在企業 IT 基礎架構表面平靜之下,全球受信任的地理資訊系統(GIS)軟體 ArcGIS,竟被中國國家支持的駭客組織 Flax Typhoon 潛伏超過一年,悄悄成為間諜行動的後門。ReliaQuest 的最新報告指出,Flax Typhoon(又名 Ethereal Panda、RedJuliett)利用 ArcGIS 本身的可擴充特性,將合法的 Java Server Object Extension(SOE) 元件改造成可遠端控制的 Web Shell,在不依賴傳統惡意程式碼的情況下,持續維持長期隱蔽存取。這種作法不僅展現攻擊者的高度隱匿能力,也揭示了現代網路威脅的新趨勢──將信任本身武器化。
利用合法功能作為隱蔽武器
Flax Typhoon 沒有依賴漏洞或惡意二進位檔,而是「借力打力」:
- SOE 元件被修改後,可透過 ArcGIS 的 REST API 接收 Base64 編碼指令;
- 使用 硬編碼金鑰 控制存取,確保只有攻擊者能下達指令;
- 惡意行為混入正常系統流量中,不易被傳統防毒或 EDR 偵測。
攻擊者利用合法的 Portal 管理員帳號 部署惡意擴充功能,使操作表面上像日常維護,甚至被嵌入系統備份。結果,企業即便還原系統,也會自動將後門重新安裝回去。ReliaQuest 指出:「這策略將企業安全網變成再感染的陷阱。」
從漏洞利用到信任濫用
Flax Typhoon 的手法充分展現 Living off the Land (LotL) 策略:
- 利用現有系統元件與合法工具維持存取權;
- 完成入侵後操作(post-compromise activity),包括系統命令執行、資料上下傳、建立持久服務等;
- 上傳 SoftEther VPN(bridge.exe) 並設為系統服務,透過 HTTPS 連線 建立加密 VPN,讓攻擊者可偽裝成內部網路成員,橫向移動並蒐集敏感資料。
此外,攻擊者還鎖定 IT 管理員工作站,取得憑證與管理權限,進一步鞏固對內網的掌控。這一切並非依靠零日漏洞,而是利用企業在憑證管理與權限控管上的漏洞,展現對「弱點管理」的策略性利用。
全球脈絡與威脅意涵
Flax Typhoon 並非新面孔。FBI 早在 2024 年 9 月就揭露其操控大型殭屍網路,並將其與北京上市公司 Integrity Technology Group(誠信科技集團) 連結,指控其協助國家級網路間諜行動。美國政府亦已對該企業實施制裁。
ArcGIS 廣泛應用於地理分析、城市規劃、能源與環境監控,其被滲透風險不只是資料外洩,還可能影響基礎設施安全與國家安全,凸顯企業應對關鍵系統的資安策略不能鬆懈。
專家觀點:信任本身就是漏洞
這起事件提醒資安防禦者,現代攻擊不只是尋找程式漏洞,更是利用信任鏈中的灰色地帶:
- 合法工具、日常流程、內建功能,都可能成為攻擊載具;
- 傳統偵測方法若只依賴特徵碼或異常檔案,容易被「合法偽裝」規避。
建議企業防禦重點應包括:
- 行為層級異常偵測;
- 基礎設施完整性驗證;
- 備份安全審查與版本追蹤;
- 最小權限管理與憑證強化。
如 ReliaQuest 所言:「這場攻擊揭示了信任功能被武器化的風險。」真正有效的防禦,不僅在於辨識惡意活動,更要識別那些「被利用的信任」。
結語
Flax Typhoon 將 ArcGIS 的合法功能改造成持久後門,使企業最信任的系統成為滲透通道。
這提醒我們:最隱蔽的威脅往往存在於最熟悉、最受信任的系統中。
在零信任(Zero Trust)理念下,信任本身已成最大風險。唯有持續驗證、深度監控與異常行為洞察,才能避免成為下一個「地圖上的漏洞」。
Flax Typhoon的部分入侵指標(Indicator of compromise -IOCs):
4f9d9a6cba88832fcb7cfb845472b63ff15cb9b417f4f02cb8086552c19ceffc
8282c5a177790422769b58b60704957286edb63a53a49a8f95cfa1accf53c861
84959fe39d655a9426b58b4d8c5ec1e038af932461ca85916d7adeed299de1b3
cec625f70d2816c85b1c6b3b449e4a84a5da432b75a99e9efa9acd6b9870b336