APT威脅的持續演進

針對特定地理區域和語言群體的惡意活動，已成為現代網路威脅的重要組成部分。近年來，一個代號為Dragon Breath的威脅行為者，持續對東南亞及大中華地區的中文使用者發起高度複雜且不斷進化的攻擊。其最新的行動揭示了針對終端安全產品進行深度規避和客製化攻擊的趨勢，旨在癱瘓防禦並部署具備持久化能力的遠端存取木馬（RAT）。

Dragon Breath威脅行為者概況

Dragon Breath，又名 APT-Q-27 和 Golden Eye，此前曾於 2023 年 5 月被 Sophos 重點關注，當時它發起了一項利用名為“雙重 DLL 側加載”的技術的攻擊活動，攻擊目標是菲律賓、日本、台灣、新加坡、香港和中國的用戶。該組織活躍時間至少可追溯至2020年，並被認為與一個名為Miuuti Group的中文駭客實體有關聯，該團體尤其以攻擊線上博弈和賭博產業而聞名。他們的戰術特點是高度針對性、善用本地化誘餌，並不斷採用冗餘的規避技術。

RONINGLOADER：多階段載入器的規避機制

名為Dragon Breath的威脅行為者被發現使用代號為 RONINGLOADER 的多階段載入器來傳播名為 Gh0st RAT 的遠端存取木馬的修改版本。據 Elastic Security Labs 稱，該攻擊活動主要針對講中文的用戶，利用偽裝成 Google Chrome和 Microsoft Teams 等合法程式的木馬化 NSIS 安裝程式。

RONINGLOADER 的感染鏈採用了複雜的多階段傳輸機制，嵌入了多種規避技術和冗餘措施，旨在癱瘓中文市場流行的終端安全產品。

RONINGLOADER 除了嘗試透過載入全新的「ntdll.dll」來移除任何使用者空間鉤子之外，還會嘗試使用runas命令提升其權限，並掃描正在運行的進程列表，查找硬編碼的防病毒相關解決方案，例如 Microsoft Defender Antivirus、金山網路安全特警、騰訊管家和奇虎360安全衛士，惡意軟體隨後會終止這些已識別的進程。

核心規避戰術：破壞終端防護

RONINGLOADER的複雜性體現在其針對安全軟體採取了多層次的破壞手段。針對不同的安全產品，它採取了客製化的終止流程：

• 針對奇虎360的特殊處理： 一旦受感染主機上的所有安全進程都被終止，RONINGLOADER就會執行批次腳本來繞過使用者帳戶控制 (UAC)，並建立防火牆規則來阻止與奇虎 360 安全軟體相關的入站和出站連線。此外，它還利用PoolParty技術將惡意Shellcode注入到Volume Shadow Copy (VSS) 服務進程(vssvc.exe)中，並載入一個名為ollama.sys的合法簽章驅動程式，透過暫時性服務來執行進程終止。

• 濫用PPL與WDAC： 惡意軟體被觀察到利用此前曝光的技術，透過濫用「受保護進程輕量級」（PPL, Protected Process Light）機制和Windows錯誤報告系統（WerFaultSecure.exe，亦稱EDR-Freeze）來禁用Microsoft Defender Antivirus。同時，它還修改Windows Defender應用程式控制（WDAC）策略，寫入惡意的策略來明確阻止奇虎360和火絨安全等中文安全廠商的產品運行。

載入器的最終目的是將一個惡意DLL注入到合法的Windows二進位檔案regsvr32.exe中以隱藏其活動，並將下一階段的酬載注入到高權限的系統進程如TrustedInstaller.exe或elevation_service.exe中。

Gh0st RAT：最終酬載的遠端操控能力

RONINGLOADER最終部署的是Gh0st RAT的修改版本。這是一種具備全面監控和遠端控制能力的木馬，旨在與遠端伺服器進行通訊以下載額外的指令。該木馬的變種功能包括配置Windows登錄檔金鑰、清除Windows事件日誌、從提供的URL下載並執行檔案、更改剪貼簿數據、透過cmd.exe運行命令、將Shellcode注入svchost.exe，以及執行落盤的酬載。該惡意軟體還實施了一個專門模組，用於捕獲擊鍵、剪貼簿內容和前景視窗標題，對受害者隱私構成嚴重威脅。

品牌假冒與分發策略的雙重進化

與Elastic的報告同時發布的還有Palo Alto Networks Unit 42的發現，他們識別了兩個相互關聯的惡意軟體活動（Trio和Chorus），這些活動同樣利用大規模的「品牌假冒」來向中文使用者發送Gh0st RAT。

• 活動Trio（2025年2月至3月）模仿了i4tools、Youdao和DeepSeek等應用程式，利用超過2000個域名進行分發。

• 活動Chorus（2025年5月）更加複雜，模仿了包括QQ Music和搜狗瀏覽器在內的40多種應用程式。

從Trio到Chorus，攻擊者從簡單的傳輸器進化到了複雜的多階段感染鏈，濫用合法簽章的軟體來繞過現代防禦。此外，Chorus活動還採用了複雜且難以捉摸的感染鏈，利用中介重定向域名從公共雲服務儲存桶獲取壓縮檔案，從而規避了能夠阻止來自未知域名流量的網路過濾器，顯著提高了攻擊者的營運韌性。

多重基礎設施並行：成本效益與戰術測試

研究人員表示：新舊基礎設施並行運行且持續開展活動，表明該行動不僅在不斷演進，而且同時涉及多種基礎設施和不同的工具集。這可能意味著對戰術、技術和程序 (TTP) 進行 A/B 測試，針對不同複雜程度的受害者群體，或者僅僅是一種成本效益策略，即只要舊資產仍然有效，就繼續利用它們。

這種並行運作的策略表明了Dragon Breath組織的成熟度，他們能夠同時執行多個複雜的攻擊線路，以確保其惡意行動的持久性和成功率。

複雜威脅下的防禦挑戰

Dragon Breath的攻擊行動充分展現了當前APT組織在終端安全規避方面的技術高度和針對特定市場的客製化程度。RONINGLOADER所採用的複雜技術，從PPL濫用、WDAC策略篡改，到客製化的安全產品進程終止，對終端防護和威脅獵捕團隊構成了重大挑戰。企業和使用者必須意識到偽裝成合法應用程式的木馬化安裝程式所帶來的巨大風險，並強化對其網路中多階段載入器和進程注入的監控與防範。