文章总结： 文章反驳了趋势科技将PeckBirdy攻击框架归因为中国APT的结论。指出受害者画像、基础设施重叠及TTP相似性不足以支撑国家归因，这些更多反映经济收益或通用攻击手法。作者认为PeckBirdy更可能属于区域性攻击服务生态，建议防御侧应关注检测缓解而非过早下结论。 综合评分： 87 文章分类： 威胁情报,恶意软件,安全大事件

与中国关联？趋势科技对PeckBirdy攻击活动的国家归因不对！

原创

网空闲话 网空闲话

网空闲话plus

2026年1月28日 07:37 北京

2026年1月26日发布的分析报告中，趋势科技（Trend Micro）对一个名为PeckBirdy的脚本化命令与控制（C&C）框架进行了系统披露。报告指出，自2023年以来，该框架被用于多起针对亚洲赌博行业及政府机构的攻击行动，并在多个攻击阶段（初始访问、横向移动、后门控制）中发挥核心作用。基于受害者分布、攻击工具链、基础设施重叠以及与既有威胁集群（如UNC3569、Earth Baxia、Earth Lusca等）的关联，报告最终将PeckBirdy的使用者归因为“与东大结盟的APT组织”（China-aligned Threat Groups）。

趋势科技的研究在技术分析层面极具价值：其对PeckBirdy架构、通信机制、模块化后门（HOLODONUT、MKDOOR）的拆解，为防御侧提供了大量可操作情报。然而，从“技术威胁分析”跨越到“国家级归因结论”，本身就是威胁情报中最具争议、也最需要证据克制的环节。正是在这一关键跨越点上，现有论证仍存在值得商榷之处。

一、背景与归因路径：PeckBirdy如何被指向“东大APT”

在趋势科技的叙事中，PeckBirdy并非孤立工具，而是嵌入在两个被命名为SHADOW-VOID-044与SHADOW-EARTH-045的攻击行动中。这两起行动分别涉及：

针对中国赌博网站的水坑攻击与假Chrome更新投递；

针对亚洲政府与教育机构的网页注入、凭据窃取与横向移动。

在归因逻辑上，报告主要依赖四类证据组合：

一是受害者画像：目标集中于东大及亚洲区域；

二是基础设施与样本交集：与既往被标注为“东大相关APT”的服务器、域名或后门存在重叠；

三是TTP相似性：滥用LOLBins、模块化后门、证书签名等；

四是既有威胁标签的延展使用：将历史归因结果延伸至新工具。

这一“多要素叠加”的方式，在当前威胁情报实践中并不罕见，但问题在于：这些要素是否在逻辑上足以支撑一个高置信度、排他性的国家归因？下面将从四个方面逐一拆解这一归因链条中的薄弱环节。

二、反驳一：受害者分布更多反映“攻击收益”，而非国家属性

趋势科技反复强调PeckBirdy针对“中国赌博行业”和“亚洲政府机构”，并将其视为指向东大APT的重要线索。然而，从攻击经济学的角度看，这一判断并不充分。

首先，中国赌博行业长期处于灰色甚至非法状态，其运营主体分散、跨境程度高、防御投入有限，几乎是全球网络犯罪和雇佣攻击团伙的“优先目标池”。针对这一行业的攻击，既可能服务于情报目的，也完全可能是纯粹的经济动机。

其次，“亚洲政府或教育机构”同样并非排他性目标。过去十年中，来自不同国家背景的APT、商业间谍团伙乃至网络雇佣兵，都频繁在这一目标集中活动。报告并未给出任何证据，表明这些受害者的选择只能通过“中国国家利益”来解释。

因此，受害者画像在此更多说明“目标容易被攻击且收益明确”，而非攻击者的国家属性。

三、反驳二：基础设施与后门交集不足以证明行为体同一

在报告的归因中，C&C域名、IP地址以及HOLODONUT、GRAYRABBIT等后门与既有“东大相关APT”的关联，被视为重要支撑。然而，这类证据在当前威胁环境下的解释力正在迅速下降。

一方面，C&C基础设施的复用、转售、接管已成为地下生态的常态；另一方面，模块化后门与加载器（如Donut、Cobalt Strike）本身就是跨国家、跨组织使用的通用工具。即便两个行动使用了相同的服务器或证书，也只能说明“资源存在交集”，而非“指挥链一致”。

更关键的是，报告未能提供持续性的运维特征——例如长期稳定的时间规律、统一的操作习惯或错误模式——来证明这些基础设施由同一国家级团队控制。

四、反驳三：TTP相似性已高度“去国别化”

PeckBirdy被描述为“先进”“老旧技术与新技术结合”的代表，但必须看到，其核心技术选择——JScript、HTA、LOLbins、模块化插件——在2023年之后已被广泛扩散。

事实上，“使用过时技术以规避现代检测”本身已成为公开讨论的攻击理念，并不属于任何国家的专利。HOLODONUT和MKDOOR的模块化设计，也与多个非东大背景后门高度相似。

当某一组TTP已成为行业通用实践时，其归因价值必然下降。报告在此仍将“技术相似性”视为关键归因证据，显然高估了其区分能力。

五、反驳四：更合理的替代解释——“区域性攻击服务生态”

将上述所有线索综合来看，一个同样具备解释力、且假设更弱的模型是：PeckBirdy属于一个活跃于亚太地区的攻击服务或雇佣生态。在这一模型下：

工具、证书、脚本被不同攻击者按需组合；

不同行动之间共享资源，但并不共享国家级指挥；

国家级、犯罪级、灰色雇佣行为体的边界高度模糊。

重要的是，这一解释并不否认PeckBirdy的危险性，却避免了在证据不足的情况下，将其直接锚定到某一国家。

结论：威胁真实存在，但国家归因仍需克制

综合分析可以得出一个相对审慎但清晰的结论：PeckBirdy是一个成熟、危险、值得高度警惕的攻击框架，但现有证据尚不足以支持对“东大APT”的高置信度归因。

趋势科技的报告在技术层面具有重要价值，但其国家归因部分更多建立在间接证据的叠加与既有标签的延展之上，而非不可替代的硬证据链。在当前阶段，将防御重点放在PeckBirdy的检测、阻断与缓解策略上，远比过早固化国家标签，更符合专业与现实需要。

参考资源

1、https://www.trendmicro.com/en_us/research/26/a/peckbirdy-script-framework.html

2、https://cybersecuritynews.com/china-aligned-apts-use-peckbirdy-cc-framework/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《与中国关联？趋势科技对PeckBirdy攻击活动的国家归因不对！》