包括 Fox News、CNN 與 路透社 在內的多家國際媒體近期報導，全球醫療科技產業正面臨一起重大資安事件。美國醫療設備大廠 Stryker 已正式向監管機構通報，公司遭遇嚴重網路攻擊，導致其 Microsoft IT 環境出現全球性中斷。

目前事件仍在調查中，但多項跡象顯示，這起攻擊很可能涉及破壞型 Wiper 惡意程式。宣稱發動攻擊的是一個與伊朗有關聯的駭客組織 Handala，該組織聲稱在竊取大量資料後，對企業網路進行大規模系統抹除，導致全球營運受阻。

凌晨的異常：全球員工同時發現設備失效

3 月 11 日凌晨，分布在不同國家的員工幾乎在同一時間發現異常——公司筆電與手機突然無法正常使用。

有人嘗試重新登入企業系統，有人重啟裝置，但結果都相同：
設備中的資料已被清空。

幾個小時內，這起看似零星的異常迅速演變為一場全球性的 IT 危機。公司內部多個系統陸續失去連線，企業應用程式無法存取，一些據點甚至被迫暫停數位作業，改回最原始的方式——用紙與筆處理業務流程。

Fortune 500 醫療科技企業遭重創

Stryker 總部位於美國密西根州，是全球重要的醫療科技企業之一，產品涵蓋：

• 手術設備
• 神經醫療技術
• 骨科與植入式醫療設備

公司員工超過 53,000 人，並被列為 Fortune 500 企業。2024 年公司全球營收達 226 億美元。

然而在 2026 年 3 月 11 日，公司發現 IT 系統出現異常，隨後確認企業網路遭遇資安事件，影響範圍遍及整個 Microsoft IT 環境。

公司在提交給 U.S. Securities and Exchange Commission 的 Form 8-K 文件中表示：

公司部分資訊系統受到資安事件影響，導致 Microsoft 環境出現全球性中斷。

公司表示已啟動資安應變計畫，並與外部資安專家合作調查與控制事件。

Handala 宣稱：20 萬系統被清除、50TB 資料遭竊

隨著事件發酵，駭客組織 Handala 在網路上發布聲明，宣稱對攻擊負責。

該組織表示在此次行動中：

• 清除超過 200,000 台系統、伺服器與行動裝置
• 竊取約 50 TB 企業資料
• 導致公司在 79 個國家的辦公室營運停擺

駭客在聲明中指出：

「在這次行動中，超過 20 萬個系統與裝置被清除，我們取得 50TB 關鍵資料。」

這些說法目前尚未被 Stryker 官方證實，但多名員工描述的情況，與駭客宣稱的攻擊模式相當接近。

裝置在半夜被遠端「抹除」

多名自稱 Stryker 員工的人士在網路上表示，攻擊發生於週三凌晨，當時公司設備突然被遠端重置。

受影響裝置包括：

• 公司筆記型電腦
• 工作手機
• 企業伺服器

部分員工指出，公司行動裝置管理（MDM）系統中的設備被遠端 wipe。更令人意外的是，一些員工將個人手機加入企業管理系統以便存取工作郵件，結果這些私人設備也被重置，導致資料一併消失。

同時，攻擊者還竄改企業登入頁面，在 Microsoft Entra ID 的登入畫面上顯示 Handala 的標誌。

企業系統癱瘓：部分據點改用紙本作業

這起攻擊導致公司內部多項核心服務中斷，包括：

• 企業郵件
• 內部應用系統
• VPN 與遠端連線

部分辦公室甚至被迫回到紙本作業（pen-and-paper workflow）以維持基本營運。

公司內部訊息顯示，IT 團隊目前正與 Microsoft 合作調查事件原因，並將此次事件定義為 企業級重大資安事件（critical enterprise-wide incident）。

