國際資安研究團隊近日揭露,一款被譽為中國國家級駭客組織最先進的惡意程式 Daxin,在沉寂四年後再度現身,且最新受害者竟是一家位於台灣的跨國高科技製造企業子公司。更值得警惕的是,研究人員同時發現一個從未公開的新型後門 Stupig,兩者共同部署於同一台主機,顯示攻擊者可能已建立更成熟、更隱密的長期滲透能力。
根據 Symantec Threat Hunter Team 的調查,這起事件最早於 2026 年 5 月曝光,但從惡意程式的編譯時間及攻擊者過往的行動模式研判,入侵行動極可能自 2013 年左右便已開始,潛伏時間甚至長達 13 年。如此漫長的潛伏週期,不僅凸顯攻擊者具備高度耐心與資源,更代表受害組織在多年期間可能持續遭受監控、資料竊取,卻毫無察覺。
Daxin 並非一般駭客工具,而是資安界公認極為罕見的高階網路間諜平台。早在 2022 年首次曝光時,Symantec 即指出其為中國相關威脅行動中最精密的惡意程式之一。與一般後門不同,Daxin 不會主動對外建立 C2(Command and Control)連線,而是劫持既有的合法 TCP 網路流量,將惡意指令隱藏於正常通訊之中,大幅降低遭到防火牆、IDS、NDR 或傳統流量分析工具偵測的機率。此外,它還能利用多台受感染設備建立跳板鏈(Multi-hop Communication),深入原本無法直接連線的內部網段,展現高度成熟的橫向移動能力。

更值得注意的是,本次同步發現的新型後門 Stupig,採用了過去從未在公開惡意程式家族中出現的技術。攻擊者透過偽裝成 Windows 鍵盤配置 DLL,讓惡意程式由 winlogon.exe 載入,甚至可在使用者尚未登入Windows 前,即取得 SYSTEM 最高權限執行命令,同時避開一般登入事件稽核機制。換言之,即使企業已部署 EDR 或具備帳號登入監控,仍可能無法察覺攻擊者早已在登入畫面取得完整控制權。
研究團隊雖未能直接證實 Daxin 與 Stupig 出自相同程式碼來源,但兩者不僅共同存在於同一受害主機,編譯時間僅相差數週,開發風格與功能亦高度互補,因此不排除為同一攻擊組織所使用的不同作戰工具。
台灣再次成為高價值攻擊目標
此次事件最值得台灣企業警惕的,不只是惡意程式重新出現,而是受害者正是台灣高科技製造產業。
過去 Daxin 的攻擊對象主要集中於政府機關、電信業者、交通運輸及關鍵基礎設施,如今再次出現時,攻擊焦點已延伸至台灣高科技製造供應鏈。結合近年中國 APT 組織持續針對台灣半導體、電子製造、精密機械及關鍵供應鏈展開長期滲透,可以看出這並非單一事件,而是持續性的情報蒐集行動。
尤其在全球供應鏈重組、AI、高效能運算(HPC)、半導體及國防產業快速發展的背景下,台灣企業所掌握的研發成果、製程技術、客戶資訊與供應鏈資料,皆已成為國家級攻擊者高度覬覦的戰略資產。
疑似利用老舊系統作為入侵入口
調查亦指出,攻擊者疑似利用受害企業仍在使用的 Digiwin 單一登入(SSO)系統 作為初始入侵點,其 Java Development Kit(JDK)版本仍停留在 1.5 與 1.6,相關版本早於十餘年前即已停止安全更新。
此案例再次反映,許多企業雖已投入大量資源部署防火牆、EDR 或零信任架構,但若仍保留長年未更新的核心應用系統、舊版 Java 環境或歷史系統,依舊可能成為國家級攻擊者最容易突破的入口。
專家觀點:真正可怕的不是攻擊,而是「沒有被發現」
從此次事件來看,最令人憂心的並非 Daxin 再度出現,而是它可能已在企業環境中潛伏超過十年而未被察覺。這代表攻擊者的目標並非立即破壞,而是長期維持存取權限,持續蒐集敏感資訊、監控企業營運,甚至等待特定時機再展開後續行動。
對台灣企業而言,這也再次提醒傳統以防火牆、防毒及簽章偵測為主的防禦模式已不足以因應現代 APT 威脅。企業除了應落實系統更新、淘汰已停止支援的軟體版本外,更應導入 Threat Hunting(威脅獵捕)、NDR(Network Detection and Response)、EDR/XDR、持續性威脅監控、攻擊面管理(ASM) 與 威脅情資(Threat Intelligence) 等能力,才能提升對長期潛伏型攻擊的偵測與應變能力。
此次 Daxin 再度現身,不僅證明中國相關 APT 行動並未停止,更再次凸顯台灣高科技製造業與關鍵供應鏈,依舊是國家級網路間諜行動的首要目標。面對這類以年為單位進行滲透的攻擊行動,企業若仍抱持「沒有發生事件就是安全」的心態,恐將錯失發現威脅的黃金時機,最終付出遠高於資安投資的代價。











