2025 年 11 月初，中國知名資安企業「知道創宇」（KnownSec）──一家與中國政府關聯的資安公司──發生重大資料外洩事件。根據中國資安部落格MXRN 報導，約 12,000 份內部文件與敏感資料遭洩，事件曝光後迅速震撼國際資安圈。外洩內容不僅涵蓋一般企業內控文件，更包括國家支援的網路攻擊武器、跨平台滲透工具、遠端控制框架（C2），以及全球超過 80 個國家的攻擊目標清單，可謂罕見的「國家級資安透明瞬間」。

值得注意的是，根據美國國防部（U.S. Department of Defense, DoD）資料，知道創宇早在 2022 年 10 月 5 日就已被列入美國實體制裁名單，顯示其與中國政府的關聯。

知道創宇的戰略定位：中國網路安全體系核心節點

成立於 2007 年、2015 年獲騰訊投資的知道創宇，目前員工規模超過 900 人，業務涵蓋：

• 國家級網路防護專案
• 金融與大型企業安全監控
• 政府資訊安全建置
• 全球資產掃描與端點監測（ZoomEye）

ZoomEye 是一款類似 Shodan 或 Censys 的全球性搜尋引擎，它會列出每個主機的漏洞，官方宣稱在 7–10 天內可完成整個 IPv4 位址空間的掃描。

知道創宇不只是商業資安公司，而是中國國家網路攻防體系的重要延伸，負責支援官方情報與滲透作業。因此，本次事件的影響不僅限於企業層面，更涉及國家情報與戰略資安供應鏈完整性。

外洩資料揭示的攻擊能力與全球目標

1. 跨平台攻擊工具與滲透框架

外洩資料顯示，知道創宇維運多項攻擊模組與後門木馬，覆蓋主要作業系統：

其中知名攻擊框架 GhostX 包含：

• Un-Mail：郵件攔截與備份模組
• Wi-Fi 入侵與密鑰破解工具
• C2 遠端操控框架

此外，資料還揭示改造型行動電源等硬體竊取裝置，可在充電時蒐集資料並回傳伺服器，明顯屬國家情報級別裝備。

Un-Mail 是一款聲稱可以透過 XSS 漏洞破壞電子郵件帳號的工具

Windows 木馬/遠端控制

2. 全球攻擊與情報蒐集成果

外洩資料指向長期、系統化滲透作業，部分目標及資料如下：

其他目標國家包括日本、越南、印尼、尼日利亞、英國等 20 多個地區。

需特別注意的是，該名單所揭露的多為台灣關鍵邊緣設備，影響範圍不容小覷。目前尚難斷定這些資料僅屬偵察性質的「目標練習」紀錄，抑或已具備可直接利用的攻擊價值；無論哪種情形，這都顯示出涉案資料與工具可能被用於對外攻擊。

他們的客戶名單似乎也同樣令人印象深刻，顯示出與中國國家級單位存在往來:

據報導，整個資料集曾一度被上傳至 GitHub，但隨即因違反平台規定而遭刪除。我們將持續關注事件進展，並期望能公布更多細節。

台灣資安專家觀點：戰略意涵與防禦建議

從台灣角度觀察，此事件有以下重要啟示：

1. 台灣在攻擊目標清單內
   外洩資料中直接包含台灣道路、交通及基礎建設規劃資料，戰時可被用於阻斷補給、癱瘓民生系統、影響軍事部署。
2. 中國資安公司非純商業角色
   知道創宇的定位顯示，中國網路安全產業與情報系統高度整合，攻擊來源可能具完整產業化供應鏈。
3. 供應鏈已成新攻擊面
   不僅防火牆與端點，任何雲端服務、掃描器或 API 都可能成為滲透管道。
4. 防禦策略應從「事後事件回應」轉為「主動誘捕（Deception）」與「情資驅動」：
5. 建置以威脅情報（Threat Intel）為核心的治理架構，將情資嵌入偵測、回應與決策流程。
6. 採用持續誘捕（Continuous Deception / Adaptive Deception），透過偽裝資產與誘餌主動誘導攻擊者露出行為，以早期發現與攔截攻擊。
7. 結合或替代部分傳統威脅獵捕（Threat Hunting）作業，讓誘捕產生的高信度警示主導獵捕線索，提高效率並降低誤報。
8. 推行零信任供應鏈（Zero‑Trust Supply Chain），以最小權限、強化驗證與持續監控來減少第三方風險。
9. 主動偵測比被動防禦更重要
   不能只問「有沒有被攻擊？」而應問「攻擊已經存在多久？已滲透到哪裡？」

