谷歌旗下的 Mandiant Threat Defense 週一表示，早在2025年8月24日，他們就觀察到一個名為UNC6485的威脅集群利用了Gladinet 的 Triofox 檔案共享和遠端存取平台中一個現已修復的安全漏洞，這距離Gladinet發布針對該漏洞的補丁版本16.7.10368.56560已過去近一個月。此嚴重漏洞編號為CVE-2025-12480（CVSS 評分：9.1），其極高的風險等級意味著該缺陷可讓攻擊者繞過身分驗證並存取設定頁面，從而上傳和執行任意有效載荷。

值得注意的是，CVE-2025-12480是今年以來Triofox中第三個被積極利用的漏洞，先前已有CVE-2025-30406和CVE-2025-11371被利用。連續發現並被實戰利用的嚴重漏洞，突顯了這類關鍵基礎設施軟體在快速迭代過程中所面臨的嚴峻安全挑戰，以及威脅行為者對檔案共享與遠端存取系統的高度興趣。

CVE-2025-12480的攻擊路徑深度解析：從繞過到接管

CVSS 評分 9.1 幾乎處於最高風險級別，表明攻擊的複雜度極低，而潛在的影響極大。CVE-2025-12480的核心缺陷在於其身份驗證機制存在缺陷，允許攻擊者以未經授權的方式存取應受保護的管理介面。

Mandiant表示，攻擊者利用未經身份驗證的存取漏洞獲取了配置頁面的存取權限。這一步驟是整個攻擊鏈的關鍵起點。一旦繞過身分驗證，攻擊者便能像合法的管理員一樣操作系統設置。隨後，攻擊者透過執行安裝流程建立了新的本機管理員帳戶「Cluster Admin」。這一步是建立**持久化（Persistence）**的關鍵手段。隨後，該新建立的帳戶被用於執行後續活動，確保即使Triofox的漏洞最終被修復，攻擊者仍能透過這個後門管理帳戶保持對系統的控制權。

威脅集群UNC6485的入侵與後續部署手法

在確立持久化機制後，UNC6485集群接著進行了遠端存取工具的部署，進一步鞏固對受害主機的控制。Mandiant 報告揭露了其高明的逃避檢測與間接攻擊手法：攻擊者透過配置防毒引擎的路徑，使其指向惡意批次腳本「centre_report.bat」，從而運行該腳本。

這種手法利用了應用程式（Triofox）信任其內建安全功能（防毒引擎路徑）的特性，將惡意指令偽裝成合法的安全組件調用，極大地增加了傳統安全工具的檢測難度。該腳本的目的是從84.200.80[.]252下載 Zoho 統一端點管理系統 (UEMS) 的安裝程序，並利用該安裝程序在主機上部署 Zoho Assist 和 AnyDesk 等遠端存取程序。

部署合法的遠端存取工具（如Zoho Assist和AnyDesk）作為惡意有效載荷，是當前威脅行為者常見的策略。這些工具本身是無害的，但在未經授權的環境中被部署，便成為了攻擊者隱匿行蹤、進行長期監控與數據竊取的通道，同時也使得基於簽章的傳統檢測系統難以將其標記為惡意軟體。雖然活動的最終目標仍然未知，但部署遠端存取工具的行為，強烈暗示了攻擊者意圖進行長期間諜活動或數據外洩。

防禦與緩解策略：緊急修復與安全審核建議

鑑於 Triofox 漏洞的嚴重性和已證實的活躍利用，所有使用此平台的組織都必須立即採取行動：

1. 緊急更新： Triofox 用戶應立即更新到最新版本，確保已應用針對 CVE-2025-12480 及先前所有漏洞（CVE-2025-30406和CVE-2025-11371）的修復補丁。

2. 管理員帳戶審核： 應對 Triofox 系統中的所有管理員帳戶進行全面審核，特別是 Mandiant 報告中提及的「Cluster Admin」等異常或未經授權建立的帳戶，必須立即移除或重設憑證。

3. 防毒引擎配置驗證： 必須驗證 Triofox 的防毒引擎是否配置為執行未經授權的腳本或二進位檔案。應檢查相關設定路徑是否被竄改，確保其僅指向合法的安全程式。

4. 端點監控： 由於攻擊者部署了 Zoho Assist 和 AnyDesk 等遠端存取工具，組織應在所有與 Triofox 伺服器互動的主機上加強端點偵測和回應（EDR）監控，特別是針對這些工具的異常安裝、啟動或對外連線行為。

Triofox漏洞被UNC6485集群利用的案例，再次將檔案共享和協作平台的安全問題推向供應鏈風險的核心。這起事件是一個教科書般的範例，說明了未經身份驗證的存取漏洞如何迅速轉化為對企業系統的完全接管，並透過精巧的手法達成持久化與隱匿的遠端控制。企業的安全策略必須從「修補已知漏洞」的被動模式，轉向對「異常管理行為」和「供應鏈組件」進行持續監控的主動防禦。