Handala：與伊朗情報體系相關的破壞型駭客組織

威脅情報研究顯示，Handala 最早出現在 2023 年 12 月，過去主要針對以色列政府與企業發動攻擊。

多個資安研究機構認為，該組織與 Iranian Ministry of Intelligence and Security 可能存在關聯。

該組織常見的攻擊策略包括：

• 釣魚攻擊取得初始存取權
• 滲透企業網路
• 部署 Wiper 惡意程式
• 竊取資料並公開於資料外洩網站

破壞型攻擊的回歸

從資安威脅趨勢來看，此事件再次凸顯一個值得警惕的趨勢——破壞型網路攻擊（Destructive Cyber Attacks）正在回歸。

與傳統勒索軟體不同，Wiper 攻擊通常具有三個特徵：

1. 目的在於破壞，而非勒索
2. 攻擊速度快、破壞範圍廣
3. 企業復原成本極高

對企業而言，即使沒有資料外洩，只要核心系統被清除，營運仍可能全面停擺。

系統復原時間仍未知

目前 Stryker 表示，攻擊已被控制，但系統復原仍需要時間。

公司指出，事件仍將持續影響：

• 企業網路存取
• 內部業務應用
• 日常營運環境

至於 完整系統何時恢復正常，目前仍沒有明確時間表。

資安觀點：企業正成為地緣政治衝突的新戰場

從資安專家的角度來看，這起事件凸顯了一個逐漸成形的趨勢：
全球企業正成為國家級網路衝突的間接戰場。

尤其是醫療、能源與科技產業，由於其關鍵基礎設施角色，正逐漸成為高價值攻擊目標。

當地緣政治衝突升溫時，網路攻擊往往不再只是犯罪行為，而可能帶有政治與戰略目的。

而像 Stryker 這樣的醫療科技企業，一旦營運受到影響，其衝擊可能不僅限於 IT 系統，更可能波及整個醫療供應鏈。

這也再次提醒企業一個現實：

在今天的數位時代，資安事件已不只是技術問題，而可能是全球政治衝突的延伸。

近期資安研究人員揭露，一個與中國有關的進階持續性威脅（APT）組織正在對全球電信產業展開長期滲透行動。該威脅行動被追蹤為 UAT-9244，自 2024 年起持續鎖定南美洲多家電信服務供應商，成功入侵 Windows、Linux 以及網路邊界設備，顯示攻擊者具備高度跨平台滲透能力。

根據 Cisco Talos 的研究報告，UAT-9244 的攻擊手法與工具鏈與兩個已知中國駭客組織高度相似，包括 FamousSparrow 與 Tropic Trooper。研究團隊基於攻擊工具、戰術、技術與程序（TTPs）以及受害者輪廓的高度重疊，對其關聯性提出高度信心的判斷，但仍將其視為一個獨立的攻擊活動群集。

值得注意的是，UAT-9244 的攻擊目標與另一個知名中國電信滲透行動 Salt Typhoon 類似，但目前尚未找到足夠證據證實兩者之間存在直接關聯。

專門為電信環境打造的惡意工具組

研究人員在此次攻擊活動中發現三個過去未被公開的惡意程式家族，顯示攻擊者已建立一套專門針對電信基礎設施的完整滲透工具鏈：

1.TernDoor（Windows 後門程式）
2 .PeerTime（Linux P2P 後門）
3. BruteEntry（暴力破解與代理節點工具）

這些工具彼此搭配，使攻擊者能從初始入侵、橫向移動到建立代理網路，逐步擴大滲透範圍。

TernDoor：利用 DLL Side-Loading 潛入 Windows 系統

TernDoor 是一款專為 Windows 設計的後門程式，攻擊者透過 DLL side-loading 技術部署惡意程式。

其攻擊流程包括：

• 利用合法程式 wsprint.exe 載入惡意 DLL BugSplatRc64.dll
• 解密最終惡意 payload
• 將程式碼注入 msiexec.exe 記憶體中執行

