2026 年 3 月 4 日，Cisco 發布資安公告，揭露其防火牆管理平台 Secure Firewall Management Center（Secure FMC）存在兩項重大漏洞：CVE-2026-20079 與 CVE-2026-20131。兩者皆存在於 Web 管理介面，且 CVSS 評分高達 10 分，屬於最高等級風險。

然而，真正的問題不在於漏洞本身，而在於——當漏洞被揭露時，攻擊其實早已發生。

漏洞尚未公開，攻擊已經開始

根據資安媒體 The Hacker News 報導，Amazon 威脅情報團隊指出，勒索軟體組織 Interlock 早於 2026 年 1 月 26 日即已開始利用 CVE-2026-20131 發動實際攻擊，較該漏洞的官方揭露時間提前整整 36 天，顯示攻擊者已具備零時差漏洞的實戰運用能力。

這代表什麼？

這不是單純的漏洞利用，而是典型的零時差（Zero-Day）攻擊場景——

• 防禦方無法修補
• 無既有偵測特徵
• 攻擊行為幾乎無法預警

更值得關注的是，Amazon 在調查過程中，因攻擊者基礎設施設定失誤，意外取得 Interlock 的完整工具鏈，進一步還原其攻擊流程、RAT 惡意程式、偵查腳本與躲避偵測的技術細節。

這讓整起攻擊從「事件」升級為「可完整解析的攻擊模型」。

核心漏洞解析：直接取得 Root 的入口

CVE-2026-20131 本質為一個遠端程式碼執行（RCE）漏洞，源自 Java 反序列化機制的不安全設計。

攻擊者可透過 Web 管理介面傳送特製的 Java 序列化物件，一旦觸發漏洞，即可：

• 無需驗證（Unauthenticated）
• 遠端執行任意程式碼
• 直接取得系統 root 權限

這意味著，攻擊者可以在沒有任何帳密的情況下，完全接管 FMC 系統，進而影響整個網路安全架構。

攻擊如何發生：從一個請求開始的入侵鏈

Interlock 的攻擊並非單點 exploit，而是一條設計精密的多階段攻擊鏈。

攻擊始於對 Secure FMC 特定路徑發送的 HTTP 請求。這個請求中包含惡意 Java 程式碼，以及兩個關鍵的嵌入網址：

• 第一個網址：傳送漏洞利用所需的組態資料
• 第二個網址：引導受害系統發送 HTTP PUT 請求，上傳特定檔案，用於回報 exploit 是否成功

這個「回傳機制」讓攻擊者能即時確認哪些系統已成功被攻陷，進而自動化後續攻擊流程。

成功入侵後：真正的攻擊才開始

一旦漏洞成功觸發，受害系統將從遠端伺服器下載 ELF 二進位檔並執行，正式進入第二階段。

接著，Interlock 會部署其完整攻擊工具包，並展開一系列行動：

• 環境偵查（Reconnaissance）
  使用 PowerShell 腳本蒐集系統資訊、帳號資料、瀏覽器憑證與網路狀態
• 持久控制（Persistence & C2）
  部署客製化 RAT，支援遠端指令執行、檔案傳輸與代理通道
• 橫向移動（Lateral Movement）
  建立 SOCKS5 proxy，讓攻擊者可在內網自由移動
• 隱匿與反鑑識（Defense Evasion）
  清除系統 log、關閉操作紀錄，甚至使用記憶體型 Web Shell 避免落地檔案

