根據資安公司Cisco Talos的最新報告，一個被追蹤為UAT-7237的進階持續性威脅（APT）駭客組織，已將台灣的網頁伺服器基礎設施作為主要攻擊目標。此組織自2022年起便持續活躍，且被認為是UAT-5918駭客集團的子群組。其攻擊手法有別於一般駭客，旨在建立長期、持久的存取權限，以利在受害者網路內進行潛伏與惡意活動。

UAT-7237駭客組織的攻擊模式與技術顯著。他們主要利用已知的伺服器漏洞來取得初始存取權限，並大量運用經過客製化的開源工具，以逃避偵測。不同於其母集團UAT-5918在初期便部署Web Shell，UAT-7237更傾向於使用SoftEther VPN客戶端來維持其對系統的遠端連線，隨後再透過遠端桌面協定（RDP）進入內部網路。

報告指出，該組織在入侵後會迅速對目標進行偵察，評估其價值。他們不僅會試圖關閉Windows系統的使用者帳戶控制（UAC），還會更改登錄檔，以儲存明文密碼，藉此竊取更多憑證。此外，Talos的研究人員發現，UAT-7237在VPN客戶端的語言設定檔中偏好使用簡體中文，這表明其成員可能精通此語言。

此事件再次凸顯台灣網頁伺服器面臨的持續性威脅，特別是來自具備地緣政治動機的APT組織。由於駭客利用常見的開源工具並加以客製化，傳統的資安防護機制可能難以有效偵測。企業與網站管理者應即刻採取行動，不僅要定期更新修補伺服器漏洞，更要強化密碼管理、啟用多重身分驗證，並部署網路流量監控工具，以應對這類日益複雜的網路攻擊。

資料來源：https://thehackernews.com/2025/08/taiwan-web-servers-breached-by-uat-7237.html