為了提升控制能力，TernDoor 還內建一個 Windows 驅動程式 WSPrint.sys，可用於：

• 終止或暫停系統程序
• 恢復被停止的程序
• 協助惡意程式維持控制權

在持久化（Persistence）方面，TernDoor 會透過：

• Windows 排程任務
• Registry 修改

來確保系統重開機後仍能持續存活，甚至還會刻意隱藏排程任務以降低被發現的機率。

一旦成功植入，攻擊者即可遠端：

• 執行 shell 指令
• 啟動任意程式
• 讀寫檔案
• 收集系統資訊
• 或在必要時自我移除以清除痕跡

PhotoCredit: PeerTime安裝流程圖

PeerTime：利用 BitTorrent 建立隱蔽 C2 通訊

另一個關鍵工具 PeerTime 是一個 ELF 格式的 Linux 後門程式，支援多種 CPU 架構，包括：

• ARM
• AARCH
• PPC
• MIPS

這意味著它不僅針對一般 Linux 伺服器，也可能鎖定路由器、IoT 設備以及電信網路設備等嵌入式系統。

研究人員發現 PeerTime 有兩個版本：

• C/C++ 實作版本
• Rust 語言版本

其中部分工具內部出現簡體中文除錯字串，進一步暗示其開發背景。

更值得注意的是，PeerTime 並未採用傳統的 C2 伺服器模式，而是利用 BitTorrent P2P 協議進行指揮控制。
這種架構具備兩大優勢：

1. 降低單一 C2 被關閉的風險
2. 讓流量更容易隱藏在正常 P2P 通訊中

PeerTime 會從其他節點下載惡意 payload 並執行，同時透過 BusyBox 在主機上寫入檔案，使其能持續擴展功能。

BruteEntry：建立全球掃描代理網路

第三個工具 BruteEntry 則扮演「擴散器」的角色。

它由兩個元件組成：

• Go 語言撰寫的 instrumentor
• 暴力破解掃描模組

被入侵的設備會被轉換為 Operational Relay Boxes（ORBs），也就是攻擊者的掃描代理節點。

透過這些節點，攻擊者可以持續對網路進行大規模掃描與暴力破解，目標包括：

• SSH
• PostgreSQL
• Tomcat

所有登入嘗試結果都會回傳到攻擊者的 C2 伺服器，包含：

• 成功或失敗狀態
• 任務執行進度
• 攻擊備註

這種架構本質上等同於建立一個分散式攻擊基礎設施，能持續尋找新的滲透目標。

專家觀察：電信產業成為國家級網攻核心戰場

從攻擊工具設計可以明顯看出，這並非一般網路犯罪，而是具有高度戰略意圖的長期滲透行動。

電信業者之所以成為關鍵目標，原因在於其掌握：

• 大量用戶通訊資料
• 核心網路流量
• 重要國家基礎設施

一旦被入侵，攻擊者不僅能進行長期監控，甚至可能進一步滲透政府與企業通訊系統。

從近年的趨勢來看，電信基礎設施正逐漸成為國家級網路間諜戰的重要戰場。對於營運關鍵網路設備的組織而言，加強邊界設備防護、強化身分驗證機制，以及持續監控異常流量與橫向移動行為，已成為不可忽視的資安課題。

近期針對 Fortinet FortiGate 防火牆設備的大規模攻擊行動，出現一個值得高度警惕的關鍵轉折：攻擊者已正式將「AI 原生攻擊平台」納入自動化攻擊流程。

根據 Team Cymru 的調查，這波由疑似俄語系威脅行動者發起的掃描與入侵行動，背後使用了一款名為 CyberStrikeAI 的開源 AI 攻擊工具。攻擊來源 IP（212.11.64[.]250）被發現進行大規模自動化弱點掃描，鎖定存在漏洞的 FortiGate 設備。