在部分案例中，攻擊者甚至濫用合法工具，例如 ConnectWise ScreenConnect，作為持久存取手段，進一步提高隱蔽性。

這起事件真正的警訊

這起攻擊揭露了一個關鍵現實：

企業防禦的最大盲點，不是漏洞，而是「漏洞被利用的時間差」。

即使企業具備完善的修補機制，也無法防禦尚未公開的漏洞。當攻擊發生在揭露之前，傳統以 Patch 為核心的防禦策略將完全失效。

這也是為什麼「縱深防禦（Defense-in-Depth）」已成為必要條件：

• 單一防線（如防火牆或修補）不再足夠
• 必須結合行為偵測、端點防護與網路監控
• 強化可見性與即時應變能力

趨勢觀察：勒索軟體正轉向邊界設備

值得注意的是，這並非單一事件。根據 Google 的觀察，勒索軟體攻擊正逐漸轉向：

• VPN / Firewall 等邊界設備漏洞
• 減少對外部工具依賴，改用系統內建功能（LOLBins）
• 強化資料外洩與雙重勒索模式

當傳統勒索收益下降，攻擊者的策略正變得更加精準且高效。

結語

Interlock 利用 CVE-2026-20131 的行動，不僅是一場成功的入侵案例，更是一個明確的警訊：

在零時差攻擊成為常態的今天，安全的關鍵不再只是「是否修補」，而是「是否具備在未知威脅下持續防禦的能力」。

當攻擊已經發生，你是否看得見？
當防線被突破，你是否還有下一層防護？

這，才是現代資安真正的戰場。

包括 Fox News、CNN 與 路透社 在內的多家國際媒體近期報導，全球醫療科技產業正面臨一起重大資安事件。美國醫療設備大廠 Stryker 已正式向監管機構通報，公司遭遇嚴重網路攻擊，導致其 Microsoft IT 環境出現全球性中斷。

目前事件仍在調查中，但多項跡象顯示，這起攻擊很可能涉及破壞型 Wiper 惡意程式。宣稱發動攻擊的是一個與伊朗有關聯的駭客組織 Handala，該組織聲稱在竊取大量資料後，對企業網路進行大規模系統抹除，導致全球營運受阻。

凌晨的異常：全球員工同時發現設備失效

3 月 11 日凌晨，分布在不同國家的員工幾乎在同一時間發現異常——公司筆電與手機突然無法正常使用。

有人嘗試重新登入企業系統，有人重啟裝置，但結果都相同：
設備中的資料已被清空。

幾個小時內，這起看似零星的異常迅速演變為一場全球性的 IT 危機。公司內部多個系統陸續失去連線，企業應用程式無法存取，一些據點甚至被迫暫停數位作業，改回最原始的方式——用紙與筆處理業務流程。

Fortune 500 醫療科技企業遭重創

Stryker 總部位於美國密西根州，是全球重要的醫療科技企業之一，產品涵蓋：

• 手術設備
• 神經醫療技術
• 骨科與植入式醫療設備

公司員工超過 53,000 人，並被列為 Fortune 500 企業。2024 年公司全球營收達 226 億美元。

然而在 2026 年 3 月 11 日，公司發現 IT 系統出現異常，隨後確認企業網路遭遇資安事件，影響範圍遍及整個 Microsoft IT 環境。

公司在提交給 U.S. Securities and Exchange Commission 的 Form 8-K 文件中表示：

公司部分資訊系統受到資安事件影響，導致 Microsoft 環境出現全球性中斷。

公司表示已啟動資安應變計畫，並與外部資安專家合作調查與控制事件。

Handala 宣稱：20 萬系統被清除、50TB 資料遭竊

隨著事件發酵，駭客組織 Handala 在網路上發布聲明，宣稱對攻擊負責。

該組織表示在此次行動中：

• 清除超過 200,000 台系統、伺服器與行動裝置
• 竊取約 50 TB 企業資料
• 導致公司在 79 個國家的辦公室營運停擺

駭客在聲明中指出：

「在這次行動中，超過 20 萬個系統與裝置被清除，我們取得 50TB 關鍵資料。」

這些說法目前尚未被 Stryker 官方證實，但多名員工描述的情況，與駭客宣稱的攻擊模式相當接近。

裝置在半夜被遠端「抹除」

多名自稱 Stryker 員工的人士在網路上表示，攻擊發生於週三凌晨，當時公司設備突然被遠端重置。

受影響裝置包括：

• 公司筆記型電腦
• 工作手機
• 企業伺服器

部分員工指出，公司行動裝置管理（MDM）系統中的設備被遠端 wipe。更令人意外的是，一些員工將個人手機加入企業管理系統以便存取工作郵件，結果這些私人設備也被重置，導致資料一併消失。