結語

知道創宇資料外洩事件，不僅揭露中國資安產業與國家級攻防體系的密切關聯，也提供了全球首度可見的攻擊工具與目標清單。對台灣而言，這是一個重要警示：我們既是目標，也是防禦者，唯有透過威脅情報驅動的防護與主動偵測，才能在日益複雜的網路攻防中保持安全與韌性。

這不是一場普通的資料外洩事件，而是一場中國國家級網路攻防能力的「不小心公開展示」，而台灣，正站在這場展示的最前線。

美國內華達州日前發布了一份極少見且高度透明的資安事故調查報告，詳細揭露 2024 年 8 月該州政府遭到勒索軟體入侵的完整攻擊過程、偵測與復原行動。
本次事件影響超過 60 個政府機構，包含網站、電話系統到多項民眾線上服務，一度大範圍中斷。但值得注意的是：內華達州並未支付勒索贖金，而是在 28 天內自行恢復了 90% 的關鍵系統。

此事件案例的透明度極高，是目前少見由政府自願公開的完整攻擊鏈紀錄，對所有公務單位、科技企業與關鍵基礎建設均具重要警示意義。

攻擊是如何開始的？——一則 Google 廣告成了入侵入口

報告指出，攻擊者最初於 5 月 14 日取得內網立足點，來源並非漏洞或釣魚郵件，而是：

一名 IT 人員在 Google 搜尋工具下載時，點到被惡意廣告引導的假網站，下載到被植入後門的系統管理工具。

這類攻擊手法稱為：

Malvertising（惡意廣告感染鏈）

近年威脅者經常偽裝常用的 IT 工具，例如：

• WinSCP
• PuTTY
• KeePass
• AnyDesk
• LogMeIn
  

目標不是一般用戶，而是擁有高權限的系統管理員。
攻擊者藉此直接獲得能橫向移動與提權的絕佳起點。

攻擊者在內網做了什麼？（攻擊鏈分解）

最關鍵的突破點發生在攻擊者成功存取了：

密碼保管庫（Password Vault）系統
取得 26 個高權限帳號憑證

這使他們能：

• 登入核心伺服器
• 清除事件日誌（隱藏痕跡）
• 進一步準備勒索軟體部署

8月24日-08:30（UTC）即台灣時間 16:30勒索軟體被全面觸發

內華達州政府的虛擬機伺服器群組同時被加密，系統全面中斷。

為什麼沒有支付贖金？——「花加班費，也不給駭客一毛錢」

內華達州選擇不談判、不付費，而是：

• 啟動既定資安應變手冊（Incident Response Playbook）
• 由 50 名內部人員加班 4,212 小時
• 以加班費 USD $259,000 成本完成系統修復

若改由外包廠商處理，依市場標準費率 成本將高出約USD $478,000。

同時，事件期間仍確保：

• 公務員薪資正常發放
• 公共安全通訊不中斷
• 民眾服務逐步恢復

本案揭示的三大資安教訓

1. 組織必須強化「假設已遭入侵」的安全思維

即使端點防毒有偵測後門，攻擊者仍能留存持續性存取。
→ 零信任、持續監控、欺敵誘捕必須到位。

2. 密碼保管庫與高權限帳號是攻防核心

攻擊者獲取 Vault 即可繞過所有邊界控制。
→ 密碼庫、AD、身分存取治理（IAM / PAM）是優先防守重點。

3. 備援機制絕不能只看備份本身

備份被刪除後，復原會直接陷入停擺。
→ 備份需離線隔離、Immutable Storage、定期演練還原流程。

結語｜透明，才是最佳資安治理典範

內華達州此份報告的價值在於：

不粉飾、不隱瞞、完整揭露每一步攻擊細節。

這不只是事件復原，而是一份：

• 組織韌性（Cyber Resilience）的成功展示
• 政府與社會建立信任的重要示範
• 所有企業與政府機關都必須參考的資安治理教材

面對日益成熟的勒索生態鏈，我們更需要：

• 更快的偵測能力
• 更好的身分與權限管理
• 更嚴格的備援策略
• 更真實、不避諱的事後檢討文化

近期資安研究揭露，一支與中國有關的駭客組織 Storm-1849（又稱 UAT4356）正大規模鎖定 Cisco Firewall 裝置，特別是全球政府、國防機構與大型企業網路環境中廣泛部署的 Cisco ASA（Adaptive Security Appliance）。
這類設備不只是防火牆，它同時承擔 VPN 存取控管、流量檢查、入侵防護 等多重安全角色，一旦遭到入侵，就等同讓攻擊者突破「安全閘口」，直接接觸到內部敏感系統。

