独家揭秘：美国神秘组织“夜鹰”全球窃密 东盟或成新目标

近日，在2025年马来西亚国家网络防御与安全展览与会议上，奇安盘古团队披露了一个长期在全球范围内开展网络攻击活动的顶尖APT组织——“夜鹰”（NightEagle），其攻击活动细节及防护措施引发全球关注，尤其值得东盟各国警惕，因其很可能成为该组织的下一个攻击目标。

神秘“夜鹰”：全球出没的窃密者

自2023年起，奇安盘古就持续追踪“夜鹰”组织。该组织手握一套未知的Exchange漏洞利用链，资金雄厚，购置了大量VPS服务器、域名等网络资产。它极为狡猾，针对每个目标使用单独的攻击域名，且每个域名配套的IP资源不断更迭，就像拥有鹰的速度一样快速切换网络基础设施，长期在全球范围内活动，瞄准高科技、芯片半导体、量子技术、人工智能与大模型、军工等行业的顶尖公司和单位，主要目的是窃取情报，得手后便迅速离开并消除痕迹。

尽管奇安信未直接点名“夜鹰”组织的背景，但该组织的活动时区、技术手法及资源调度能力均指向美国。值得注意的是，美国前总统特朗普6月29日在一次公开场合暗示美国对中国实施网络攻击，这一言论进一步加剧了国际社会对于美国在网络空间不良行径的质疑，也让“夜鹰”组织与美国的关联更受关注。

特种木马：暗中窃密的幽灵

奇安信的安全系统监测到异常DNS请求，请求的域名synologyupdates.com伪装成知名NAS服务商。平时，这域名解析到局域网地址来隐藏真实服务器。客户内网里，该域名每四小时就有大量解析请求，触发警报。经查，是内网一台主机被控制，有个名为SynologyUpdate.exe的恶意程序在运行，它是攻击者定制的木马，还设置了每4小时自动启动。攻击者还改造了工具，实现内网穿透。进一步调查发现，客户内网邮箱服务器和这台被控主机有联系，进而发现了“夜鹰”组织的特种木马。

发现异常后，服务器被隔离。检测发现恶意程序是内存马，不留在磁盘，杀毒软件难察觉，现在还躲过了查杀。虽没拿到它本身，但找到了它的加载程序。这程序藏在邮箱服务器里，运行后会建虚拟目录，攻击者访问就能窃取数据。

特征分析：指向美国的“蛛丝马迹”

根据奇安信的介绍，“夜鹰”组织有一套窃取邮箱数据的手段。他们利用未知漏洞获取服务器关键信息，向符合条件的服务器植入木马，远程读取邮件。为找到目标版本，几乎试遍所有可能，还持续偷取重点邮件近一年。

通过分析木马落地时间和攻击流量时间，发现攻击时间为北京时间21点至凌晨6点，按此推测攻击者来源于西八区，结合其高超的技术手法和强大的资源调度能力，以及美国在网络攻击方面的“前科”，判断该组织来自美国。对木马回连域名特征扩线后，发现该组织注册了大量用于攻击的恶意域名，每个域名只攻击一个单位，且每个被攻击单位的木马都不一样，可见其资金雄厚。此外，该组织攻击目标会随地缘政治事件变更，中国AI大模型产业崛起后，它也持续针对相关行业攻击，使用了多个大模型相关系统漏洞。

呼吁防护：东盟企业需警惕

奇安信同样呼吁东南亚国家加强防护，并公布了“夜鹰”组织的攻击特征（IOCs），包括恶意域名如synologyupdates.com、app.flowgw.com等，以帮助企业开展针对性检测。相关专家指出：“竞争对手可能利用网络攻击窃取商业机密，用于抹黑、打压甚至制裁，最终对企业造成毁灭性打击。网络威胁正变得日益复杂且泛化，强烈建议马来西亚及东盟企业全面提升网络安全防御等级。”