同時，攻擊者還竄改企業登入頁面，在 Microsoft Entra ID 的登入畫面上顯示 Handala 的標誌。

企業系統癱瘓：部分據點改用紙本作業

這起攻擊導致公司內部多項核心服務中斷，包括：

• 企業郵件
• 內部應用系統
• VPN 與遠端連線

部分辦公室甚至被迫回到紙本作業（pen-and-paper workflow）以維持基本營運。

公司內部訊息顯示，IT 團隊目前正與 Microsoft 合作調查事件原因，並將此次事件定義為 企業級重大資安事件（critical enterprise-wide incident）。

Handala：與伊朗情報體系相關的破壞型駭客組織

威脅情報研究顯示，Handala 最早出現在 2023 年 12 月，過去主要針對以色列政府與企業發動攻擊。

多個資安研究機構認為，該組織與 Iranian Ministry of Intelligence and Security 可能存在關聯。

該組織常見的攻擊策略包括：

• 釣魚攻擊取得初始存取權
• 滲透企業網路
• 部署 Wiper 惡意程式
• 竊取資料並公開於資料外洩網站

破壞型攻擊的回歸

從資安威脅趨勢來看，此事件再次凸顯一個值得警惕的趨勢——破壞型網路攻擊（Destructive Cyber Attacks）正在回歸。

與傳統勒索軟體不同，Wiper 攻擊通常具有三個特徵：

1. 目的在於破壞，而非勒索
2. 攻擊速度快、破壞範圍廣
3. 企業復原成本極高

對企業而言，即使沒有資料外洩，只要核心系統被清除，營運仍可能全面停擺。

系統復原時間仍未知

目前 Stryker 表示，攻擊已被控制，但系統復原仍需要時間。

公司指出，事件仍將持續影響：

• 企業網路存取
• 內部業務應用
• 日常營運環境

至於 完整系統何時恢復正常，目前仍沒有明確時間表。

資安觀點：企業正成為地緣政治衝突的新戰場

從資安專家的角度來看，這起事件凸顯了一個逐漸成形的趨勢：
全球企業正成為國家級網路衝突的間接戰場。

尤其是醫療、能源與科技產業，由於其關鍵基礎設施角色，正逐漸成為高價值攻擊目標。

當地緣政治衝突升溫時，網路攻擊往往不再只是犯罪行為，而可能帶有政治與戰略目的。

而像 Stryker 這樣的醫療科技企業，一旦營運受到影響，其衝擊可能不僅限於 IT 系統，更可能波及整個醫療供應鏈。

這也再次提醒企業一個現實：

在今天的數位時代，資安事件已不只是技術問題，而可能是全球政治衝突的延伸。

近期資安研究人員揭露，一個與中國有關的進階持續性威脅（APT）組織正在對全球電信產業展開長期滲透行動。該威脅行動被追蹤為 UAT-9244，自 2024 年起持續鎖定南美洲多家電信服務供應商，成功入侵 Windows、Linux 以及網路邊界設備，顯示攻擊者具備高度跨平台滲透能力。

根據 Cisco Talos 的研究報告，UAT-9244 的攻擊手法與工具鏈與兩個已知中國駭客組織高度相似，包括 FamousSparrow 與 Tropic Trooper。研究團隊基於攻擊工具、戰術、技術與程序（TTPs）以及受害者輪廓的高度重疊，對其關聯性提出高度信心的判斷，但仍將其視為一個獨立的攻擊活動群集。

值得注意的是，UAT-9244 的攻擊目標與另一個知名中國電信滲透行動 Salt Typhoon 類似，但目前尚未找到足夠證據證實兩者之間存在直接關聯。

專門為電信環境打造的惡意工具組

研究人員在此次攻擊活動中發現三個過去未被公開的惡意程式家族，顯示攻擊者已建立一套專門針對電信基礎設施的完整滲透工具鏈：

1.TernDoor（Windows 後門程式）
2 .PeerTime（Linux P2P 後門）
3. BruteEntry（暴力破解與代理節點工具）

這些工具彼此搭配，使攻擊者能從初始入侵、橫向移動到建立代理網路，逐步擴大滲透範圍。

TernDoor：利用 DLL Side-Loading 潛入 Windows 系統

TernDoor 是一款專為 Windows 設計的後門程式，攻擊者透過 DLL side-loading 技術部署惡意程式。

其攻擊流程包括：

• 利用合法程式 wsprint.exe 載入惡意 DLL BugSplatRc64.dll
• 解密最終惡意 payload
• 將程式碼注入 msiexec.exe 記憶體中執行

