即時中心/林韋慈報導
台灣知名《天下》雜誌近日調查發現,過去一年有人冒用《天下》總編輯陳一姍及國際調查記者聯盟(ICIJ)名義,在台灣大規模接觸媒體、智庫、民進黨政治人物、立委助理及公民團體,試圖誘導對方下載惡意檔案。資安單位研判,這起行動極可能與中國相關的跨國間諜活動有關。
冒用《天下》總編輯名義 接觸智庫、政界以及國安單位
根據《天下》報導,2025年5月,正值台灣大罷免運動期間,獨立媒體《沃草》營運長洪國鈞收到一封署名「Yi-Shan Chen」的採訪邀請信,聲稱代表ICIJ。洪國鈞發現寄件信箱為可疑的Gmail帳號,經查證後確認並非陳一姍本人。
調查指出,這名「假陳一姍」接觸對象極為廣泛,包括網路媒體、經濟智庫、民進黨籍議員、立委助理,甚至曾任國安會相關職務的人士;海外也有非營利組織工作者遭到聯繫。此外,ICIJ另有兩名記者也被冒名,用來接觸維吾爾、西藏、香港及台灣人權工作者,連台灣駐外大使都曾收到假冒ICIJ成員的訊息。
這類攻擊主要採取「社交工程」手法,攻擊者先以採訪為由,透過Email或Line與目標建立信任,再引導對方下載「採訪大綱」或點擊Google文件連結。部分檔案內含惡意程式,或是設計高度仿真的假Google文件頁面,目的是竊取受害者的帳號與密碼。
《天下》追查最終指向同一主網域 認與中國駭客團體有關
《天下》與加拿大多倫多大學公民實驗室、台灣資安公司TeamT5合作追查後發現,這些惡意連結雖然表面網域不同,但最終都指向同一主網域「entruhub.com」及相同IP位址。該IP曾出現在美國資安公司Proofpoint的報告中,與中國駭客團體「UNK_SparkyCarp」攻擊台灣半導體企業的行動有關。
公民實驗室也發現,過去一年有超過上百個類似網域,鎖定維吾爾、西藏、香港與台灣的人權團體。專家分析,這起行動已超越一般釣魚詐騙,更接近有組織的跨國情報蒐集。攻擊者不急於一次性得手,而是願意花數月時間與目標培養關係、建立信任,逐步繪製人脈圖譜,未來可能進一步以稿費、訪談費等名義要求更多情報。
《天下》指出,這也反映中國情報工作出現「外包化」趨勢,透過私人資安公司或網路團隊,以低成本方式進行大規模人脈滲透。攻擊目標已從傳統政軍單位,擴大到媒體、智庫、國會幕僚與公民社會等領域。
