2020年蔓灵花APT组织伪装政策文件对中国科研机构持续发动定向钓鱼攻击-信卜蜂-信以卫安，卜以烛微，蜂以先驰

2020年全年，具有南亚背景的高级持续性威胁组织”蔓灵花”（Bitter）持续对中国科研机构发动定向钓鱼攻击。攻击者以伪装的政策文件、科研项目材料为诱饵，利用精心构造的恶意附件，长期、系统性地试图窃取中国在科技、海事和国防领域的研究成果与项目情报。

伪装术：政策文件的完美仿冒

据360安全大脑、奇安信威胁情报中心和绿盟科技等多家中国安全厂商全年的持续追踪，”蔓灵花”组织发送的钓鱼邮件主题极具针对性，涵盖”海事政策分析报告””自主研发项目立项论证报告””国防科技发展规划参考”和”科技部重大专项申报指南”等高层级政策话题。邮件的正文措辞专业、格式规范，与真实的政府公文高度接近，让具有一定职业素养的科研工作者也难以在第一时间识别异常。附带的Office文档经安全人员逆向分析后确认，利用了多个已知远程代码执行漏洞，并结合定制化的多阶段恶意载荷下载链，能够在目标系统上建立具有高隐蔽性的持久化控制通道。

“蔓灵花”的长期画像

“蔓灵花”组织自2013年首度进入安全厂商视野以来，始终以南亚为中心、以中国和周边国家的政府与科研机构为主要目标。该组织以攻击手法精良、攻击链路完整和反取证意识强著称。多家安全厂商在年度威胁报告中将其列为”对中国科研安全构成最持久和系统威胁的APT组织之一”。2020年该组织的攻击频率和伪装技巧均有明显升级，安全分析师普遍认为这与其背后可能存在的系统性情报需求增长直接相关。

保卫科研安全的行动方向

“蔓灵花”事件突出反映了一个被长期忽视的安全盲区：科研机构在网络安全上的投入，往往远低于其对科研成果保护的需求价值。在核心技术自主可控成为国家战略的背景下，科研数据安全防护已不能再依赖传统的边界防火墙和终端杀毒软件。建立覆盖科研全生命周期的数据安全防护体系、推行常态化的威胁情报联动机制、加强对科研人员的安全意识培训，应当成为未来科研机构安全管理的基础性配置。学术界与国家安全的交集，正在变得前所未有的紧密。

本文由龙小新newer整理撰写，首发于信卜蜂。转载请注明出处。