威脅輪廓：從美國政府到全球組織

根據資安媒體 Hackread的報道 ，Palo Alto Networks Unit 42 公布，這波攻擊行動自 2025 年 10 月持續至今，目標遍及：

• 美國聯邦政府
• 美國州與地方政府機關
• 軍事及國防承包商
• 金融業
• 歐洲與亞太多國政府與企業

更有趣的是，研究人員觀察到攻擊行動在 10 月 1–8 日短暫停歇，恰好與中國的「國慶黃金週」假期一致，這也成為外界懷疑背後與中國相關的重要線索之一。

受攻擊國家包括：印度、日本、澳洲、英國、法國、挪威、荷蘭、西班牙、波蘭、阿聯、尼日、阿塞拜然、不丹……範圍相當廣泛。

結論很明確：這不是單一國家事件，而是全球攻擊行動。
邊界設備（Edge Devices）已成為主要戰場。

攻擊手法：串聯兩項已知漏洞，取得長期控制權

駭客利用了 Cisco ASA 中兩個已知弱點，並進行漏洞串聯攻擊：

兩者搭配後，攻擊者能：

• 取得系統層級控制權
• 植入持久化存取（即使重開機或更新也無法移除）
• 修改設定，引導流量或竊取加密內容

也就是說，即使你「更新了系統」或「重開機防火牆」，入侵仍可能不會消失。

官方已發布緊急要求，但攻擊仍在持續

美國網路安全與基礎架構安全局（CISA）已於上月發布 緊急通告，要求所有聯邦機構立即修補 Cisco ASA 裝置。

然而，Unit 42 的研究顯示，許多組織仍未完全修補或仍持續遭到入侵嘗試。

資安專家建議：修補只是起點，不是終點

1. 立即修補（Patch Now）

如果機構仍在使用 Cisco ASA：

• 確認版本是否已修補上述兩個 CVE
• 若未修補，請 優先處理

2. 假設已遭入侵（Assume Compromise）

即使已修補，也應進行：

• 完整設定重置（Factory Reset）
• 重新產生所有密鑰、金鑰、VPN 憑證
• 檢查是否存在不明使用者或 ACL 規則

3. 加強邊界設備防護策略

• 不要只把防火牆當成「門口保全」
• 應以 零信任（Zero Trust） 思維重新檢視邊界控管
• 包含 記錄審查、異常行為偵測、存取行為基線化監控

結語：邊界設備的戰場化，已成既定事實

傳統上，我們常以為攻擊者會直接「攻進內網」或「社交工程到權限帳號」。
但這次事件再次證明：

駭客不再從裡面打，而是直接攻擊看守入口的安全設備本身。

對政府、國防、金融等高價值組織而言，
邊界設備的安全，已經不是「網路設備管理」層級的問題，而是國家級資安策略問題。

美國網路安全暨基礎建設安全局（CISA）於本週一正式將 五項安全漏洞 納入其「已知被利用漏洞（Known Exploited Vulnerabilities, KEV）」目錄中，當中包含近期被揭露、影響 Oracle E-Business Suite (EBS) 的嚴重漏洞，並確認該漏洞已在真實攻擊事件中遭到武器化利用。

CVE-2025-61884：Oracle EBS 關鍵 SSRF 弱點已被武器化利用

此項漏洞編號為 CVE-2025-61884（CVSS 評分：7.5），屬於 Oracle Configurator Runtime 組件中的伺服器端請求偽造（SSRF）漏洞。成功利用後，攻擊者可在未經授權的情況下，遠端存取並竊取關鍵資訊。
CISA 指出：「此漏洞可被遠端未經驗證者直接利用，風險等級高。」

該漏洞是 Oracle EBS 近期第二個確認被攻擊者利用的漏洞。先前的 CVE-2025-61882（CVSS 9.8）更嚴重，允許未經驗證的攻擊者在易受影響的系統上執行任意程式碼。