AI 不再只是輔助，而是攻擊主體

早在上個月，Amazon 旗下威脅情報團隊已揭露，攻擊者利用生成式 AI 服務（如 Anthropic 的 Claude 以及 DeepSeek）協助分析漏洞與自動化攻擊流程，成功入侵 55 個國家、超過 600 台 FortiGate 裝置。

這代表攻擊模式已從「人工滲透」進化為「AI 驅動的大規模自動化滲透」。

從 OSCP 的實戰角度來看，這種工具大幅縮短了 Recon → Exploit → Lateral Movement 的攻擊時間；
從 CISSP 的治理角度來看，這則意味著風險暴露速度遠超傳統防禦週期。

CyberStrikeAI 是什麼？

根據其 GitHub 說明，CyberStrikeAI 具備以下特性：

• 使用 Go 語言開發
• 整合超過 100 種安全工具
• 支援漏洞挖掘、攻擊鏈分析、知識檢索與結果視覺化
• AI 原生設計（AI-native offensive platform）

該工具由一名使用別名 Ed1s0nZ 的中國開發者維護。

Team Cymru 觀察到，在 2026 年 1 月 20 日至 2 月 26 日期間，共有 21 個不同 IP 執行該工具，主要伺服器位於中國、新加坡與香港，另在美國、日本與瑞士亦有相關節點。

不只是工具，更是一個生態系

進一步分析 Ed1s0nZ 的 GitHub 活動，可以發現其發布多款攻擊與 AI 操控相關工具，包括：

• PrivHunterAI：利用 Kimi、DeepSeek 與 GPT 模型檢測權限提升漏洞
• ChatGPTJailbreak：提供提示詞繞過 AI 安全限制
• banana_blackmail：Go 語言撰寫的勒索軟體
• InfiltrateX：權限提升漏洞掃描工具
• VigilantEye：監控資料庫敏感資訊外洩並透過企業微信告警

這些工具顯示其核心研究方向聚焦於：

1. AI 模型繞過（AI Jailbreaking）
2. 權限提升自動化
3. 攻擊鏈整合
4. 敏感資料監控與勒索能力

這已不是單點工具，而是一個 AI 攻擊能力的模組化武器庫。

與中國國安體系的潛在關聯

研究人員指出，Ed1s0nZ 與多個與中國政府相關的資安組織有互動紀錄，其中包含：

Knownsec 404

這家公司於去年遭到重大資料外洩，超過 12,000 份內部文件曝光，內容包含：

• 政府客戶資料
• 攻擊工具原始碼
• 南韓通話紀錄
• 台灣關鍵基礎設施相關資料
• 進行中的跨國網路行動細節

DomainTools 在今年 1 月分析指出，Knownsec 並非單純商業資安公司，而是「國家對齊型網路承包商」，可支援中國國安、情報與軍事目標。

其工具如 ZoomEye 與關鍵基礎設施目標庫，形同全球級偵察資料庫。

CNNVD 爭議與刻意淡化關聯

Ed1s0nZ 曾在 GitHub 上標示獲得中國國家資訊安全漏洞庫（CNNVD）二級貢獻獎，但近期已刪除相關資訊。

根據 Bitsight 研究：

• CNNVD 由中國國安部（MSS）管理
• CNVD 則由 CNCERT 管理
• 歷史研究（含 Recorded Future）指出，CNNVD 對高 CVSS 漏洞發布時間明顯延遲

這種延遲可能意味著高價值漏洞在公開前，已被國家層級利用。

從治理角度看，這是典型「漏洞情報軍事化」現象。

專業觀察：這代表什麼？

1.  AI 攻擊將快速普及化

CyberStrikeAI 為開源架構，一旦被威脅社群廣泛採用，攻擊門檻將急劇下降。

2. 攻擊鏈自動化程度大幅提升

弱點發現 → 漏洞利用 → 權限提升 → 資料外洩
將成為一條由 AI 驅動的流水線。

3. 國家級技術外溢風險增加

若工具確實與國家承包商生態系存在連結，則代表：

「國家級攻擊能力正逐步商品化與民間化。」

專業建議

面對 AI 驅動攻擊新時代，企業應：

• 假設已被掃描（Assume Continuous Recon）
• 強化外部攻擊面管理（EASM）
• 導入自動化弱點修補流程
• 監控異常 API 與 AI 互動流量
• 定期進行紅隊模擬與攻擊鏈驗證

