSpecter、SweetSpecter，并指出两者皆采用部分木马程序Gh0st RAT的代码打造而成，TunnelSpecter着重于DNS隧道能力，而SweetSpecter则是与另一支名为SugarGh0st RAT的恶意软件存在相似之处。这些后门程序，让对方能持续秘密存取受害组织的网络，并运行任何命令、窃取数据，以及在受害主机植入更多恶意工具。

研究人员指出，这起攻击行动与中国资助黑客从事网络间谍攻击有关，因为，这些黑客使用中国APT黑客共用的基础设施，从事行动的时间也很规律。值得一提的是，对方在C2服务器的架设上，运用了中国当地的虚拟专属服务器（VPS）服务。

此外，对方在使用的工具及文档当中，也存在大量的简体中文注解，而且在本次攻击行动里，他们看到黑客广泛使用中国黑客经常使用的工具，包括：修改版Gh0st RAT、PlugX、Htran、中国菜刀（China Chopper）等恶意程序。

锁定中东及非洲政府机关而来，并利用Exchange漏洞发动攻击的情况，上周也有研究人员提出警告。资安业者Positive Technologies指出，他们发现有人自2021年开始，利用ProxyShell入侵政府机关，并在Exchange服务器嵌入键盘侧录工具（Keylogger），至少有30个组织受害。