為了提升控制能力，TernDoor 還內建一個 Windows 驅動程式 WSPrint.sys，可用於：

• 終止或暫停系統程序
• 恢復被停止的程序
• 協助惡意程式維持控制權

在持久化（Persistence）方面，TernDoor 會透過：

• Windows 排程任務
• Registry 修改

來確保系統重開機後仍能持續存活，甚至還會刻意隱藏排程任務以降低被發現的機率。

一旦成功植入，攻擊者即可遠端：

• 執行 shell 指令
• 啟動任意程式
• 讀寫檔案
• 收集系統資訊
• 或在必要時自我移除以清除痕跡

PhotoCredit: PeerTime安裝流程圖

PeerTime：利用 BitTorrent 建立隱蔽 C2 通訊

另一個關鍵工具 PeerTime 是一個 ELF 格式的 Linux 後門程式，支援多種 CPU 架構，包括：

• ARM
• AARCH
• PPC
• MIPS

這意味著它不僅針對一般 Linux 伺服器，也可能鎖定路由器、IoT 設備以及電信網路設備等嵌入式系統。

研究人員發現 PeerTime 有兩個版本：

• C/C++ 實作版本
• Rust 語言版本

其中部分工具內部出現簡體中文除錯字串，進一步暗示其開發背景。

更值得注意的是，PeerTime 並未採用傳統的 C2 伺服器模式，而是利用 BitTorrent P2P 協議進行指揮控制。
這種架構具備兩大優勢：

1. 降低單一 C2 被關閉的風險
2. 讓流量更容易隱藏在正常 P2P 通訊中

PeerTime 會從其他節點下載惡意 payload 並執行，同時透過 BusyBox 在主機上寫入檔案，使其能持續擴展功能。

BruteEntry：建立全球掃描代理網路

第三個工具 BruteEntry 則扮演「擴散器」的角色。

它由兩個元件組成：

• Go 語言撰寫的 instrumentor
• 暴力破解掃描模組

被入侵的設備會被轉換為 Operational Relay Boxes（ORBs），也就是攻擊者的掃描代理節點。

透過這些節點，攻擊者可以持續對網路進行大規模掃描與暴力破解，目標包括：

• SSH
• PostgreSQL
• Tomcat

所有登入嘗試結果都會回傳到攻擊者的 C2 伺服器，包含：

• 成功或失敗狀態
• 任務執行進度
• 攻擊備註

這種架構本質上等同於建立一個分散式攻擊基礎設施，能持續尋找新的滲透目標。

專家觀察：電信產業成為國家級網攻核心戰場

從攻擊工具設計可以明顯看出，這並非一般網路犯罪，而是具有高度戰略意圖的長期滲透行動。

電信業者之所以成為關鍵目標，原因在於其掌握：

• 大量用戶通訊資料
• 核心網路流量
• 重要國家基礎設施

一旦被入侵，攻擊者不僅能進行長期監控，甚至可能進一步滲透政府與企業通訊系統。

從近年的趨勢來看，電信基礎設施正逐漸成為國家級網路間諜戰的重要戰場。對於營運關鍵網路設備的組織而言，加強邊界設備防護、強化身分驗證機制，以及持續監控異常流量與橫向移動行為，已成為不可忽視的資安課題。

近期針對 Fortinet FortiGate 防火牆設備的大規模攻擊行動，出現一個值得高度警惕的關鍵轉折：攻擊者已正式將「AI 原生攻擊平台」納入自動化攻擊流程。

根據 Team Cymru 的調查，這波由疑似俄語系威脅行動者發起的掃描與入侵行動，背後使用了一款名為 CyberStrikeAI 的開源 AI 攻擊工具。攻擊來源 IP（212.11.64[.]250）被發現進行大規模自動化弱點掃描，鎖定存在漏洞的 FortiGate 設備。