根據資安媒體《The Hacker News》的報道，Google Threat Intelligence Group (GTIG) 與 Mandiant 的調查，已有數十家企業疑似受害於 CVE-2025-61882 的惡意利用行動。GTIG 資深安全工程師 Zander Work 向《The Hacker News》表示：「目前尚無法將特定攻擊行為歸屬至某個特定威脅行為者，但觀察到的部分攻擊跡象顯示，這些行動可能與 Cl0p 勒索組織 有關。」

Oracle 已於近日緊急發布 安全公告 (Security Alert CVE-2025-61884)，針對 E-Business Suite 12.2.3–12.2.14 版本 推出修補程式。
Oracle 首席安全長 Rob Duhart 表示：「此漏洞若遭成功利用，可能使攻擊者存取敏感資源。建議所有使用者應立即部署更新，以降低資料外洩風險。」

其他新增至 KEV 的四項漏洞

除 Oracle 外，CISA 此次同時將 Microsoft、Kentico、與 Apple 等產品的四項漏洞列入 KEV 目錄：

1. CVE-2025-33073（CVSS 8.8）
   • 影響產品：Microsoft Windows SMB Client
   • 類型：權限提升（Improper Access Control）
   • 狀況：若 SMB 簽章未強制啟用，攻擊者可透過「Reflective Kerberos Relay Attack（又稱 LoopyTicket）」取得網域控制權限。
   • 修補狀態：Microsoft 已於 2025 年 6 月修補。
2. CVE-2025-2746（CVSS 9.8）
   • 影響產品：Kentico Xperience CMS
   • 類型：認證繞過（Authentication Bypass）
   • 攻擊方式：利用 Staging Sync Server 處理空白 SHA1 使用者名稱的缺陷，可取得管理端控制權限。
   • 修補狀態：2025 年 3 月修補。
3. CVE-2025-2747（CVSS 9.8）
   • 類型：認證繞過（Authentication Bypass）
   • 攻擊方式：利用 Staging Sync Server 處理「None」型別密碼設定的漏洞，可完全控制系統管理物件。
   • 修補狀態：2025 年 3 月修補。
4. CVE-2022-48503（CVSS 8.8）
   • 影響產品：Apple JavaScriptCore
   • 類型：陣列索引驗證錯誤（Improper Validation of Array Index）
   • 後果：在處理惡意網頁內容時，可導致任意程式碼執行。
   • 修補狀態：Apple 已於 2022 年 7 月修補。

上述三項（CVE-2025-33073、CVE-2025-2746、CVE-2025-2747）分別由 Synacktiv 與 watchTowr Labs 的研究人員揭露，並由 GuidePoint Security、CrowdStrike、SySS GmbH、RedTeam Pentesting、Google Project Zero 等多方共同驗證。

修補時限與安全建議

根據 CISA《作業指令 BOD 22-01：降低已知被利用漏洞的重大風險》，
聯邦民政行政機構 (FCEB) 必須於 2025 年 11 月 10 日前 完成修補，以防範這些漏洞遭持續性威脅行為者利用。

CISA 同時建議 民間企業與金融機構 應參照 KEV 目錄，立即審視自身環境中的受影響系統，並儘速部署修補程式，以防範後續針對 Oracle、Windows、Kentico 或 Apple 產品的針對性攻擊。

專家觀點

此次 KEV 更新顯示出兩項趨勢：企業級應用平台（如 Oracle EBS）正逐漸成為攻擊焦點。 攻擊者偏好能提供大規模數據接取權限的業務核心系統，藉此進行資料竊取或供後續勒索行動使用。 跨供應鏈漏洞利用趨勢升溫。 攻擊者往往透過 CMS、Windows SMB 或 Web 組件等跨平台弱點滲透，再橫向移動至高權限環境。

從資安防禦角度而言，除及時修補外，建議組織採取以下措施：

• 部署 SSRF 防護與 WAF 規則更新；
• 強化 SMB 簽章與 Kerberos 驗證政策；
• 審查 CMS 及第三方外掛 權限設定；
• 建立 威脅情報（Threat Intelligence）監控機制，及追蹤 KEV 新增項目。

全球知名美國資安公司 F5 Networks 於本週三（10 月 15 日）正式披露，一起重大入侵事件導致 BIG-IP 產品的部分原始碼與尚未公開的漏洞資訊外洩。F5 指出，這起攻擊由「高度成熟的國家級駭客組織」所策劃，該組織長期、隱密地滲透其內部網路系統。

F5 在提交給美國證券交易委員會（SEC）的 8-K 文件 中表示，公司於 2025 年 8 月 9 日發現此事件，並依美國司法部（DoJ）要求延後公開，以配合執法單位調查。

