據知道創宇404高級威脅情報團隊近期發現，名為“Patchwork”的黑客組織正以中國的大學和研究機構為目標進行活動，部署名為EyeShell的后門。

Patchwork也被稱為“Operation Hangover”和“Zinc Emerson”，被懷疑是來自印度的APT組織。該組織發起的攻擊鏈至少自 2015 年 12 月起就開始活躍，其關注點很窄，專門針對中國和巴基斯坦進行魚叉式網絡釣魚和水坑攻擊并植入特定程序。

EyeShell 是一個基于 .NET 的模塊化后門，具有與遠程命令和控制 (C2) 服務器建立聯系，可以枚舉文件和目錄、向主機下載和上傳文件、執行指定文件、刪除文件和捕獲屏幕截圖。

研究還發現，該組織其他與印度相關的網絡間諜組織（包括SideWinder和DoNot Team）在戰術上均存在重疊。

今年5月初，Meta曾透露它關閉了 Patchwork 在Facebook 和 Instagram 上運營的 50 個帳戶，這些帳戶利用上傳到 Google Play 商店的流氓軟件收集來自巴基斯坦、斯里蘭卡和中國等地的信息。

Meta表示，Patchwork 依靠一系列精心設計的虛構人物角色，對受害者進行社會工程，讓他們點擊惡意鏈接并下載惡意應用程序。這些程序含相對基本的惡意功能，對用戶數據的訪問完全依賴于用戶最終授予的權限。值得注意的是，Patchwork 為聊天應用程序創建了一個虛假評論網站，在其中列出了排名前五的通信應用程序，并將一款自身控制的惡意程序放在了首位。

另一個威脅：Bitter

近期，知道創宇團隊還詳細披露了名為Bitter（又稱為蔓靈花）的黑客組織的動向。該組織是一個疑似來自南亞的高級APT組織，自2013年以來便處于活躍狀態，主要目標針對巴基斯坦、孟加拉國和沙特阿拉伯的能源、工程和政府部門，并部署名為 ORPCBackdoor的后門。

據另一家網絡安全公司Intezer 今年3月披露的信息，Bitter也在對中國的組織開展間諜活動，研究人員曾發現7封冒充來自吉爾吉斯斯坦大使館的電子郵件被發送給中國核能行業的有關機構。

這些電子郵件包含許多社會工程技術，用于發送郵件的姓名和郵件地址經過精心設計，看起來像是來自“駐北京的吉爾吉斯斯坦大使館”。此外，郵件簽名也是吉爾吉斯斯坦駐華大使館實際工作人員的姓名，如果收件人進行初步核實，可以輕松地從 LinkedIn 和吉爾吉斯斯坦外交部網站找到確鑿的信息，從而增加了該電子郵件的合法性。

看似來自大使館的釣魚郵件

為了進一步增加可信度，郵件主題和正文使用了政府和能源部門熟悉的術語和主題，如國際原子能機構（IAEA）、中國國際問題研究所（CIIS）等。Intezer 建議政府、能源、工程等領域，尤其是亞太地區的實體在收到電子郵件時保持警惕，尤其是那些聲稱來自其他外交實體的電子郵件。