AI 不再只是輔助，而是攻擊主體

早在上個月，Amazon 旗下威脅情報團隊已揭露，攻擊者利用生成式 AI 服務（如 Anthropic 的 Claude 以及 DeepSeek）協助分析漏洞與自動化攻擊流程，成功入侵 55 個國家、超過 600 台 FortiGate 裝置。

這代表攻擊模式已從「人工滲透」進化為「AI 驅動的大規模自動化滲透」。

從 OSCP 的實戰角度來看，這種工具大幅縮短了 Recon → Exploit → Lateral Movement 的攻擊時間；
從 CISSP 的治理角度來看，這則意味著風險暴露速度遠超傳統防禦週期。

CyberStrikeAI 是什麼？

根據其 GitHub 說明，CyberStrikeAI 具備以下特性：

• 使用 Go 語言開發
• 整合超過 100 種安全工具
• 支援漏洞挖掘、攻擊鏈分析、知識檢索與結果視覺化
• AI 原生設計（AI-native offensive platform）

該工具由一名使用別名 Ed1s0nZ 的中國開發者維護。

Team Cymru 觀察到，在 2026 年 1 月 20 日至 2 月 26 日期間，共有 21 個不同 IP 執行該工具，主要伺服器位於中國、新加坡與香港，另在美國、日本與瑞士亦有相關節點。

不只是工具，更是一個生態系

進一步分析 Ed1s0nZ 的 GitHub 活動，可以發現其發布多款攻擊與 AI 操控相關工具，包括：

• PrivHunterAI：利用 Kimi、DeepSeek 與 GPT 模型檢測權限提升漏洞
• ChatGPTJailbreak：提供提示詞繞過 AI 安全限制
• banana_blackmail：Go 語言撰寫的勒索軟體
• InfiltrateX：權限提升漏洞掃描工具
• VigilantEye：監控資料庫敏感資訊外洩並透過企業微信告警

這些工具顯示其核心研究方向聚焦於：

1. AI 模型繞過（AI Jailbreaking）
2. 權限提升自動化
3. 攻擊鏈整合
4. 敏感資料監控與勒索能力

這已不是單點工具，而是一個 AI 攻擊能力的模組化武器庫。

與中國國安體系的潛在關聯

研究人員指出，Ed1s0nZ 與多個與中國政府相關的資安組織有互動紀錄，其中包含：

Knownsec 404

這家公司於去年遭到重大資料外洩，超過 12,000 份內部文件曝光，內容包含：

• 政府客戶資料
• 攻擊工具原始碼
• 南韓通話紀錄
• 台灣關鍵基礎設施相關資料
• 進行中的跨國網路行動細節

DomainTools 在今年 1 月分析指出，Knownsec 並非單純商業資安公司，而是「國家對齊型網路承包商」，可支援中國國安、情報與軍事目標。

其工具如 ZoomEye 與關鍵基礎設施目標庫，形同全球級偵察資料庫。

CNNVD 爭議與刻意淡化關聯

Ed1s0nZ 曾在 GitHub 上標示獲得中國國家資訊安全漏洞庫（CNNVD）二級貢獻獎，但近期已刪除相關資訊。

根據 Bitsight 研究：

• CNNVD 由中國國安部（MSS）管理
• CNVD 則由 CNCERT 管理
• 歷史研究（含 Recorded Future）指出，CNNVD 對高 CVSS 漏洞發布時間明顯延遲

這種延遲可能意味著高價值漏洞在公開前，已被國家層級利用。

從治理角度看，這是典型「漏洞情報軍事化」現象。

專業觀察：這代表什麼？

1.  AI 攻擊將快速普及化

CyberStrikeAI 為開源架構，一旦被威脅社群廣泛採用，攻擊門檻將急劇下降。

2. 攻擊鏈自動化程度大幅提升

弱點發現 → 漏洞利用 → 權限提升 → 資料外洩
將成為一條由 AI 驅動的流水線。

3. 國家級技術外溢風險增加

若工具確實與國家承包商生態系存在連結，則代表：

「國家級攻擊能力正逐步商品化與民間化。」

專業建議

面對 AI 驅動攻擊新時代，企業應：

• 假設已被掃描（Assume Continuous Recon）
• 強化外部攻擊面管理（EASM）
• 導入自動化弱點修補流程
• 監控異常 API 與 AI 互動流量
• 定期進行紅隊模擬與攻擊鏈驗證