因為現在的對手，不只是駭客。
而是「具備 AI 推理能力的攻擊系統」。

2026 年初，新加坡資安戰線全面升級。當局在偵測到針對全國電信基礎設施的高度精準攻擊後，迅速啟動代號 「Operation Cyber Guardian」 的全國級聯防行動，這也是新加坡歷來規模最大的協同資安防禦作戰。從資安專業角度來看，這起事件不僅是單一國家的資安事件，更是一個關於「國家級 APT 如何測試通訊命脈」的現代案例。

電信成為國家攻防焦點：UNC3886 精準鎖定四大電信

根據新加坡數位發展與資訊部長 Josephine Teo 公布，本次攻擊歸因於被視為中國相關背景的 APT 組織 UNC3886。攻擊行動同時瞄準新加坡四大電信業者——M1、Singtel、StarHub 與 Simba，顯示這並非隨機攻擊，而是一場針對關鍵通訊基礎設施的精密滲透行動。

從攻擊戰略觀察，電信網路是所有數位服務的骨幹，一旦失守，銀行、醫療、交通甚至國防指揮體系都可能受到連鎖衝擊。這也解釋了為何新加坡政府將此事件評估為「潛在比過去事件更嚴重」的國安級威脅。

零時差漏洞開門：APT 如何滲透核心系統

調查顯示，UNC3886 利用一個尚未公開、也尚無修補程式的 零日漏洞（Zero-day） 作為入侵突破口。部長形容，這就像是找到了一把「前所未見的鑰匙」，直接打開電信核心系統的入口。

在取得初始存取權後，攻擊者展現高度成熟的 APT 技術，包括：

• 滲透網路設備與虛擬化平台
• 進行橫向移動嘗試
• 竊取少量技術性資料
• 刻意清除數位鑑識痕跡以降低曝光

幸運的是，新加坡電信業者與主管機關在異常活動出現後迅速通報，並由 CSA、IMDA、數位與情報部門等六大政府單位組成超過百人的聯合防禦團隊，成功在攻擊深化前加以遏止。目前未發現服務中斷，也沒有證據顯示客戶敏感資料遭竊。

為何這起事件仍極具警示意義？

即使攻擊已被控制，這起事件仍凸顯一個重要現實：APT 攻擊的真正目標，往往不是立即破壞，而是建立長期滲透能力。

新加坡政府明確警告，電力、水資源與交通等關鍵基礎設施，同樣可能成為下一個目標。若攻擊進一步擴大，理論上攻擊者可能具備：

• 癱瘓電信與網路服務
• 中斷金融交易與醫療系統
• 影響交通與城市運作

換句話說，這不是單一產業的危機，而是一場針對現代智慧城市基礎的壓力測試。

國家級防禦模式：未來關鍵基礎設施的新常態

本次事件另一個值得觀察的重點，是新加坡展現的「國家級協同防禦模式」。政府與電信業者之間建立即時威脅情報共享、聯合演練與快速通報機制，成功縮短反應時間。

四大電信業者也指出，他們正面對從 DDoS、惡意程式到長期滲透攻擊的複合型威脅，因此已導入縱深防禦策略與快速修補流程，並持續與政府及產業夥伴合作強化韌性。

從資安專家視角看台灣：這不只是新加坡的問題

UNC3886 長期鎖定美國與亞洲的國防、科技與電信組織，且特別偏好攻擊網路設備與虛擬化環境。這些技術棧正是多數電信與大型企業的核心架構，意味著台灣及區域電信與關鍵基礎設施同樣面臨相似風險。