「我們已採取全面行動以控制威脅，並在封鎖行動後未再觀察到新的未授權活動，初步認為威脅已被成功遏止。」——F5 官方聲明

■ 入侵範圍與影響

F5 並未透露駭客取得存取權限的時間長度，但強調目前沒有跡象顯示相關漏洞已被利用於實際攻擊。公司也確認，CRM、財務系統、支援案例管理平台與 iHealth 系統未受影響。

然而，部分自知識管理平台遭外洩的檔案中，可能包含少數客戶的組態或實作資訊。F5 表示將在完成審查後，主動通知受影響客戶。

為降低風險，F5 已委託 Google Mandiant 與 CrowdStrike 協助進行事件調查與威脅狩獵，同時：

• 更換所有憑證、簽章金鑰與帳密；
• 強化開發環境與內部網路存取控制；
• 部署更高層級的威脅監控工具；
• 重新設計產品研發環境的安全防護機制。

F5 呼籲所有使用者立即更新 BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ 與 APM 客戶端 至最新版本，以確保防護完整。

■ 美國政府緊急應對：CISA 發佈指令

隨著事件曝光，美國 網路安全暨基礎設施安全局（CISA） 立即發布 緊急指令 ED 26-01，要求聯邦文職行政機關：

1. 清查所有 F5 BIG-IP 產品；
2. 確認管理介面是否暴露於公網；
3. 於 2025 年 10 月 22 日前 安裝 F5 最新修補程式。

CISA 指出，國家級駭客已竊取 BIG-IP 的專有原始碼與漏洞細節，可能取得足以開發針對性漏洞利用程式的技術優勢，對聯邦機構構成「迫切威脅」。

該機構警告，此入侵可能讓攻擊者進行靜態與動態程式分析，進而找出尚未公開的邏輯缺陷與零時差（Zero-Day）漏洞。CISA 也要求所有單位加強公開服務設備的防護、隔離已終止支援的設備，並修補 BIG-IP Cookie 洩漏漏洞。各機構須於 10 月 29 日晚間 11:59（美東時間） 前回報完整清查與應變結果。

■ 駭客背景：疑似中國關聯團體 UNC5221 操控

根據 Bloomberg 的報導，攻擊者在 F5 內部網路中潛伏至少 12 個月，並使用名為 BRICKSTORM 的惡意程式家族進行滲透。該惡意程式被歸因於一個具中國背景的間諜組織 UNC5221。

Mandiant 與 Google 威脅情報團隊（GTIG）早於 9 月指出，UNC5221 及相關團體近期針對美國法律服務業、SaaS、BPO 與科技公司發動入侵行動，以植入 BRICKSTORM 後門程式。

■ 專家觀點：未公開漏洞被竊將加速攻擊開發

根據 TheHackerNews 的報導，Palo Alto Networks Unit 42 威脅情報主管 Michael Sikorski 指出，駭客若僅竊取原始碼，通常需要時間分析可被利用的弱點；但在本案中，攻擊者同時取得了 尚未修補的漏洞資訊，風險顯著升高。

他補充：「這將使攻擊者得以在公開修補前，快速開發漏洞利用工具。F5 本季公布的漏洞數量高達 45 件，相較上季僅 6 件，顯示公司正全力封補被竊取的弱點，以搶在駭客利用前完成修復。」

■ 專家結語：供應鏈資安風險再度升溫

F5 事件再次凸顯 軟體供應鏈安全的脆弱性。對企業而言，防禦不僅止於端點或網路邊界，更需關注第三方供應商的開發與維運環境。
建議企業：

• 立即更新所有 F5 相關產品；
• 審視內部與外部連線的權限控管；
• 建立供應鏈風險監測機制與零信任架構；
• 主動導入威脅情報與行為分析監控，偵測潛在的長期滲透活動。

F5 的資安事件是全球企業應警惕的一記警鐘——當攻擊者將焦點轉向核心基礎架構供應商，任何環節的鬆懈，都可能成為整個網路防禦體系的破口。

2025 年 10 月，美國司法部(The US Department of Justice)與 FBI 聯手法國網路犯罪中央局（BL2C）及巴黎檢察官辦公室，成功查封與駭客組織 Scattered Lapsus$ Hunters有關的最新 BreachForums 網域。
這場跨國執法行動，不僅代表當局對長期橫行於駭客圈的「資料販售帝國」再度出手，更揭示了網路犯罪從「論壇交易」到「勒索壓迫」的新演化階段。

