今年2月，荷兰国家网络安全中心（NCSC）、军事情报暨安全局（MIVD）、情报暨安全总局（AIVD）联手，针对中国资助的黑客从事的网络间谍攻击行动公布调查结果，这些黑客锁定FortiGate防火墙、网页安全闸道FortiProxy的SSL VPN漏洞CVE-2022-42475（CVSS风险评为9.8分），并对防火墙设备植入名为Coathanger的RAT木马程序，MIVD持续进行调查而于本周正式揭露这起攻击的受害规模，其实远远超出先前的发现。

先前这些荷兰军情机构指出，根据他们的调查，受害用户（user）的数量不到50个，其中一个受害组织是荷兰国防部，所幸因受害网络环境与他们的主要网络环境有所区隔，使得入侵行动的冲击不致于扩大。当时他们研判，对方的目标是国防部非机密项目的研发部门，以及2个外部的合作研究机构，但MIVD进一步追查发现，有数十个西方国家的政府机关、国防工业相关企业，以及国际组织受害。

他们指出，黑客在Fortinet发布修补程序前的2个月就开始利用漏洞，有1.4万台设备受到感染，从2022年至2023年，对方至少掌握逾2万台FortiGate防火墙的存取权限。但实际的受害规模，这些军情机构认为很有可能还会更大，他们研判黑客会借此漏洞入侵数百个组织，从而进行窃取数据等攻击行动。

而对于黑客使用的恶意程序Coathanger，MIVD指出，即使他们已经公布相关调查结果，IT人员还是难以识别及清除，因此，对方很可能仍然能够存取大量的受害系统。

值得留意的是，MIVD特别提到，一旦受害设备被植入Coathanger，攻击者就能永久存取系统，即使IT人员部署了更新程序，对方仍保有相关存取权限。这样的情况，也导致防守端在因应相关的攻击时，将面临更加严峻的挑战。