本次事件再次提醒企業與政府：

• 零日漏洞防禦能力將成為關鍵分水嶺
• 電信與網路基礎設施已成為 APT 首要戰場
• 即使未發生破壞，成功滲透本身就代表高風險

在現代資安戰場中，真正的威脅往往不是爆發當下，而是攻擊者已悄悄進入系統卻尚未被察覺的那段時間。

近期揭露的一起 Notepad++ 更新基礎架構入侵事件，不只是一宗單純供應鏈風險，更被多家研究單位研判，可能與中國背景的 APT 組織 Lotus Blossom（又名 Billbug） 有關。從攻擊手法與工具鏈來看，這是一場典型的國家級滲透行動：低調、精準、長時間潛伏，且高度聚焦特定目標。

事件最早可追溯至 2025 年 6 月。攻擊者並未入侵 Notepad++ 原始程式碼，而是成功滲透其託管服務商的基礎架構，攔截原本應送往 notepad-plus-plus.org 的更新流量。部分特定使用者在下載更新時，被選擇性導向攻擊者控制的伺服器，取得遭竄改的更新清單。這種「在傳輸路徑動手腳」的手法，正是近年供應鏈攻擊常見的高階策略。

根據調查，攻擊者先控制共享主機伺服器至 2025 年 9 月初，之後再利用竊得的內部憑證，持續操控更新流量，直到 12 月初才完全終止。整體入侵時間可能長達半年，顯示其滲透與維持存取能力相當成熟。

Rapid7 的進一步分析揭露，這次行動不只是流量劫持，更伴隨一套完整的惡意程式投遞鏈。攻擊流程從合法的 notepad++.exe 與更新程式 GUP.exe 開始，隨後下載一個可疑的 update.exe（NSIS 安裝包）。該安裝包會在隱藏的 AppData 目錄中釋放檔案，並透過改名的 Bitdefender 工具進行 DLL sideloading，最終載入一個全新後門程式，研究人員將其命名為 Chrysalis。

Chrysalis 具備完整遠端控制能力，包括指令執行、檔案傳輸與互動式 Shell，同時透過多層混淆、API Hashing 與加密設定隱藏行為。惡意程式還會建立持久化機制、蒐集系統資訊，並與遠端 C2 伺服器通訊，使攻擊者能長期掌控受害主機。

更值得關注的是，攻擊鏈中同時出現 Metasploit shellcode、Cobalt Strike beacon 以及濫用 Microsoft Warbird 的載入器，顯示其開發成熟且具備模組化架構。研究人員比對歷史樣本後發現，其 DLL sideloading 手法、改名的 Bitdefender 工具與 Cobalt Strike 金鑰等多項特徵，均與 Lotus Blossom 過往行動高度重疊。

Lotus Blossom 自 2009 年以來，長期鎖定政府、電信、航空與關鍵基礎設施組織，主要活動於東南亞與中美洲。本次事件顯示其能力持續演進：在保留傳統技巧的同時，導入多層載入器與未公開系統呼叫，提升隱匿性與存活能力。

從防禦角度來看，這起事件再次提醒企業：
供應鏈風險早已不侷限於程式漏洞，而是整個軟體交付與更新流程。
組織應強化更新來源驗證、監控異常更新行為、檢視 DLL sideloading 與未知安裝程式執行紀錄，並對更新流量進行完整性驗證與行為分析。同時，SOC 團隊也需將「更新流程異常」納入威脅狩獵指標，而非僅關注惡意檔案本身。

當攻擊者開始從「更新管道」下手，代表他們不再尋找單一漏洞，而是直接瞄準企業最信任的入口。能否看懂這類看似正常、實則被操控的更新行為，將成為下一階段供應鏈防禦的關鍵分水嶺。