过往黑客主要针对Windows电脑下手，但最近两到三年，他们将攻击范围扩及其他操作系统的情况越来越普遍，有黑客组织使用跨平台开发工具，打造出针对macOS、安卓操作系统的恶意程序。

例如，资安业者赛门铁克揭露中国黑客组织Evasive Panda（他们称为Daggerfly）开发的macOS恶意程序，就是这样的例子。他们针对最近一波的攻击行动提出警告，指出对方近期针对台湾企业组织、位于中国的美国非政府组织（NGO）使用新的作案工具从事网络间谍活动，过程中利用Apache HTTP服务器的漏洞散布恶意软件框架MgBot。

研究人员指出，这些黑客擅长使用MgBot框架，并持续加入新功能，他们在去年看到黑客在攻击非洲电信业者的过程里，采用新的插件程序来增加危害。

但值得留意的是，他们发现名为Macma的macOS后门程序，也是这些黑客开发、使用的武器之一。这个后门程序最早在2021年由Google威胁情报团队（TAG）揭露，并推测黑客2019年就开始使用，并滥用遭骇的香港网站发动水坑式攻击，来散布这支后门程序。

其中，研究人员提及黑客在水坑式攻击利用的弱点，不光影响Mac电脑，也会影响iOS设备，其中一个被利用的是权限提升漏洞CVE-2021-30869（CVSS风险评分为7.5），一旦Mac电脑尚未修补这项漏洞，对方就有机会借此植入后门程序。

基本上，Macma也是模块化的恶意程序，主要的功能收集设备指纹数据、运行命令、截取屏幕画面、侧录键盘输入内容、截取电脑声音，并能让攻击者上传或下载文件。但研究人员在最新的版本当中发现，黑客加入了多项调整与改进，这突显对该恶意程序极积开发的情形。

他们找到两个新版的Macma进行研究、分析，并指出黑客采用Tree（可公开取得的Linux、Unix公用程序）为基础开发新代码，调整收集文件系统列表的逻辑；再者，则是改良AudioRecorderHelper功能的代码，并加入新的功能参数及调试事件记录。此外，对方也加入名为param2.ini的文件，设置截取屏幕画面的相关参数。

究竟如何察觉这支恶意程序与Evasive Panda有关？研究人员在分析的过程中发现，这些后门程序竟然连接到IP位址是103.243.212[.]98的C2服务器，而其中一款MgBot恶意程序加载工具也使用该服务器进行通信。

经过代码的比对，他们发现Macma与MgBot及其他该组织使用的恶意程序，共用相同的程序库或框架开发而成。黑客使用这些程序库及相关组件，跨平台开发Windows、macOS、Linux、安卓版恶意程序。

他们举出资安业者ESET今年3月揭露的Windows后门程序Nightdoor（也称做NetMM、Suzafk）为例，研究人员确认这款恶意程序也是使用该黑客组织专属的程序库打造，这是多阶段后门程序，能够使用TCP协定或是通过OneDrive进行C2通信。对方利用名为DAEMON Tools Lite Helper的虚拟光盘软件公用程序将其加载，启动过程滥用al-khaser项目的代码来检测是否在虚拟机或沙箱环境运行。

除了Nightdoor，研究人员也找到黑客针对其他操作系统的开发恶意程序的证据，并指出对方开发了安卓设备应用程序的恶意安装档、短信拦截工具、DNS请求拦截工具，还有锁定Solaris操作系统的恶意程序