BreachForums：從駭客論壇到勒索平台的轉型

BreachForums 的歷史可追溯至 2022 年，最初作為知名駭客論壇 RaidForums 的繼任者，由駭客「Pompompurin」（本名 Conor Brian Fitzpatrick）創立，曾是全球最大規模的外洩資料交易平台之一。
然而，隨著 Fitzpatrick 於 2023 年遭到逮捕、2025 年再度被判刑三年，論壇多次易手並被重啟。到了今年七月，ShinyHunters 重新開啟的版本已不再是傳統的駭客論壇，而是一個專門針對 Salesforce 企業客戶進行勒索與資料外洩的「明網（clearnet）勒索平台」。

這次 FBI 查封的正是該平台的明網網域——breachforums.hn。
目前該頁面已被美法兩國政府的查封公告取代，但與之對應的暗網（onion）版本仍在運作，顯示執法單位可能僅掌握部分後端基礎設施。

FBI滲透行動：暗網也不再是避風港

當 BreachForums 明網版本被查封時，駭客在 Telegram 上發出挑釁訊息：

“Seizing a domain does not really affect our operations, FBI… try harder ;)”語氣滿是嘲諷。但不久後，他們的頻道突然被鎖定，成員「失聯」、群組陷入混亂。
顯然，這場「網上叫囂」的背後，FBI 的滲透已經深入。

ShinyHunters 隨後公開一則 PGP 簽章訊息，承認所有 BreachForums 網域與伺服器被奪走、資料庫「遭摧毀」，甚至懷疑 FBI 直接入侵後台、控

制整個基礎架構。這意味著連暗網，也不再是駭客的避風港。然而，他們同時宣稱：「這次查封不影響我們的 Salesforce 攻擊行動。」

駭客更在訊息中表示，若目標企業未在截止期限前付款，將於 美東時間 10 月 10 日晚上 11:59 公開超過 10 億筆 Salesforce 外洩資料。
受害名單疑似包括國際知名企業如 萬豪、谷歌、思科、豐田、Gap、Qantas、Disney、McDonald’s、UPS 等。
Salesforce 已公開表態拒絕支付贖金，意味著這場「資料倒數計時」恐怕只是時間問題。

法網恢恢：執法的勝利與駭客的困獸之鬥

這次的 BreachForums 查封並非孤立事件，而是國際執法部門長期追擊的結果。
事實上，自今年六月法國警方在巴黎逮捕包括 ShinyHunters、Hollow、Noct、Depressed 等主要管理員後，駭客社群內部便開始懷疑 BreachForums 已遭滲透，甚至成為執法單位的「蜜罐（honeypot）」。

Sophos 的資安專家 Aaron Bugal 在評論中指出：

「雖然這次行動暫時擾亂了駭客的節奏，但這只是長期戰中的一小步。執法單位正持續緊逼，他們的藏身之處越來越少。」

專家觀點：從這起事件看網路犯罪的下一步

這起事件對資安專業人士而言，帶來三項深刻啟示：

駭客模式正在轉變

從論壇販售（marketplace model）轉向勒索壓迫（extortion model），駭客不再依賴仲介，而是直接威脅企業、透過「清網＋暗網雙軌」曝光資料，提高心理壓力與公關風險。

執法行動變得更具滲透性

此次查封不僅是「封網域」，更疑似包括滲透後台伺服器與掌握資料庫存取權，顯示執法單位在技術層面的滲透與情報合作能力大幅提升。

企業應強化社交工程防線

ShinyHunters 與 Lapsus$ 長期擅長以社交工程手法滲透企業內部帳號體系，例如誘騙客服、攻擊供應鏈或利用外包人員登入系統。這提醒企業：防線不僅在技術，更在人員教育與權限控管。

結語：暗網的神話，終將崩塌

當駭客組織以為「換個網域、轉進暗網」即可逃過追緝，FBI 與國際執法單位正一步步證明——網路犯罪並非無法可管的灰色地帶。
每一次的查封與逮捕，都是對地下世界的一次滲透與揭露。

對企業而言，真正的防禦不是等待攻擊發生後修補漏洞，而是建立「持續可驗證的安全韌性」。
因為在這場沒有硝煙的戰爭中，攻擊者不會停手，而防禦者也不該再被動。

Reference: https://www.cyberdaily.au/security/12753-fbi-seizes-clear-web-domain-linked-to-scattered-lapsus-hunters