因為現在的對手，不只是駭客。
而是「具備 AI 推理能力的攻擊系統」。

2026 年初，新加坡資安戰線全面升級。當局在偵測到針對全國電信基礎設施的高度精準攻擊後，迅速啟動代號 「Operation Cyber Guardian」 的全國級聯防行動，這也是新加坡歷來規模最大的協同資安防禦作戰。從資安專業角度來看，這起事件不僅是單一國家的資安事件，更是一個關於「國家級 APT 如何測試通訊命脈」的現代案例。

電信成為國家攻防焦點：UNC3886 精準鎖定四大電信

根據新加坡數位發展與資訊部長 Josephine Teo 公布，本次攻擊歸因於被視為中國相關背景的 APT 組織 UNC3886。攻擊行動同時瞄準新加坡四大電信業者——M1、Singtel、StarHub 與 Simba，顯示這並非隨機攻擊，而是一場針對關鍵通訊基礎設施的精密滲透行動。

從攻擊戰略觀察，電信網路是所有數位服務的骨幹，一旦失守，銀行、醫療、交通甚至國防指揮體系都可能受到連鎖衝擊。這也解釋了為何新加坡政府將此事件評估為「潛在比過去事件更嚴重」的國安級威脅。

零時差漏洞開門：APT 如何滲透核心系統

調查顯示，UNC3886 利用一個尚未公開、也尚無修補程式的 零日漏洞（Zero-day） 作為入侵突破口。部長形容，這就像是找到了一把「前所未見的鑰匙」，直接打開電信核心系統的入口。

在取得初始存取權後，攻擊者展現高度成熟的 APT 技術，包括：

• 滲透網路設備與虛擬化平台
• 進行橫向移動嘗試
• 竊取少量技術性資料
• 刻意清除數位鑑識痕跡以降低曝光

幸運的是，新加坡電信業者與主管機關在異常活動出現後迅速通報，並由 CSA、IMDA、數位與情報部門等六大政府單位組成超過百人的聯合防禦團隊，成功在攻擊深化前加以遏止。目前未發現服務中斷，也沒有證據顯示客戶敏感資料遭竊。

為何這起事件仍極具警示意義？

即使攻擊已被控制，這起事件仍凸顯一個重要現實：APT 攻擊的真正目標，往往不是立即破壞，而是建立長期滲透能力。

新加坡政府明確警告，電力、水資源與交通等關鍵基礎設施，同樣可能成為下一個目標。若攻擊進一步擴大，理論上攻擊者可能具備：

• 癱瘓電信與網路服務
• 中斷金融交易與醫療系統
• 影響交通與城市運作

換句話說，這不是單一產業的危機，而是一場針對現代智慧城市基礎的壓力測試。

國家級防禦模式：未來關鍵基礎設施的新常態

本次事件另一個值得觀察的重點，是新加坡展現的「國家級協同防禦模式」。政府與電信業者之間建立即時威脅情報共享、聯合演練與快速通報機制，成功縮短反應時間。

四大電信業者也指出，他們正面對從 DDoS、惡意程式到長期滲透攻擊的複合型威脅，因此已導入縱深防禦策略與快速修補流程，並持續與政府及產業夥伴合作強化韌性。

從資安專家視角看台灣：這不只是新加坡的問題

UNC3886 長期鎖定美國與亞洲的國防、科技與電信組織，且特別偏好攻擊網路設備與虛擬化環境。這些技術棧正是多數電信與大型企業的核心架構，意味著台灣及區域電信與關鍵基礎設施同樣面臨相似風險。

本次事件再次提醒企業與政府：

• 零日漏洞防禦能力將成為關鍵分水嶺
• 電信與網路基礎設施已成為 APT 首要戰場
• 即使未發生破壞，成功滲透本身就代表高風險

在現代資安戰場中，真正的威脅往往不是爆發當下，而是攻擊者已悄悄進入系統卻尚未被察覺的那段時間。