中國駭客後門Daxin潛伏台灣高科技製造企業13年 一文看超神隱竊密手法

  • 發佈時間:2026/07/16 16:10更新時間:2026/07/16 16:10
  • LINE
    FACEBOOK
    TWITTER
    COPYLINK
中國駭客後門Daxin潛伏台灣高科技製造企業13年 一文看超神隱竊密手法

圖、文/上報

中國駭客高階後門程式「Daxin」捲土重來,受害者是一家跨國高科技製造商設在台灣的子公司。美國資安研究人員更在同一台電腦發現之前沒被發現的後門「Stupig」,可偽裝成鍵盤程式,在使用者登入前取得系統權限執行指令。而這2款惡意程式可能在該企業網路中潛伏長達13年。

更多新聞: 英國政府宣布國有化英國鋼鐵 睽違36年重回公有
美國無廠半導體公司博通(Broadcom)旗下資安團隊賽門鐵克(Symantec)於2022年首次發現並揭露,中國駭客自2013年精心策畫的長期間諜活動,使用高階後門程式「Daxin」這個間諜工具,攻擊政府、電信、運輸及製造業目標,而這些目標的共同點就是,都對中國具有戰略利益。
 

「Daxin」可串聯感染電腦跳進企業內網

 
4年多後,賽門鐵克研究人員2026年5月又發現了受害者,是一家跨國高科技製造商設在台灣的子公司。研究人員在這家台灣子公司一台被感染的電腦上發現這個後門程式「Daxin」,甚至也在同一台電腦上發現一款從未被辨識出的後門程式「Stupig」。它所使用的新型攻擊手法,可能顯示它與「Daxin」行動有關,但目前尚未證實兩者在程式碼層面存在關聯。
 
賽門鐵克2022年將「Daxin」描述為,是該公司見過由中國相關攻擊者使用的最先進惡意軟體,它偽裝成Windows作業系統的核心驅動程式。若電腦受到感染,駭客將可在受感染電腦上執行各種通訊和數據收集行為。
 
它最具代表性的特點,是與指揮控制伺服器通訊的方式。這個驅動程式不會自行建立對外連線,而是監控傳入的傳輸控制協定(TCP)流量,尋找特定模式,並劫持現有的合法連線,來傳送加密的指揮與控制(C&C)流量。這讓傳統的網路監控手段極難辨識Daxin。
 
該惡意軟體還能把多台遭感染的電腦當成跳板,進行多重跳板(multi-hop)通訊,讓操作人員能夠連進內部網路系統。
 
 

後門「Stupig」偽裝鍵盤程式潛入Windows

 
博通旗下網站security.com於7月15日報導,「Stupig」所使用的技術,在任何已知惡意軟體家族中都從未被記載過。攻擊者透過一個被winlogon.exe載入、植入木馬程式的鍵盤配置DLL檔案,讓攻擊者能在任何人登入之前,直接從Windows登入畫面,並以系統權限執行指令,且不會觸發登入稽核事件。
 
「Stupig」是一款DLL後門程式。它會把自己登記成鍵盤布局提供程式(keyboard-layout provider),這會讓win32k.sys在系統啟動時,將其載入到winlogon.exe中,藉此持續留在系統中。這個DLL會回傳一個有效的KBDTABLES指標,因此鍵盤配置功能仍能正常運作。無論是其他程式或系統管理員檢查已載入的模組,都不會看出異常。
 
後門程式在winlogon.exe內開始運作後,就會監控Windows登入畫面,尋找以「stupig」這串字元開頭的使用者名稱。當有人輸入這類使用者名稱時,接在「stupig」後方的任何字串,都會在安全桌面(Winsta0\Winlogon)中,以系統權限執行;如果「stupig」後面沒有接任何內容,則會直接在登入畫面上,出現一個以系統權限運作的命令提示字元視窗。
 
接著,真正的LsaLogonUser函式會在未被修改的情況下照常執行,導致系統會回傳一般的登入失敗訊息。除了針對異常使用者名稱的登入失敗記錄外,不會產生任何異常的稽核事件。
 

中國駭客後門疑藏台灣企業13年

 
這2個惡意程式樣本的編譯時間戳記只相差幾週,「Daxin」落在2013年1月,「Stupig」則落在2013年2月,但這台主機直到2026年5月才開始回傳遙測資料。換句話說,這些後門可能在網路中潛伏了13年,卻始終未被發現。目前無法證實這2款工具是否由同一批操作者部署,但它們的功能可以互相配合。
 
最可能的初始入侵管道,是一個舊版的鼎新(Digiwin)單一登入(SSO)入口網站。該入口網站當時仍在使用2009年至2011年間安裝的Java開發工具包(JDK)1.5與1.6版本。這2個JDK版本都早已停止支援,分別於2009年及2013年結束生命週期。
 
在多起已公開的攻擊行動中,台灣先進製造業一直是中國持續入侵的重點目標。如今,2026年發現「Daxin」仍在活動,顯示背後的攻擊行動從未消失,只是沉寂下來。
 
如果「Stupig」後門程式確實與同一個攻擊者有關,就代表對方又多了一項能力。「Stupig」會藏在Windows登入程序中,並將自己登記成鍵盤配置提供程式,讓操作者能在使用者登入前,以系統權限執行指令並竊取登入憑證。這是一種多數防禦人員既不了解,也沒有加以監控的存取方式。
 
 
更多新聞: Uber出手了!斥資4300億台幣收購外送巨頭Delivery Hero